anonym.legal

By · Last updated 2026-06-05

ブログに戻るGDPRおよびコンプライアンス

国際プライバシー準拠: GDPR、CCPA、PDPA 統一ツール

GDPR、CCPA、PDPA、LGPD など複数の規制に対応する統一的なPII検出・匿名化ツールの設計。

June 5, 20268 分で読めます
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

GDPR・CCPA・PDPAを一つのツールで。

2026年版に更新済み。

EU のチームは GDPR の対象です。 カリフォルニアのチームは CCPA のデータを扱います。 シンガポールのチームは PDPA の下で業務を行います。 三つの法律。一つの共有データベース。

これが分散チームにとってのグローバルプライバシー課題です。 チームがアクセスする顧客データは同じです。 そのデータを規制するルールは異なります。

多法域間のギャップ

ドイツ・カリフォルニア・シンガポールに分散したサポートチームが、同じ顧客アカウントを開く場合があります。 そのデータに含まれる名前・メール・口座情報は、各国で異なるルールに従います。

GDPRでは、各利用に法的根拠が必要です。 CCPAでは、消費者は削除請求やデータ販売の拒否ができます。 PDPAでは、同意と移転に関するルールが適用されます。

AIアシスタントに顧客ファイルを共有する行為が、三つの法律に基づく義務を同時に発生させることがあります。 一つの行動。三つの法律。

地域ごとのソフトウェアでは解決できません。 むしろ問題を悪化させます。

地域ごとのプラットフォームが失敗する理由

直感的には、ソフトウェアを場所に合わせたくなります。 米国チームには米国製ソリューション。 EUチームにはEU製ソリューション。 APACチームにはAPAC製ソリューション。

しかし、これは実際には機能しません。

データはプラットフォームについてきません。 カリフォルニアのエージェントがドイツの顧客の問い合わせを処理する場合、GDPRに拘束されます。EU顧客の消去権が適用されます。米国のソリューションには、ドイツの身分証明書フォーマットやIBANが含まれていない可能性があります。これはギャップです。

設定が三つのシステムに分断されます。 三つのプラットフォームは、三つの監査証跡を意味します。三つのカバレッジ設定。整合しない可能性のある三種類のエンティティ型。統一レポートの作成は手動での統合作業になります。

国境を越えたデータ移転で混乱が生じます。 米国のアナリストがEU顧客データを含むエクスポートを受け取ることがあります。GDPRのもとでは、法律はデータ主体を追います。アナリストの所在地ではありません。米国のみのソリューションではこれを解決できません。

国境をまたぐ義務の積み重なりについては、法的コンプライアンスガイドをご覧ください。

地域別エンティティカバレッジ

個人情報の識別子は国によって異なります。一つの市場向けに作られたプラットフォームは、他の市場の識別子を見逃します。

EUエンティティ(GDPR):

  • ドイツの Personalausweis と Steuernummer。
  • フランスの Numéro de Sécurité Sociale。
  • スペインの DNI と NIE。
  • EU銀行口座用のIBANとBIC。

米国エンティティ(CCPA / HIPAA):

  • 社会保障番号(SSN)とEIN。
  • 州別運転免許証フォーマット。
  • メディケアとメディケイド番号。
  • HIPAAの18種類の保護健康情報識別子。

APACエンティティ(PDPA、PIPL、PDPB):

  • シンガポールのNRICとFIN。
  • タイの国民IDカード(13桁)。
  • 中国の居民身份証(18桁)と携帯電話番号。
  • インドのAadhaarとPANカード。

米国中心のソリューションはSSNを確実に検出します。 ドイツのPersonalausweisは見逃します。 EUのソリューションはIBANと国内IDを検出します。 Aadhaar番号を検出できない場合があります。

完全なカバレッジは、すべての関連市場のエンティティ型を意味します。 ソフトウェアの本国市場だけではありません。

エンティティの全一覧は /entities でご確認ください。

地域別プリセット設定

実用的な解決策:一つの検出エンジンに地域ごとのプリセットを設定します。

GDPRスタンダードプリセット(EUチーム): GDPR規定の18種類の個人データカテゴリ。EU身分証明書フォーマット。EU銀行情報。GDPRの広い定義に合わせた信頼度しきい値。

CCPA / HIPAAプリセット(米国チーム): SSN、EIN、メディケアとメディケイド番号。州別のIDと運転免許証フォーマット。米国金融口座番号。医療データを扱うチーム向けHIPAAの18種類のPHI型。

APACプライバシープリセット(APACチーム): シンガポールのNRICとFIN。タイの国民ID。中国の居民身份証と携帯番号。インドのAadhaarとPAN。必要に応じた国別フラグ。

各プリセットは中央で一度だけ設定します。 全メンバーが使用できます。 従業員の地域またはデータ主体の地域に適用します。 より制限の厳しい方を使用します。 エンジンが自動的に厳格なルールを適用します。

プリセットの詳細は FAQ をご覧ください。

ケーススタディ:50人規模のSaaS企業

あるフルリモートのSaaS企業が年次プライバシー監査を実施しました。 スタッフはドイツ(18人)、カリフォルニア(22人)、シンガポール(10人)にいました。

統合前:

ドイツグループはEUのマスキングプラットフォームを使用。 カリフォルニアグループはEUエンティティカバレッジが限定的な米国製ソリューションを使用。 シンガポールグループはマスキングソフトウェアなし。 監査では三地域すべてで基準のばらつきが判明。 シンガポールの指摘事項は未解決のギャップとして残りました。

一つのプラットフォームへの統合後:

  • ドイツ向けGDPRプリセット(EUエンティティ型・48言語対応)。
  • カリフォルニア向けCCPAプリセット(米国エンティティ型・CCPAカテゴリ)。
  • シンガポール向けPDPAプリセット(APACの識別子)。
  • 50人全員をカバーする一元的な監査証跡。
  • 処理されたすべてのデータをEU内に保管。

この構成はサービス内の国境を越えた移転に関するGDPR第46条を満たします。

2025年の監査結果: マスキングのばらつきに関する指摘はゼロ。 シンガポールの未解決ギャップも解消されました。

企業が技術的対策を文書化する方法については /security-compliance をご覧ください。

まとめ

グローバルプライバシーへの対応は三つの個別問題ではありません。 すべての地域で一貫した技術的管理策を実現するという、一つの問題です。

同じ検出エンジン。同じ監査証跡。 法律ごとに異なるプリセット。 一つのサービスで三つすべてに対応します。

グローバルチームへのサポートについては /pricing をご覧ください。

出典

  • GDPR第3条:領域的適用範囲。gdpr-info.eu/art-3-gdpr/
  • カリフォルニア消費者プライバシー法(CCPA/CPRA)。oag.ca.gov/privacy/ccpa
  • タイ個人データ保護法(PDPA)。pdpa.go.th
  • GDPR第46条:国境を越えたデータ移転。gdpr-info.eu/art-46-gdpr/

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.