アイルランドのデータ保護委員会(DPC: Data Protection Commission)は2026年2月17日(現地時間)、「Data Protection Commission opens investigation into X (XIUC)|17/02/2026|Data Protection Commission」において、X Internet Unlimited Company(XIUC)に対する正式な調査を開始したと発表した。

調査はアイルランドの2018年データ保護法第110条に基づき実施される。同社が運営するXプラットフォーム(通称「X」)上で、生成AIを利用した実在する人物の性的画像を作成および公開できる状況を生じさせた責任が問われている。

  • Data Protection Commission opens investigation into X (XIUC)|17/02/2026|Data Protection Commission

    Data Protection Commission opens investigation into X (XIUC)|17/02/2026|Data Protection Commission

Xの画像生成機能を巡りDPCが正式調査開始

X Internet Unlimited Company(XIUC)は、X(旧Twitter)を運営する米国X社のアイルランド法人だ。欧州連合(EU: European Union)および欧州経済領域(EEA: European Economic Area)に居住するユーザーのデータ管理者として設立されている。(参考:「Xの執行機関/捜査機関向けガイドライン | Xヘルプ」)。

この調査は、Xが大規模言語モデル「Grok」に関連する機能を提供し、潜在的に有害かつ合意のない親密な画像または性的な画像を生成および公開可能にしたことに関するものとされる。生成画像は成人だけでなく子どもも含まれる可能性があり、EUおよびEEA域内の個人情報が不適切に扱われた懸念が示されている。

調査開始の決定は、2月16日(現地時間)にXIUCに通知された。今回の調査では、同社がEU一般データ保護規則(GDPR: General Data Protection Regulation)に定められた義務を遵守しているかが問われる。

具体的には、処理の原則(第5条)、処理の合法性(第6条)、設計時およびデフォルト時におけるデータ保護(第25条)、データ保護影響評価の実施義務(第35条)の遵守が確認される。これらは、生成AIを含む高度な技術を扱う企業にとって不可欠な要件であり、利用者の情報が不適切に扱われる事態を防ぐための基盤となる。

DPCのGraham Doyle副委員長は、調査開始に際し次の声明を発表した。DPCはXIUCに対するEU/EEA域内の主たる監督機関であり、今回の調査は広範囲におよぶものとなる見通しだ。

「データ保護委員会(DPC)は数週間前に初めて、XユーザーがXの@Grokアカウントに子供を含む実在の人物の性的画像を作成させる能力について報道が行われて以来、XIUCと協議を続けてきました。EU/EEA全域におけるXIUCの主たる監督機関として、DPCは本事案に関連するGDPRに基づく基本的義務の遵守状況について、XIUCに対し大規模な調査を開始しました」

英国も調査を開始

Grokの画像生成問題に関しては、英国当局、欧州委員会、米カリフォルニア州司法長官も調査の開始を発表している。いずれも非同意の性的画像の拡散に関する調査で、特に子どもへの影響を懸念事項として挙げている。

これら調査は、生成AIを提供する企業がどのように安全対策を講じ、利用者の行動をどこまで制限するのかを問うものでもある。AIモデルの能力が拡大する一方で、不正利用を防ぐための仕組みが十分でなければ、個人情報の侵害や名誉を毀損する危険がある。GDPRはこうしたリスクに対応するため、企業に対し事前の影響評価や設計段階での保護措置を求めている。

DPCはGDPRに基づき「対象企業の世界年間売上高の4%」を上限とする制裁金を科す権限を持つ。これまでにも複数の大手IT企業に対し多額の制裁金を科した実績があり、今後Xは重い責任と向き合う可能性がある。