anonym.legal

By · Last updated 2026-03-06

ブログに戻るGDPRおよびコンプライアンス

€530M TikTokの罰金と新しいGDPRデータ主権の現実: 'EUホスティング' だけでは不十分な理由

TikTokのEU-中国データ転送に対する€530MのGDPR罰金は、データ主権の執行の新しい時代を示しています。累積GDPR罰金が€5.65Bに達する中、組織は本当のデータ保護が何を必要とするか、そしてホスティング場所だけでは質問に答えられない理由を理解する必要があります。

March 6, 20269 分で読めます
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

データ主権を再定義したTikTok裁定

2026年版に更新

2025年5月、アイルランドデータ保護委員会はTikTokに5億3,000万ユーロの制裁金を科しました。理由は単純です。TikTokは適切な保護措置なしにEUユーザーの情報を中国に転送していました。

これはGDPRの個別制裁金として過去2番目に高い金額です。2023年のメタへの12億ユーロの制裁金のみが上回ります。アイルランドDPCはその制裁金も発行しました。FacebookのEUファイルを米国サーバーに違法転送したことが理由でした。

両方のケースに明確なパターンがあります。適切な保護措置なしの国境を越えた転送は最大の制裁金を引き起こします。規制当局は企業が変わるまで圧力をかけ続けます。

2025年までのGDPR制裁金の累計は56億5,000万ユーロに達しました。法執行はもはや背景リスクではありません。企業にとって積極的なコストです。実践的な概要についてはGDPR適合ガイドをご覧ください。

TikTokケースが決定したこと

このケースはセキュリティ侵害についてではありませんでした。ユーザーファイルがどこに行くか、および移動の法的根拠についてでした。

TikTokはサーバーにEUユーザーファイルを保存していました。中国の従業員がそれらのサーバーにアクセスできました。GDPR第44条から第46条は、EU適格性決定のない国への転送を制限しています。中国にはそのような決定がありません。TikTokは適切な技術的措置を実施していると主張しました。規制当局はその主張を否定しました。

教訓は明確です。EUでのホスティングだけでは不十分です。EU外のスタッフがファイルにアクセスできる場合や、会社が非適格国の法律に従う必要がある場合も同様です。

これはSaaSベンダーを選ぶ際に重要です。ベンダーは「EUでホスティングしています」と言うかもしれません。しかし親会社が他の場所に本社を置いている場合、同じリスクが適用されます。サポートスタッフがEU外からユーザーファイルにアクセスする場合も同様です。彼らの顧客もそのリスクを共有します。DPAに署名する前に適合チェックリストを確認してください。

GDPR制裁金:56億5,000万ユーロ

執行措置制裁金根拠
Meta(Facebook)— DPC12億ユーロ2023違法なEU-US転送
TikTok — DPC5億3,000万ユーロ2025EU-中国転送
Amazon — CNPD(ルクセンブルク)7億4,600万ユーロ2021広告ターゲティング
WhatsApp — DPC2億2,500万ユーロ2021透明性の欠如
Google — CNIL(フランス)1億5,000万ユーロ2022クッキー同意

規制当局はルールの設定から適用へと移行しました。転送違反は今や最大の制裁金を引き起こします。セキュリティと保護措置への当社のアプローチをご覧ください。

ドイツ、スイス、および業界規則

GDPR第44条から第46条はすべてのセクターに適用されます。しかし一部の業界にはGDPRの上に追加ルールがあります。

ドイツの医療: 社会法典第5編(SGB V)は医療文書の処理をドイツが管理するシステムに限定しています。ドイツの保険会社はダブリンのクラウド匿名化ツールを使用できます。それはEUです。しかし、ツールの運営者がドイツ以外の企業の場合、SGB Vに違反する可能性があります。

スイスの銀行: 銀行法第47条は顧客文書の第三者への開示を禁止しています。これには明示的な顧客同意なしのクラウドプロバイダーも含まれます。スイスの銀行の顧客ファイルは、EUホスティングのツールであっても、この義務を引き起こす可能性があります。

ドイツの公共部門: BfDIのガイダンスは政府の文書を政府が運営するシステムに限定しています。商業クラウドプロバイダーのEUサーバーにある匿名化ツールはこの要件を満たしません。

