anonym.legal

By · Last updated 2026-05-07

ブログに戻るGDPRおよびコンプライアンス

EDPB 2025擬似匿名化ガイドライン:あなたの匿名化データは本当にGDPRの個人データですか?

EDPBガイドライン01/2025は、擬似匿名化データがGDPRの下で個人データであることを明確にしました — 真の匿名化のみがGDPRの範囲外に該当します。『匿名化』ツールとして販売されているほとんどのツールは、実際には擬似匿名化データを生成します。DPOはこの区別を即座に理解する必要があります。

May 7, 20269 分で読めます
EDPB 2025 pseudonymizationanonymization vs pseudonymization GDPRGDPR scope personal dataDPO compliance gappseudonymization domain

EDPB 2025:仮名化ガイドライン解説

2026年版に更新済み

2025年1月の変更点

欧州データ保護委員会(EDPB)は2025年1月、ガイドライン01/2025を公開しました。テーマは仮名化です。核心は短くまとめられています。仮名化されたファイルは依然として個人ファイルです。法律の適用範囲内に留まります。多くのチームはこれが適用外になると考えていました。新ガイドラインはそれを否定しています。

プロセスを元に戻す鍵を組織が保持している場合、規則は引き続き適用されます。

仮名化ドメイン

ガイドラインは新しい概念を導入しています:仮名化ドメイン。これは、仮名化された項目を実在の人物に結びつけることができる当事者のグループです。

そのグループ内のすべての当事者は法律の対象となります。鍵を保持している場合、または鍵を導出できる場合、あなたはそのグループに属します。すべての規則が適用されます。

2つの用語。1つの差。

これら2つの用語は同一ではありません。

真の匿名化は元に戻せません。いつでも、どの当事者も逆転させることはできません。真に匿名化されたファイルは法律の適用範囲外になります。

仮名化は元に戻せます。鍵、参照テーブル、または補助ファイルによって元の値を復元できます。鍵を保持する当事者にとって、それらの項目は法律の対象のままです。

仮名化(匿名化ではない)された出力を生成する3種類のツール:

  • トークンシステム:個人情報を固定トークンに置き換え、参照テーブルを保持する
  • 暗号化ツール:個人情報の値をロックし、復号鍵を保持する
  • 書式保持暗号化ツール

ハッシュ化は真の匿名化に近いですが、推測しにくい入力に対してのみ有効です。短い名前や一般的なIDコードは、レインボーテーブル攻撃によってハッシュを元に戻せる可能性があります。EDPBはこのリスクを指摘しています。推測しやすい値のハッシュ化は真の匿名化として認められない可能性があります。

DPOが取るべきステップ

「匿名化済み」とラベル付けされた各ファイルセットを見直してください。問いかけてみてください:いずれかの当事者がこれを元に戻せますか?もしそうなら、それは仮名化されています。法律は依然として適用されます。

法律の適用範囲外に留まる必要があるファイル(分析、アーカイブ、研究の集計値)は、元に戻せない手順が必要です。選択肢:永続的な削除、復元不可能な値でのマスキング、または推測しにくい入力のハッシュ化。使用した方法とその理由を記録してください。

プロセスを元に戻せる必要があるファイル(研究での再接触、監査証跡、法的保存)は仮名化された個人ファイルとして明示的にラベル付けする必要があります。すべての法的義務を維持してください。EDPBの鍵分離ルールに従って鍵の保管を文書化してください。

5つの方法フレームワークはこの分類に対応しています。置換、マスキング、暗号化は仮名化された出力を生成します。削除と(推測しにくい入力のみの)ハッシュ化は真の匿名化に達する可能性があります。ただし、完全性のレビューが必要です。

ツールが実際に何を生成するか確認してください。「匿名化」ツールとして販売されている製品でも、マッピングや鍵を保持している場合は仮名化された項目を出力する可能性があります。私たちのGDPRコンプライアンスガイドはすべての分類ルールをカバーしています。セキュリティコンプライアンス概要はDPOが記録すべき技術的管理について説明しています。ツールのガイダンスについては、匿名化プリセットと監査ガイドをご覧ください。

ソース

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.