ANSPDCP ルーマニア:BPOにおけるGDPRリスク
ルーマニアのデータ保護当局は執行を強化しています。Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal(ANSPDCP)は、EUで最も急成長しているアウトソーシングセクターの1つを監督しています。
ブカレスト、クルージュ=ナポカ、ヤシは、ドイツ、フランス、英国、オランダからのEU市民の記録を処理しています。ANSPDCPは2022年から2024年にかけてGDPR違反で180万ユーロの罰金を科しました。BPOおよびアウトソーシング企業がほとんどのケースの中心にありました。
BPOのリスク:4つの主要領域
大量の個人情報処理。 コールセンターは請求に関する紛争を処理します。名前、住所、口座番号、支払い履歴を取り扱います。ITサポートチームは個人情報を含む顧客システムにアクセスします。
海外で処理されるEU市民の記録。 データ主体はドイツ人、フランス人、オランダ人、英国人であることが多いです。インシデントが発生すると、影響を受けた人々は自国の規制当局に連絡します。これにより、ANSPDCPの管轄に加えて、BfDI、CNIL、ICO、またはAP NLへの露出が生じます。越境事案について詳しくは、BfDIドイツGDPRガイドをご覧ください。
脆弱な下請け業者チェーン。 ANSPDCPは、現地企業の45%が下請け業者との有効なデータ処理契約を持っていないことを発見しました。各契約は下請け業者が適用する技術的措置を明記する必要があります。
アクセス失効の不備。 BPOは離職率が高いです。ANSPDCPは、退職後数週間後も元従業員がアクティブなアクセス権を持っていることを繰り返し発見しています。このパターンは多くの事例で繰り返し現れます。
CNP:ルーマニアの主要識別子
Cod Numeric Personal(CNP)は13桁の国民識別番号です。主要な個人情報を格納します:
- 第1桁:性別と生まれた世紀(1=男性1900年–1999年、2=女性1900年–1999年、5=男性2000年以降、6=女性2000年以降、7=外国籍男性居住者、8=外国籍女性居住者)
- 第2–7桁:生年月日(YYMMDD)
- 第8–9桁:出身県コード
- 第10–12桁:連番
- 第13桁:チェックデジット(重み付きモジュラス11)
CNPは性別、生年月日、出身地域、居住ステータスを格納します。これにより、ほとんどのEU識別子よりもはるかに豊富な個人情報が含まれます。ANSPDCPはCNPを特別カテゴリに近い保護が必要と位置づけています。
検出ギャップ。 ANSPDCPの2024年レビューでは、アウトソーシング企業で使用されているPIIツールの78%がCNPを検出できないことが判明しました。ほとんどはチェックサム検証を欠いています。顧客記録や従業員ファイル内のCNP番号は見逃されます。親会社に送られた記録には実在する市民の詳細が含まれている可能性があります。事後調査では「匿名化済み」とラベル付けされたファイルにCNPが見つかります。
2024–2025年の執行優先事項
コールセンターの音声録音。 ANSPDCPは、保持計画やアクセス制御のない録音慣行を標的にしています。削除スケジュールなしに「コンプライアンスのため無期限」で音声を保持することはGDPRに違反します。
医療アウトソーシング。 医療記録、保険請求、処方箋ファイルを処理する企業は最高の罰金リスクに直面します。健康データは第9条の特別カテゴリです。明示的な法的根拠、DPIA、強力な技術的管理が必要です。
アクセスログ。 ANSPDCPの監査は不十分なログを繰り返し発見します。企業はどの記録にいつ誰がアクセスしたかを示すことができません。ログはインシデントの範囲を特定するのに十分な完全性が必要です。
言語:隠れた検出ギャップ
現地文書には汎用ツールが見逃す識別子が含まれています。
Cartea de identitate(CI)。 これは国民身分証明書です。独自の番号形式を持ちます。オンボーディングファイルのスキャンコピーには特定の検出ロジックが必要です。
言語固有のNER。 サポートチケットや顧客メッセージには、この言語用に構築されたNLPが必要です。英語で訓練されたツールはここでは機能しません。
住所形式。 Strada、Bulevardul、Numărulなどの用語はこの市場に特有です。英語やドイツ語で訓練されたモデルはしばしばこれらを見逃します。
ANSPDCPの標準を満たすための技術的な手順については、GDPR监査のための匿名化一貫性ガイドをご覧ください。
BPO企業に必要なこと
4つの機能がANSPDCPの技術基準を満たします:
- チェックサム検証付きCNP検出
- Cartea de identitateとパスポートの検出
- 言語固有のNER
- 技術的措置が明記された下請け業者契約