教訓:GDPRへの準拠は最低限であり、目標ではありません。 多くの業界にはより厳しいルールがあります。エンティティ処理概要では業界別の適用ルールを確認できます。

適格性決定を持つ国

GDPRは欧州委員会が同等の保護を提供すると認めた国との情報交換を自由に許可します。対象国:

アンドラ、アルゼンチン、カナダ(商業組織)、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、韓国、スイス、英国、ウルグアイ、米国(データプライバシーフレームワーク)。

対象外の国:中国、インド、ロシア、ブラジル、アジア太平洋の大部分、中東の大部分、アフリカの大部分。

EU-US データプライバシーフレームワークは再び有効です。しかし法的に争われています。セーフハーバー(Schrems I)とプライバシーシールド(Schrems II)を無効にした同じ法的主張が再び使われています。このフレームワークに依存する企業は別の無効化に備えるべきです。

ツール選択のための4つの保護レベル

TikTokとMetaのケースはSaaSツール評価の明確なランキングを示しています。

レベル1 — EUホスティング: ユーザー情報はEUサーバーで処理・保存されます。これはほとんどのユースケースでGDPRの基準を満たします。

レベル2 — EUベースの運営者: ベンダーの親会社はEUに本社を置いています。非適格国の法律に縛られていません。これはTikTokの問題を解決します。EUホスティングに親会社への中国法の適用が組み合わさることは安全ではありません。

レベル3 — ゼロ知識設計: ベンダーがハッキングされたり裁判所命令を受けたりしても、ファイルを読むことができません。あなたが暗号化キーを保持します。彼らは暗号文のみを持ちます。ゼロ知識アプローチをご覧ください。

レベル4 — ローカル処理: 文書は自分のシステムから外に出ません。処理はローカルハードウェアまたは政府管理システムで行われます。ドイツのSGB V、スイスの銀行秘密、BfDI要件を完全に満たす唯一の方法です。デスクトップアプリのオプションについては料金プランをご覧ください。

TikTok後のDPIA

GDPR第35条は高リスクな処理についてのデータ保護影響評価(DPIA)を義務付けています。ユーザーファイルが第三国の処理者に渡る場合、転送影響評価も必要です。

TikTok後、クラウドリダクションツールのDPIAは4つの質問に答える必要があります。

親会社の管轄: ベンダーの親会社は、EUユーザーファイルの提供を強制できる法律(CLOUD Act、中国のサイバーセキュリティ法など)の対象ですか?

スタッフのアクセス: 非適格国のスタッフが通常業務でEUユーザーファイルにアクセスしますか?

法的根拠: 転送をカバーするGDPR第46条のメカニズムは何ですか?SCCs、BCRs、または例外?

侵害の影響: ベンダーがハッキングされたり文書の提供を強制されたりした場合、何が公開されますか?

TikTokは契約だけでは不十分であることを示しました。適格性について評価する必要があります。回答を文書化してください。DPIAに関するよくある質問はFAQをご覧ください。

2026年の調達における質問

DPOは個人情報処理ツールのSaaSベンダーを審査する際に非常に具体的な質問をするようになっています。

  • サーバーはどこにありますか?(EU?)
  • 親会社の本社はどこですか?(EU?米国?その他?)
  • EU外のスタッフがEU顧客のファイルにアクセスしますか?
  • 文書に関する裁判所命令にどの法律が適用されますか?
  • ベンダーが暗号化キーを保持しますか、それともあなたが保持しますか?
  • ローカル処理のオプションがありますか?

これらの質問への回答こそが、DPA署名だけでなく、真の主権への準拠を決定します。anonym.legalがすべての質問に答えるよう設計された経緯は創設者声明でご覧ください。SCCs、BCRs、適格性決定の簡単な定義は用語集をご覧ください。

TikTok後の環境は明確です。規制当局は国境を越えた転送を厳しく監視しています。制裁金は高額です。上昇しています。ベンダーの選択は規制上の決定となっています。技術的な決定だけではありません。

anonym.legalはゼロ知識設計のEUベースのHetznerデータセンターを使用しています。サーバーは平文のコンテンツを見ることがありません。サーバーへの完全な侵害はAES-256-GCM暗号文のみをもたらします。ローカルのみの処理が必要ですか?デスクトップアプリは外部接続なしでデバイス上で完全に動作します。

出典

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.