anonym.legal

By · Last updated 2026-03-03

ブログに戻るテクニカル

エアギャップPII匿名化:防衛と政府がオフラインファーストツールを必要とする理由

41%の企業セキュリティポリシーは、機密文書のクラウド処理を禁止しています。防衛請負業者、政府機関、規制された企業がオフラインファーストのPII匿名化を用いてGDPRおよびITARコンプライアンスを達成する方法を紹介します。

March 3, 20268 分で読めます
offlineair-gapdesktopITARGDPRgovernmentdefenselocal processing

ネットワークに出口がないとき

あるデータサイエンティストが防衛企業で働いています。彼女は3,000件の人事記録を持っています。氏名、社会保障番号、セキュリティクリアランスレベルを削除する必要があります。それが完了してから、CUI協定のもとで研究パートナーとデータを共有できます。

彼女のネットワークにはインターネット接続がありません。意図的に。

彼女は見つけられるすべてのウェブツールをテストします。どれも外部サーバーにデータを送信します。すべてのクラウドプラットフォームはアカウントとアクティブな接続を必要とします。「オンプレミス」ツールでさえ、リモートライセンスサーバーを呼び出すことが多いです。

これがエアギャップ展開問題です。ほとんどの人が思う以上に多くのチームに影響します。

オフラインPII削除が必要な組織

防衛企業と政府機関が最も影響を受けます。DISAのFedRAMPプログラムは、データが承認されたネットワーク境界内に留まることを要求します。ITARは技術データを米国が管理するシステムに限定します。JWICSやSIPRNetなどのネットワークは、設計上物理的に隔離されています。

しかしオフラインの必要性は、機密サイト以外にも広がります:

セグメント化されたネットワークを持つ病院。 PACSイメージングシステム、EHRプラットフォーム、研究データベースは、ポリシーによりインターネットのないネットワークに置かれることが多いです。

取引フロアと清算機関。 プロプライエタリな取引システムとSWIFT接続システムは、厳格なネットワーク遮断を使用します。

産業用制御システム。 SCADAネットワークと重要インフラは、中核的なセキュリティ対策としてエアギャップで運用されます。Stuxnet後の強化により、これが標準となりました。

欧州のデータ規則。 ドイツのLandesdatenschutzgesetzeと類似のEU法は、機密性の高い政府・医療データのローカル処理を要求します。TikTokへの5億3,000万ユーロのGDPR制裁は2025年5月に下されました。中国へのデータ移転が対象でした。この制裁がより多くのチームをローカルツールへと押し進めました。適用されるGDPRの移転規則については、コンプライアンス概要をご覧ください。

エアギャップネットワークでクラウドツールが失敗する理由

ほとんどのデータ削除ツールはSaaSモデルに従います:

デバイス → HTTPS → ベンダーAPI → NLPモデル → レスポンス → デバイス

この設計は処理デバイスでのインターネット接続が必要です。ベンダーのサーバーへの信頼が必要です。データが外部ネットワークを通過することを意味します。

エアギャップネットワークでは、ステップ1は物理的に不可能です。規制された環境では、ステップ2から4のそれぞれがコンプライアンス規則に違反する可能性があります。

セルフホスト型Presidioが一般的な代替手段です。しかしDockerスキルとPythonのセットアップが必要です。またspaCyモデルのダウンロードも必要で、これにはインターネット接続が必要です。そして継続的なITサポートも必要です。ほとんどのチームはこれらすべてを持っていません。

クラウドの使いやすさとセルフホストの複雑さの差こそ、ローカルデスクトップツールが埋めるものです。

ローカルPII削除の仕組み

優れたオフラインツールは必要なものをすべて同梱します:

バンドルされたNLPモデル。 spaCyモデル(各40〜80MB)と固有表現検出用のTransformerモデルがインストーラーに含まれています。実行時にダウンロードは不要です。

ローカル検出パイプライン。 Regex、NLP、MLはすべてローカルCPU(またはGPUが利用可能な場合はGPU)で実行されます。anonym.legal内のPresidioベースのエンジンは、実行中にネットワーク呼び出しを行いません。

暗号化されたローカルボールト。 設定、プリセット、キーはローカルに保存されます。ボールトはAES-256-GCM暗号化とArgon2idキー導出を使用します。クラウド同期なし。リモートバックアップなし。ボールトはデバイス上に留まります。

ローカルファイルI/O。 入力ファイルはローカルストレージから来ます。出力ファイルはローカルストレージに戻ります。データはいかなるネットワークインターフェースも通過しません。

小さな攻撃面。 デスクトップアプリはTauri 2.0(Rustベース)を使用します。TauriはElectron(Chromiumベース)ツールよりもはるかに小さな攻撃面を持ちます。バイナリは約10分の1の大きさです。デフォルトではOS APIの呼び出しも少ないです。

3つの実際のコンプライアンスシナリオ

ITAR文書 — 500ファイル

防衛企業がライセンス例外のもとで外国パートナーと技術文書を共有する必要があります。ファイルには米国人の氏名と人事データが含まれています。両方を最初に削除する必要があります。

主な要件:クリアランスを受けたワークステーションのみでの処理。クリアランスを受けたネットワーク外へのデータ送信なし。作業が行われたことを示す監査証跡。500以上のファイルに対するバッチサポート。

