2026年、チリでAI規制3法が同時施行へ
主なポイント
- 2026年同時期の締切が迫る。 サイバーセキュリティ、プライバシー、AI法がチリの事業者に同時に義務を課し、順次対応できる猶予はありません。
- すでに732のOIVが指定済み。 ANCIは電力、通信、ヘルスケア、デジタルサービス分野の事業者を指名し、最大26億チリペソ(CLP)の直接罰金が科されます。
- GDPRを超えるプライバシー規則。 Ley 21.719は世界売上高の4%の罰金や自動決定に対する説明権を明記し、GDPR基準を上回る内容です。
- AIに対する司法の即時適用。 バイオメトリクスデータに関する最高裁判決により、AI法案の成立を待たずに憲法上の保護が即時適用されています。
2025年12月17日、チリ国家サイバーセキュリティ庁(ANCI)は、官報にて732の重要事業者(OIV:Operators of Vital Importance)の名称を公表しました。リストには電力(147事業者)、通信(29)、デジタルサービス(413)、銀行・決済(34)、ヘルスケア(114)、国営企業(20)、約175の政府機関が含まれます。貴社がこのリストに含まれている場合、Ley 21.663(チリの基礎的なサイバーセキュリティ法)に基づく義務は、もはや目標ではなく現実です。
第5条は2つのテストを定めています。1つ目は、サービスの提供がネットワークや情報システムに依存しているかどうか。2つ目は、影響の重大性(影響を受けるユーザー数、代替提供者の有無、独占的性質、連鎖的影響、経済における戦略的役割)を測ります。両方を満たすとOIVとなります。指定後は、情報セキュリティマネジメントシステム(ISMS)の導入、CISOの任命、ANCIの国家CSIRTへのインシデント報告を厳格な期限内に行う必要があります。
制裁は行政処分であり、ANCIが裁判所を介さず直接科します。非常に重大な違反には最大40,000 UTM(約26億チリペソ)の罰金が科されます。Isapres、交通、水道、ガス、関連分野を対象とした第2次指定もすでに進行中で、締切までにリストはさらに拡大する見込みです。
5つの主なポイント
1. 2026年12月は「猶予」ではない。
サイバーセキュリティ、プライバシー、AIの3法が同じ年に同じチリ事業者へ同時に適用されます。コンプライアンスの猶予期間は並行して終了し、順次対応はできません。Ley 21.663はすでに施行中です。GDPR型のプライバシー義務(Ley 21.719)は2026年12月1日から発効。AI法案は2025年10月に下院を通過し、上院審議待ちです。直線的なガバナンス構築では、いずれも間に合いません。
2. すでに732組織が指定済み。
ANCIの第1次指定で、電力、通信、デジタルサービス、銀行、ヘルスケア、国営企業、政府機関の7分野でOIVが決定されました。第2次指定(Isapres、交通、水道、ガス)も進行中です。指定されると、ANCIは6か月前通知で監査を実施でき、最大40,000 UTM(約26億チリペソ)の罰金を裁判所を介さず直接科します。
3. プライバシー法はGDPR型の厳格さ、かつGDPRを上回る条項も。
Ley 21.719は年間世界売上高の最大4%の罰金、AIワークフローへのDPIA義務、GDPR第22条を意図的に上回る自動決定の説明権(第8条bis)を導入します。この権利には、証拠品質の監査証跡(監査ログ、アクセスログ、分類メタデータなど)が必要ですが、多くの組織は現時点で十分な証拠を生成できていません。
4. AI法案は上院待ちでも、司法はすでに適用中。
2025年1月、チリ最高裁はWorldcoinに対し、AI法案が下院を通過する9か月前にバイオメトリクスデータへ憲法上の保護を適用しました。裁判所は30日以内の全バイオメトリクス記録削除を命じ、同社の削除証明もISO 27001等の正式基準で検証されない限り不十分と判断。立法カレンダーよりも対応猶予は短い状況です。
5. 問われるのは「アーキテクチャ」。
多くの組織は、AIシステムが扱うデータの機密性・完全性・可用性を証明できません。Kiteworks 2026予測では、63%がAIエージェントの目的制限を強制できず、61%が断片的なログしか持たず実効性がありません。この「証拠品質の監査証跡」の欠如が、3つのフレームワークすべてで不適合となる要因です。
自社のセキュリティに自信はありますか。その証明はできますか?
