anonym.legal

By · Last updated 2026-05-24

ブログに戻るGDPRおよびコンプライアンス

GDPR DSARのスケールでのコンプライアンス:チームを雇わずに月に200件のリクエストを処理する

GDPR第15条のDSARは毎年40-60%増加しています。組織は月に数百件を受け取ります。バッチPIIの削除により、DSAR処理は手動レビューの10倍の速度で行えます。€225Kの罰金と€1.2Mの罰金は、DSARの失敗がどれほどのコストをもたらすかを示しています。

May 24, 20268 分で読めます
DSAR processingGDPR Article 15data subject access requestright of accessbatch redaction

GDPRデータ主体アクセス要求の大規模対応:月200件の処理

2026年版に更新

GDPR第15条は、個人が自分のデータのコピーを入手する権利を認めています。30日間の回答期限は必須です。複雑な要求には90日までの延長が認められます。罰金は現実です。Vodafoneスペインは2021年に120万ユーロを支払いました。ドイツの企業は2023年に22万5,000ユーロを支払いました。どちらもDSAR(データ主体アクセス要求)の違反による制裁です。

DSARの件数は増え続けています。プライバシー団体が人々の一括申請を支援しています。ブラウザ拡張機能で多くの企業へ簡単に送信できます。かつて年間10件だった組織が今や月200件を受け取ります。10件向けの手動ワークフローは200件に対応できません。20倍の増加は自動化なしに吸収できません。当社が処理するデータカテゴリについてはエンティティページをご覧ください。

GDPRへの対応についてはコンプライアンス概要セキュリティプラクティスをご参照ください。

DSARの処理に必要なこと

第15条は「はい、データは保有しています」と言うだけでは不十分です。コピーを送付する必要があります。3つのステップが求められます。

個人データの特定。 CRM、メール、サポートチケット、マーケティングツール、人事記録など、すべてのシステムを検索します。法務とITが連携してシステム横断的なクエリを実行する必要があります。

第三者データの削除。 送付するコピーには他者の個人情報を含めてはなりません。サポートチケットにエージェントのメールアドレスがある場合は墨消しします。注文記録に別の顧客名が含まれている場合は削除します。大量処理プログラムでは、この第三者墨消しのステップでバッチツールが最も時間を節約します。

形式と期限の要件を満たす。 GDPRは一般的な電子形式を要求します。PDFやプレーンテキストはどちらも適格です。期限は要求受領時から始まります。期限超過は制裁措置の主な原因です。

DSAR処理の数値

月200件のDSARを受け取るヨーロッパのECサイトを例にします。

各要求には通常以下が含まれます:

  • 注文記録:8〜12件
  • サポートチケット:3〜7件
  • アカウント記録:2〜4件
  • 平均:1件あたり約18文書

月間3,600文書が第三者墨消しを必要とします。

手動処理時間:

  • 1文書あたり7〜15分
  • 3,600文書 = 月420〜900時間
  • 墨消しだけで常勤3〜6名相当

バッチ処理:

  • 3,600文書を一括アップロード
  • DSARの墨消しプリセットを適用
  • 夜間処理:4〜8時間
  • 例外ケースのレビュー(約10%):約90時間
  • 合計:月150〜200時間 — 常勤約1名相当

バッチ処理の料金については料金ページをご覧ください。

内部記録用の暗号化後墨消し

元に戻せる内部記録と、クリーンな外部回答の両方が必要なチームもあります。2段階のアプローチで解決できます。

第1段階: 制御された鍵を使って個人データを暗号化した状態で文書を保存します。アクセスは承認ユーザーに制限されます。必要に応じて原文を復元できます。

第2段階: DSAR回答を送付する前に不可逆的な墨消しを適用します。当事者はトークンや目印のないクリーンな文書を受け取ります。

墨消しルールが変更されても、いつでも文書を再処理できます。記録を保持しながら法的要件を満たします。

コンプライアンス文書化

第5条(2) — 説明責任の原則 — はコンプライアンスを証明することを意味します。記録が必要です。言葉だけでは不十分です。各DSARについて以下を記録してください:

  • 受領日と本人確認の方法
  • 検索したシステムと発見内容
  • 墨消しの種類と使用エンティティタイプ
  • 回答の日付と形式
  • 例外ケースの対処方法

バッチツールは自然な監査ログを作成します。FAQでは監査証跡要件に関する一般的な質問を取り上げています。「管理者」「処理者」などの用語は用語集をご覧ください。

DSAR違反のコスト

Vodafoneスペインへの制裁(AEPD、2021年)は、期限超過、不完全な回答、本人確認の不備によるものです。ドイツの制裁(バイエルン州データ保護監督局、2023年)は回答遅延とデータ欠落によるものです。

どちらのケースも、件数が手動処理能力を超えた時に何が起きるかを示しています。遅延が常態化します。自動化がボトルネックを解消します。コンプライアンスをデザインに組み込む取り組みについては創業者ステートメントをお読みください。

自動化のリスク

バッチツールは作業を減らしますが、新たなリスクも生じます。導入前に把握してください。

検出精度を確認する

2%の見落とし率は100文書では小さいです。年間5万件では数千件のエラーになります。本番稼働前に実際のサンプルでプリセットをテストしてください。

処理チェーンを把握する

バッチシステムはOCRツール、NLP API、クラウドストレージを使用することが多いです。それぞれ第28条の義務を追加し、データ所在地の問題が生じる可能性があります。まず全データフローを把握してください。

人間を介在させる

第22条は法的効力を持つ自動的な決定を制限しています。開示または不開示を決定するシステムには人間によるレビュー手順を追加してください。

管理上の負担を計画する

バッチシステムには処理活動記録の更新、新しいデータフロー図、委託先DPAが必要です。多くのチームがこの作業量を過小評価します。最初から計画に含めてください。

実装チェックリスト

自動化前:

  • DSARの受付プロセスを文書化する
  • 個人データを保有するすべてのシステムをリスト化する
  • システム横断クエリ用のデータマップを作成する

セットアップ手順:

  • 適切なエンティティタイプでDSAR墨消しプリセットを設定する
  • 人間によるレビューのトリガールールを設定する
  • サンプル要求5〜10件でテストする

継続的な運用:

  • 文書を毎日または要求ごとにアップロードする
  • フラグ付きアイテムを人間のレビューキューに送る
  • 処理済み出力から最終回答を作成する
  • 回答日付と形式を記録する
  • 月次でログをレビューしてパターンを確認する
  • プロセスが変わったら処理活動記録を更新する

大規模なDSARワークフローの構築事例についてはケーススタディをご覧ください。

まとめ

DSARの件数は増え続けます。プライバシーツール、一括申請用のブラウザ拡張機能、メディア報道がさらなる要求を促進しています。年間40〜60%の成長が続くことを見込んでください。

手動プロセスでは追いつきません。バッチツールが墨消し作業を担うことで、スタッフは例外ケースの対応に集中できます。これがスケールするモデルです。手動のみでは対応できません。今自動化する組織は件数の増加に備えて有利な立場に立てます。

情報源

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.