スウェーデンIMY:パーソンヌメルとLuhn検証
2026年版に更新済み
スウェーデンのデータ保護機関はIMY(Integritetsskyddsmyndigheten)です。実際に使用されているPIIツールをテストしました。結果:45%がパーソンヌメルの検出に失敗しました。パーソンヌメルはスウェーデンの主要な国民識別番号です。さらに、スウェーデンの成人の79%が毎年GDPRの権利を行使しています。これはEU内で最も高い割合です。検出精度の低さは、直接的なコンプライアンス上の問題を引き起こします。
パーソンヌメルの形式とLuhn検証
パーソンヌメルには2つの形式があります。短縮形:YYMMDD-XXXX(10桁)。長形:YYYYMMDD-XXXX(12桁)。最後の桁はLuhnチェックデジットです。
Luhn検証の仕組み: 数字を右から左に取ります。1桁おきに2倍にします。2倍の結果が2桁になった場合は、その2桁を足します。すべての値を合計します。合計が10で割り切れれば有効です。
LuhnアルゴリズムはクレジットカードやカナダのSINにも使われています。しかしパーソンヌメルは最初の6桁に日付を含んでいます。そのため、金融機関のLuhn検証とは異なる検証ルールが必要です。日付ロジックを無視するツールは誤検知を生み出します。
サムオードニングスヌメルの問題
スウェーデンは、パーソンヌメルが発行される前の外国人居住者に対して、調整番号(サムオードニングスヌメル)を発行します。形式は同じです。違いは、生年月日の日付部分に60が加算される点です。
- パーソンヌメル(1月15日生まれ):日付部分 = 15
- サムオードニングスヌメル(同じ日付):日付部分 = 75(15 + 60)
サムオードニングスヌメルの有効な日付値は61〜91です。01〜31のみを受け付けるツールは、これらをすべて見落とします。
外国生まれの居住者はスウェーデンの人口の約20%を占めます。非スウェーデン人のスタッフやクライアントを持つ企業にとって、この問題は大量の記録が未検出になることを意味します。
IMYの匿名化要件
IMYの2023年匿名化ガイドは、EU内のどのデータ保護機関よりも詳細な技術文書です。他の12のDPAがこれを参照しています。
スウェーデンのデータセットには3つのルールが適用されます:
- k匿名性 ≥ 5。 各レコードは、すべての主要フィールドで少なくとも他の4件と区別できないものでなければなりません。年齢、性別、自治体、職業が典型的な準識別子です。スウェーデンの小規模な人口では、小さなグループが特定されやすいです。
- 健康・財務データのl多様性。 k匿名性だけでは推論攻撃を防げません。l多様性は、各グループが少なくともl個の異なる機密値を持つことを要求します。
- 正式な証明が必要。 IMYは主張だけのコンプライアンスを受け付けません。しきい値が達成されていることを示す技術文書が必要です。
79%の権利行使率:実務への影響
スウェーデン人ユーザーが50,000人いる組織の場合、79%は年間約39,500件の権利請求を意味します。それぞれ30日以内に回答しなければなりません。
手動処理ではこの量に対応できません。企業はすべての保存場所(メインデータベース、バックアップ、分析プラットフォーム、AIトレーニングデータセット)にわたる自動PII検索が必要です。システムはパーソンヌメルとサムオードニングスヌメルの両方を検出する必要があります。どちらもLuhn検証と60日オフセットルールが必要です。
この技術的精度は、スウェーデンの権利請求に大規模に対応するための基本要件です。それがなければ、自動化システムは検索・返還が必要な記録の相当部分を見落とします。
完全な匿名化フレームワークとIMYの2024年執行実績については、IMY GDPRと北欧諸国の匿名化ガイドをご覧ください。
EU各国との比較については、BFDIドイツGDPR技術ガイドをご覧ください。