Read Now
なぜサイバーセキュリティ法がすでにAI法なのか
AI法案はまだ上院を通過していませんが、Ley 21.663はすでにAIシステムを規制しています。重要サービスに組み込まれたAIシステムは、第5条に基づき事業者の機密性・完全性・可用性の義務を継承します。法律上、AIに対する例外規定は不要です。
AIによる診断画像を運用する高度な病院はOIVとなり、モデルが劣化・汚染・PHIの漏洩(プロンプトインジェクション等)を起こせば、AI法案で「高リスク」と定義されるか否かに関わらず、報告義務が発生します。決済スイッチでAIによる不正検知を行う銀行も同様です。732のOIVのうち413はデジタルサービス事業者であり、クラウドやAIベンダーも顧客を通じてサイバーセキュリティの枠組みに組み込まれています。
チリはラテンアメリカでランサムウェア被害リスクが4位。Sophosの「State of Ransomware in Chile 2025」調査では、52%の組織がデータ暗号化被害を受け、中央値の身代金支払い額は67.5万ドル、平均復旧コストは120万ドルに達しました。CrowdStrike 2026 Global Threat ReportはAIを活用した攻撃が前年比89%増加したと報告。チリ事業者はリスクに追いつこうとしており、先回りした規制にはなっていません。
Ley 21.719:GDPR型の厳格さとGDPRを超える条項を持つプライバシー法
Ley 21.719は2024年12月に成立し、2026年12月1日施行予定。1999年のプライバシー法に代わり、GDPRモデルの新体制を導入します。チリ初の専任DPA「Agencia de Protección de Datos Personales(APDP)」を創設し、処理の合法根拠、ハイリスク処理へのDPIA義務、漏洩通知、越境移転規則などを導入します。
AI事業者にとって重要なのは2つの条項です。第8条bisは自動決定の説明権を明記し、GDPR第22条の黙示的権利を意図的に超えています。AIによる与信や雇用判断の場合、データ入力・モデル要因・分類・ポリシールールを本人が理解できる形で提示する必要があります。実現には、操作ごとの監査証跡が不可欠です。もう1つは、自動処理のみで法的・重大な影響を及ぼす決定に対する異議申立権であり、プロファイリング、与信スコア、採用アルゴリズム、給付配分、保険引受などが対象です。
違反時の罰則も厳格で、非中小企業による重大な再違反には年商の2%または4%の罰金が科されます。制裁・コンプライアンスの国家登録簿には違反者が5年間掲載されます。2025年7月の省庁諮問委員会報告では、APDPの予算不足と立ち上げ遅延が指摘され、2026年6月までの設立が推奨されており、実際のコンプライアンス猶予は2026年12月より短いと考えられます。
AI法案と、それに先行した最高裁
法案16821-19は、EU AI法のリスクベースアーキテクチャを4段階で導入します。許容できないリスク(社会的スコアリング、潜在意識操作、公共空間での同意なきバイオメトリクス識別)は全面禁止。高リスクシステムには厳格な文書化、ガバナンス、透明性、人による監督、事前認可が義務付けられます。限定リスクはAIとのやり取りの開示や合成コンテンツのラベリングが必要。明白なリスクなしは規制対象外です。
本法案はラテンアメリカのAI法制としては異例の条項を含みます。第12条は実在人物のディープフェイクに明示的同意を要求。第15条は個人の尊厳・民主的健全性・公共の安全を脅かすディープフェイクを禁止。第18条は有害ディープフェイクへの24時間以内のプラットフォーム削除義務を課します。域外適用もあり、チリで利用されるAIアウトプットを提供する外国事業者も対象。最大罰金は20,000 UTM(約150万米ドル)です。
チリの裁判所は、上院可決を待たずにこれらの原則を適用し始めています。2025年1月、チリ最高裁は、17歳からのバイオメトリクスデータ収集を違憲とし、30日以内の全記録削除と、ISO 27001等の正式基準で検証されない削除証明は不十分と判断しました。これは世界初のWorldcoin型AIバイオメトリクスプラットフォームへの最高裁判決です。裁判所は既存の法制度でAIシステムに憲法上の保護を適用する用意がすでにあります。
3法をつなぐ「ガバナンスギャップ」
チリはラテンアメリカAIインデックスで73.07ポイントとブラジル・ウルグアイを上回っています。政府機関はすでにAIを本番運用しており、SUSESOは医療請求審査に勾配ブースティングモデル、メンタルヘルス監査に分類木を活用。スタンフォード大学とCENIAの推計では、約470万人のチリ労働者が業務の30%以上を生成AIで効率化できるとされています。
AIの導入がガバナンスを先行しています。Kiteworks 2026予測レポートはこのギャップを数値化。63%がAIエージェントの目的制限を強制できず、60%が不正動作するエージェントを停止できず、57%が中央集約型AIデータゲートウェイを持たず、7%はAI専用管理策が全くありません。
