anonym.legal

By · Last updated 2026-05-14

ブログに戻るSMBセキュリティ

DORA ICTベンダー管理:ISO 27001が年次ベンダーリスクレジスタ義務を簡素化する方法

DORAは、金融機関に対してICTベンダーの厳格な監視を維持することを要求しており、年次評価やインシデント通知要件が含まれます。ISO 27001の監視監査は、60時間のカスタム評価ではなく、証明書の取得によってDORA第28条のデューデリジェンスを満たします。

May 14, 20268 分で読めます
DORA ICT vendor managementISO 27001 DORA compliancefinancial institution vendor riskannual vendor assessmentMiFID II vendor oversight

DORAが求めること

DORAは2025年1月にEU法として施行されました。銀行、保険会社、投資会社、決済サービス事業者は、利用するすべての技術サプライヤーのリスクを管理しなければなりません。特に重要なルールは3つです。

必須契約条項(第30条)。 技術プロバイダーとの各契約は、4つの点をカバーする必要があります:監査権、インシデント通知期限、出口計画、パフォーマンス目標。これらの条項は任意ではありません。

年次評価(第28条)。 企業は重要なサプライヤーを少なくとも年1回確認しなければなりません。プロバイダーが「重要」とされるのは、その障害が通常業務を停止させる場合です。コンプライアンス業務で使用する匿名化ツールもこの対象に含まれます。

サプライヤー登録簿(第28条第3項)。 企業はすべての重要な第三者契約の最新リストを保持しなければなりません。リストには各契約のセキュリティ文書を含める必要があります。

数十のサプライヤーの年次評価を実施することは時間がかかります。ゼロから行うカスタム評価は、1サプライヤーあたり40〜80時間かかると推定されます。50の重要なサプライヤーを持つオランダの銀行は、年間最大4,000時間の評価作業に直面します。これはサプライヤー評価だけに専念する2名のフルタイムスタッフに相当します。

ISO 27001が評価時間を削減

ISO 27001認証は、DORAの年次評価義務を満たすより迅速なルートを提供します。認証機関は毎年サーベイランス審査を実施し、3年ごとに完全な再認証審査を行います。証明書には有効期限があります。年次確認が合格している間のみ有効です。

DORAの年次評価ルールに基づき、企業はサプライヤーの最新ISO 27001証明書を年1回取得して日付を確認できます。有効な日付は、独立した審査機関が過去12ヶ月でサプライヤーの93のセキュリティコントロールを審査したことを意味します。企業はこれをサプライヤー登録簿に記録します。評価は完了です。

時間の節約は実際にあります。認証済み匿名化ツールを確認するオランダの銀行は、数時間で評価を完了します。ゼロから行う同じ評価は数週間かかります。20の認証済み第三者にわたると、年間の節約は1,200時間に達する可能性があります。その時間を他の業務に充てることができます。

プライバシーツールが対象範囲に含まれる理由

プライバシーおよび匿名化ツールは、企業がクライアントデータの処理、GDPRルールの遵守、またはKYC文書の処理にそれらを使用する場合、DORAの対象となります。ツールが停止し、企業がGDPR準拠の出力を作成できない場合、そのツールはDORAの下での重要な第三者です。毎年評価する必要があります。

GDPRコンプライアンスガイドでデータ最小化ルールを説明しています。ISO 27001のサプライチェーンコンプライアンスについてはISO 27001ダウンストリームコンプライアンス価値、評価時間短縮についてはISO 27001ベンダー評価ショートカットもご参照ください。

出典

関連する記事

SMBセキュリティ

Cut Privacy Training: Weeks to Hours

Privacy tool onboarding typically takes 2-4 weeks, with a 22% first-week configuration error rate. Shareable presets reduce training to 1 day and.

SMBセキュリティ

MSPs: Standardize Anonymization

MSPs and compliance consultants serving multiple client organizations cannot manually reconfigure PII tools per client at scale.

SMBセキュリティ

Transparent Pricing in Privacy Software

67% of B2B buyers prefer vendors with transparent pricing. 43% eliminated vendors who required sales contact for pricing information.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.