anonym.legal

By · Last updated 2026-05-09

ブログに戻るGDPRおよびコンプライアンス

あなたのDPOが匿名化ツールを承認するために必要なこと:GDPR第28条ベンダー評価チェックリスト

GDPR第35条は高リスク処理に対してDPIAを要求します。ISO 27001認証はセキュリティ質問票の時間を73%削減します。フォーチュン500のセキュリティ調達では、78%のRFPでISO 27001が必要です。DPOは文書化されたセキュリティ管理、EUデータ居住、DPIAの可用性が必要です。

May 9, 20269 分で読めます
DPO GDPR vendor assessmentGDPR Article 28 checklistDPIA anonymization toolISO 27001 procurementdata processor evaluation

DPOが匿名化ツールを評価すべき理由

GDPRは高リスクの処理に対してデータ保護影響評価(DPIA)を義務付けています。大規模な個人情報の処理は高リスクに該当します。匿名化ツールはデータ処理者です。処理者に関する規則が適用されます。本番稼働前に評価してください。

二つのことが求められます。処理者はセキュリティに関する「十分な保証」を提供する必要があります。すべての処理は書面による契約によって規律される必要があります。DPOとして、ツールのセキュリティ管理策、副処理者、ホスティング場所、侵害時の手順、データ処理契約(DPA)を記録してください。

ISO 27001認証は作業を減らします。BSIの調査では、認証取得組織がセキュリティ調査票の対応時間を**73%削減できることが示されています。Gartnerの調査では、ISO 27001がFortune 500の入札案件の78%**で求められています。認証済みのツールであれば、証明書を提示するだけで済みます。各管理策を個別に確認する必要はありません。未認証のツールはより多くの手作業による確認が必要です。

要件への対応については、コンプライアンス概要およびセキュリティページをご参照ください。

確認すべき七つの項目

匿名化ツールやサプライヤーを評価する際は、このリストをご活用ください。

1. データ処理契約。 GDPR準拠のDPAは締結されていますか?以下を網羅している必要があります:指示に基づく処理のみの実施、注意義務、セキュリティ対策、副処理者の管理、権利行使要請への支援、ファイルの削除または返還、監査権。

2. セキュリティ記録。 セキュリティ対策が文書化されていますか?ISO 27001認証済みのサプライヤーは、証明書と適用性宣言書を提示できます。これで要件を満たします。

3. 副処理者リスト。 このツールは副処理者を利用していますか?名称は明記されていますか?変更前に事前通知を受ける必要があります。クラウドホスト、CDN、OCRツールはすべて該当します。名称が不明記なのはよくある不備です。

4. ホスティング場所。 ファイルはEU内でホストされていますか?EUホスティングはEU拠点の企業にとって最も手続きが簡便です。ゼロ知識ツールも問題ありません——ファイルがデバイスの外に出ません。米国拠点のサプライヤーには標準契約条項(SCC)が必要です。

5. 侵害通知。 サプライヤーはどのくらい速く侵害を通知しますか?法律では72時間以内に規制当局へ通知することが求められています。サプライヤーはその前にあなたに連絡する必要があります。DPAでこれが確認できるか確かめてください。

6. サプライヤーのDPIA。 サプライヤーは自社のDPIAを実施していますか?閲覧できますか?DPIAがなければ、自社の記録に空白が生じます。これはよくある問題です。

7. 消去と可搬性。 サプライヤーは消去権と可搬性の要請に対応できますか?ゼロ知識ツールはファイルを保存しないため、消去が適用されない場合があります。DPIAでその旨を明記してください。

優れたサプライヤーは四つの書類を提供します:ISO 27001証明書、EUホスティング証明、DPIA、署名済みDPA。この四点で、自社のDPIAのすべての空白を埋めることができます。規制当局も満足します。

評価手順に関するよくある質問は、DPO向けFAQをご覧ください。

出典

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.