これらはコントロールプレーンの欠如であり、ポリシー文書の不備ではありません。AIの利用規程があっても、運用時の強制力がありません。この違いこそ、監査人やANCI検査官がOIVの「第3防御線」を調査する際に重視されます。
監査証跡は最重要機能です。61%の組織は断片的なログしか持たず、実効性がありません。証拠品質の監査証跡がなければ、チリ事業者はLey 21.663第5条の遵守、Ley 21.719のDPIA証拠要件、AI法案の高リスクシステム文書化義務のいずれも満たせません。この1つの欠如が3法すべての不適合につながります。
チリにおける「ディフェンシブル」の具体像
3法を乗り越えるには、今すぐ構築可能な5つのアーキテクチャ機能が必要です。
発見と分類。 機密データが存在するすべての場所、AIが触れるすべての場所をマッピングします。これは第5条1項の依存性テスト、Ley 21.719の合法根拠マッピング、AI法案の高リスクシステム文書化義務を満たします。Thales 2026レポートでは、データの保存場所を完全に把握している組織は33%のみであり、データ分類が他のすべての管理策の前提となります。
すべてのリクエストを認証。 AIエージェントにはID連動型アクセスを適用し、共有APIキーは廃止します。過去18か月で発生した6件の商用AI脆弱性は、AIが一度認証されると広範なアクセス権を継承したことが原因でした。認証済みIDに紐づくアクセス制御が構造的な解決策です。
操作単位でのポリシー強制。 データ分類とコンテキストに基づき、モデルに依存せず、リクエストごとにリアルタイムで属性ベースアクセス制御を適用します。これが第8条bisの実現に不可欠です。どのデータ入力とポリシー判断が自動結果を生んだかを説明できなければ、意味ある説明はできません。
FIPS 140-3と鍵管理による暗号化。 FIPS 140-3認証済み暗号化を保存時・転送時に適用し、管轄内での鍵管理により3法すべての主権要件を満たします。Worldcoin判決は、チリの裁判所がISO認証済み削除基準を要求することを示しました。
改ざん検知可能な監査証跡。 すべてのアクセス・操作を完全帰属でSIEMにストリーミング。Kiteworks 2026予測では、監査証跡の品質が他のAIガバナンス指標すべてに20〜32ポイントの差をもたらすとされています。
Kiteworksのアプローチ:3法対応の統合コントロールプレーン
多くのコンプライアンスプログラムを阻む断片化はアーキテクチャの問題です。メール、ファイル共有、SFTP、MFT、REST API、Webフォーム、AI連携ごとに独自のアクセス制御・監査ログ・ポリシーエンジンが存在します。典型的なOIVは5〜10種類の交換ツールを運用し、それぞれが異なる証拠を生成し、共通言語を持ちません。ANCIが重視するのは断片化の有無ではなく、機密性・完全性・可用性をすべてのチャネルで証明できるかどうかです。
Kiteworksのプライベートデータネットワークは、セキュアメール、ファイル共有、SFTP、MFT、REST API、Webフォーム、AI連携を、Secure MCP ServerとAI Data Gatewayを通じて、単一のポリシーエンジン・監査ログ・セキュリティアーキテクチャで統合します。強化された仮想アプライアンス、シングルテナントプライベートクラウド、FIPS 140-3暗号モジュール、FedRAMP Moderate認証取得済み。
第8条bisで説明を求められたとき、監査証跡がその証拠となります。ANCIが第5条の依存性を調査する際は、アクセスログが証明となります。AI法案で高リスクシステムに事前認可が求められる際も、証拠はすでに集約済み。1つのアーキテクチャで3つのフレームワークに対応し、断片化を排除します。
2026年12月までにチリ事業者がすべきこと
まず、AIデータの全体像を棚卸ししましょう。規制対象データが存在するすべてのシステム、リポジトリ、SaaS、およびAIエージェントをマッピングします。Kiteworks 2026予測では、57%の組織が中央集約型AI Data Gatewayを持っていません。見えていないデータの機密性・完全性・可用性は証明できません。
次に、共有APIキーを廃止し、認証済み・ABAC管理・改ざん検知可能なログ付きデータアクセスに切り替えましょう。モデルやプロンプトに依存しない操作単位の強制こそが唯一の持続的解決策です。Kiteworks 2026予測では、63%の組織がAIエージェントの目的制限を強制できていません。
三番目に、規制当局から要求される前に、証拠品質の監査証跡を構築しましょう。Ley 21.663の義務、Ley 21.719のデータ主体権利、AI法案のリスク分類に備え、コンプライアンスダッシュボードを事前に整備してください。ANCIの6か月監査通知期間では、後追いで証跡を構築するのは間に合いません。