デスクトップアプリはすべての500以上のDOCXファイルをバッチモードでローカルに処理します。実行中にネットワーク呼び出しは行われません。監査ログはローカルボールトに留まります。出力はITARライセンス例外の要件を満たします。

ドイツ連邦機関 — 苦情記録

ドイツ連邦機関は、市民の苦情記録から個人データを削除する必要があります。その後、記録を研究機関に送ります。BfDIのガイダンスは、非政府システムでの処理を禁じています。

デスクトップアプリは機関のWindows 11ワークステーションで実行されます。すべての処理はローカルです。ITセキュリティチームはトラフィック監視でこれを確認します — 実行中の外部接続はゼロです。

病院研究 — EHRの非識別化

病院の研究チームは、臨床試験のために患者記録を匿名化する必要があります。HIPAA Safe Harborは18種類の識別子の削除を要求します。臨床ネットワークはインターネット接続がありません。

デスクトップアプリはCSVおよびJSON形式のEHRエクスポートをバッチ処理します。プライバシー担当者は、データセットが研究パートナーに渡る前に、Safe Harbor規則に照らして出力を確認します。

オフラインツールで確認すべき点

機能なぜ重要か
インストール後に完全オフライン処理中のインターネット依存なし
バンドルされたNLPモデルダウンロード手順が不要
バッチ処理手作業なしで大量処理が可能
ローカル暗号化ボールト設定とキーの安全な保存
監査ログコンプライアンスレビューに必要な記録
Windows、macOS、Linuxサポート機密ワークステーションタイプをカバー
テレメトリなしオプションテレメトリによるデータ流出を防止
ファイル形式サポートDOCX、PDF、TXT、CSV、JSON、Excel

データ規則がチームをローカルツールへと押し進める

TikTokへの5億3,000万ユーロの制裁は、より広い制裁の波を引き起こしました。クラウドツールを使っていたEUのチームは今、新しい疑問を持ちます。ベンダーのサーバーでの処理はGDPR第V章と国内データ法を満たしているのか?

「データはどこに行きますか?」という問いへの最も明確な答えはこうです:どこにも行きません — デバイスから出ることは決してありません。ローカル処理はGDPRの移転問題を完全に解消します。

ドイツのチームにとって、DSGVO第44〜46条の厳格な解釈により、ローカル処理は賢い選択です。厳格なネットワーク制限がない場合でもそれは同様です。セキュリティ概要では、ローカル処理がサードパーティのデータチェーンをどのように断ち切るかを説明しています。

実践的なデプロイメントメモ

エアギャップシステムへのインストール。 インストーラー — Windows .exeまたは.msi、macOS .dmg、Linux .AppImageまたは.deb — はUSBまたはセキュアなファイル転送でエアギャップネットワークに転送されます。インストール後にインターネットは不要です。

言語サポート。 24の言語別モデルがアプリに同梱されています。完全なセットは追加ダウンロードなしでオフラインで利用できます。

ハードウェア要件。 NLPパイプラインはGPUなしのモダンなワークステーションで動作します。1,000件のドキュメントのバッチ処理は通常5〜15分かかります。速度はドキュメントサイズとCPU速度によります。

オフラインライセンスセットアップ。 ライセンスサーバーに到達できないネットワークの場合、オフラインライセンスセットアップが利用できます。

エアギャッピングが適切でない場合

エアギャップシステムは特定の問題を解決します。また実際の負担も加わります。

更新の摩擦。 モデルとソフトウェアを最新の状態に保つには手動の手順が必要です。遅れをとるチームは新しいPIIパターンを見逃す可能性があります。

連携のオーバーヘッド。 エアギャップシステムはクラウドSIEMツールやリモート監査ダッシュボードに接続できません。カスタムのデータダイオードソリューションが必要です。これによりコストが上昇します。

精度のトレードオフ。 クラウドツールはトレーニングデータを継続的に更新します。オフラインモデルはスナップショットです。新しい言語パターンに対して時間とともに遅れをとる可能性があります。

すべての脅威モデルに必要なわけではない。 データ隔離に関する政府、医療、法的な義務を持たないチームは、クラウドツールの方が実用的だと感じるかもしれません。強力な暗号化、SOC 2 Type II監査、データ処理契約がほとんどのケースをカバーします。エアギャッピングは、脅威モデルが本当に熟練した攻撃者によるネットワークベースのデータ窃取を含む場合にのみ効果があります。

ほとんどの中小企業と標準的なエンタープライズチームにとって、転送中と保存時の強力な暗号化は十分な保護を提供します。堅実な契約上のコントロールがほとんどのケースをカバーします — 完全なエアギャッピングのオーバーヘッドなしに。適切なデプロイメントモデルの選択については、FAQをご覧ください。

anonym.legalのデスクトップアプリ(Windows、macOS、Linux)は、バンドルされたNLPモデルを使用してPIIを完全にローカルで処理します。インストール後にインターネット接続は不要です。バッチ処理はプランティアに応じて1回の実行で1〜5,000ファイルをサポートします。

ソース

関連する記事

テクニカル

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

テクニカル

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

テクニカル

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.