四番目に、AI法案のリスク階層に基づき、AIポートフォリオを今すぐ分類しましょう。チリの裁判所はすでにAIシステムへの憲法保護適用の意思を示しています。どのシステムが許容不可・高リスク・限定リスク・明白なリスクなしに該当するかを特定し、高リスクシステムには外部審査に耐える文書で事前認可を取得してください。
五番目に、APDPとANCIは並行して対応しましょう。プライバシーとサイバーセキュリティの規制当局は情報を共有します。AIシステムからの個人データ漏洩は両方への報告義務を発生させます。唯一の実効策は「唯一の証拠源となる監査証跡」であり、2つの証拠ストリームを運用すると初回の重大インシデントで破綻します。
AI法案の成立を待ってからガバナンスを構築する組織は、Ley 21.663から着手した組織に数四半期遅れます。コンプライアンスの窓は順次開くのではなく、同時に閉じていきます。
AIデータガバナンスの詳細は、カスタムデモを今すぐご予約ください。
よくあるご質問
はい。チリのOIV向けにホスティング、SOC、MSP、SaaS、PaaS、IaaS、サイバーセキュリティサービスを提供している場合、義務は顧客を通じて適用されます。ANCIは第1次指定で413のデジタルサービスプロバイダーをOIVに指定しました。海外本社の事業者も国内事業者と同じアーキテクチャ要件(ISMS導入、CISO任命、ANCIのCSIRTへのインシデント報告等)が求められます。チリ重要インフラに関与する事業者の規制コンプライアンス義務は国境で止まりません。
第8条bisは、法的または重大な影響を及ぼす自動決定の根拠となるロジック、データ入力、意思決定要因の開示を求めており、GDPR第22条を意図的に上回ります。与信判断の場合、顧客が理解できる形でデータ入力・モデル要因・ポリシールールを提示する必要があります。操作単位の監査証跡が唯一の実効的基盤であり、文書化されたポリシーだけでは運用時の義務を満たせません。
いいえ。2025年1月のWorldcoin最高裁判決は、AI特有の立法がなくとも既存の法制度でAIシステムに憲法保護を適用することを示しています。Ley 21.663はすでに重要サービスに組み込まれたAIを対象としています。Kiteworks 2026予測では、63%の組織がAIエージェントの目的制限を強制できていません。上院可決前にこのギャップを埋めることが唯一のディフェンシブルな姿勢です。今構築するAIデータガバナンスは、3法すべての施行時に対応可能です。
臨床意思決定支援はLey 21.663第5条1項の依存性対象であり、Ley 21.719では自動決定に該当します。モデルの完全性喪失は患者安全に直結し、OIVのインシデント報告義務を発生させます。同じシステムがPHIを処理し、DPIA・合法根拠・漏洩通知義務の対象となります。統合ガバナンス層が両法の同時対応に不可欠であり、断片化したガバナンスは両方で失敗します。Kiteworks AI Data GatewayとSecure MCP Serverは、この統合コントロールプレーンを提供します。
追加リソース
- ブログ記事
手頃なAIプライバシー保護のためのゼロトラスト戦略 - ブログ記事
77%の組織がAIデータセキュリティで失敗している理由 - eBook
AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態に - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局はAIポリシーの有無を問う段階を終えました。今求められるのは「機能している証拠」です。
よくあるご質問
2026年12月は、Ley 21.663によるサイバーセキュリティ、Ley 21.719によるプライバシー、そしてAI法案の3法が同時に適用され、順次ではなく同時にコンプライアンス期限が到来します。Ley 21.663はすでに施行中、Ley 21.719は2026年12月1日から発効し、統合ガバナンスの構築が不可欠です。そうしなければ3つのフレームワークすべてで不適合となるリスクがあります。
ANCIは電力、通信、デジタルサービス、銀行、ヘルスケア、国営企業、政府機関などの分野で732のOIVを指定しました。指定事業者は、情報セキュリティマネジメントシステム(ISMS)の導入、CISOの任命、ANCIの国家CSIRTへのインシデント報告を厳格な期限内に行う義務があり、非常に重大な違反には最大40,000 UTMの罰金が科されます。
第8条bisは、自動決定に対する明示的な説明権を定めており、GDPR第22条を上回る内容です。データ入力、モデル要因、分類、ポリシールールを理解可能な形で開示することが求められます。これには証拠品質の監査証跡が不可欠ですが、多くの組織は現時点で運用時に必要な証拠を持っていません。
チリ最高裁は2025年1月、Worldcoinに対し、30日以内の全バイオメトリクス記録削除と不十分な削除証明の却下を命じ、バイオメトリクスデータに憲法上の保護を適用しました。これは、裁判所が既存の法制度でAIガバナンス原則をすでに適用しており、実質的なコンプライアンス猶予が短いことを示しています。