anonym.legal

By · Last updated 2026-06-05

ブログに戻るGDPRおよびコンプライアンス

Irish DPC TikTok LinkedIn Meta: GDPR執行

アイルランドのデータ保護委員会(DPC)によるTikTok、LinkedIn、Metaへの大規模罰金。GDPR執行の最前線。

June 5, 20268 分で読めます
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

アイルランドがEU執行をリードする理由

アイルランドのデータ保護委員会(DPC)は、EU内の大手テクノロジー企業のほとんどに対して主任監督機関となっています。これは偶然ではありません。

アイルランドの低い法人税率が、Apple、Google、Meta、LinkedIn、TikTokを引き付けました。これらの企業はすべて、アイルランドにEUの主要拠点を置いています。

GDPR第60条により、DPCはこれらの企業の主任機関となっています。この規則から3つのことが導かれます。

第一に、ドイツでFacebookに関する苦情が出た場合、ドイツのBfDIではなくアイルランドのDPCに送られます。第二に、DPCは国境を越えた案件で他のEU機関と協力します。第三に、DPCによるMetaへの決定はEU全域に適用されます。

結果は明らかです。DPCは他のすべてのEU機関を合わせた額よりも多くの制裁金を課しています。GDPRコンプライアンス概要で、執行パターンがベンダー選定にどう影響するかをご覧ください。

2024–2025年を定める三つの制裁金

TikTokへの5億3000万ユーロ(2025年5月): 中国のエンジニアがEUユーザーの記録にアクセスしました。これはGDPR第44条から第46条に違反します。これらの規則は、EU十分性決定のない国への移転を制限します。中国にはその決定がありません。TikTokは適切な管理があると主張しました。DPCはそれを認めませんでした。

LinkedInへの3億1000万ユーロ(2024年10月): LinkedInは行動分析に「正当な利益」を根拠としました。DPCはこれを無効と判断しました。処理は述べられた目的に必要ではありませんでした。バランステストはLinkedInに有利に働きませんでした。

Metaへの2億5100万ユーロ(2024年11月): 2018年のFacebookの侵害はDPCに適時に報告されませんでした。DPCはまた、不十分な監査ログにより何が公開されたかを測定することが不可能だったことも指摘しました。

これら三件は、2023年5月のMetaへの12億ユーロの制裁金に加わります。その制裁金もDPCから来たもので、EU-米国間の違法な移転が理由です。これは過去最大のGDPR制裁金であり続けています。

DPCは2024年に8,500件以上の国境越え案件を処理しました。各失敗に対してゼロ知識設計がどう対応するかは、セキュリティ・コンプライアンスページをご覧ください。

各制裁金が示すもの

国境を越えたアクセスの失敗

三件の制裁金はすべて一つの核心的問題を共有しています。個人記録が、EUレベルのプライバシー規則のない国の従業員にアクセス可能でした。

TikTokへの制裁金は直接的でした。EUユーザーのファイルが、述べられた管理策にもかかわらず中国のエンジニアに届きました。

ベンダー選定への意味: EU内でホストされている記録にEU外のエンジニアがアクセスできるかどうかを確認してください。ベンダーがダブリンでホストしていても、米国ベースのサポートを通じてEUのファイルを公開する可能性があります。EU所在だけでは十分ではありません。エンティティ処理ガイドでは、GDPR第46条へのアクセス制御の適用方法を説明しています。

法的根拠の失敗

LinkedInへの制裁金は侵害に関するものではありませんでした。LinkedInが処理をどのように正当化したかに関するものでした。

「正当な利益」は一般的な権利ではありません。管理者は真のバランステストを文書化しなければなりません。そのテストは、自社の利益がユーザーの権利を上回ることを示さなければなりません。コンプライアンスページでは、ベンダーの法的根拠を確認する方法を説明しています。

ログ記録と通知の失敗

Metaへの2億5100万ユーロの制裁金には重要な発見が含まれていました。不十分な監査ログにより、侵害の範囲を測定することが不可能でした。

GDPR第33条は、72時間以内に監督機関に侵害を通知することを要求しています。その通知には影響を受けた記録の範囲が含まれなければなりません。測定できない範囲は報告できません。

潜在的なベンダーに監査ログの構造について確認してください。インシデント後に「どの記録が公開されたか」と答えられないベンダーは、第33条(3)(b)を満たしません。

DPC案件に見られるパターン

四つの主要なDPC制裁金を検討すると、一つのパターンが見えます。規制当局は、ベンダーのエンジニアがユーザーコンテンツを見ることができる設計を罰します。すべての主要な制裁金は、個人記録への管理が不十分なアクセスを含んでいました。

ゼロ知識設計は各ケースの核心的な懸念に対応します。ユーザーコンテンツは暗号化されます。ベンダーは復号化キーを持ちません。

TikTokとMetaの移転案件では、EU外のエンジニアがサーバーにアクセスしても暗号文しか見えません。読み取り可能な記録は公開されません。Metaの侵害案件では、サーバーの完全な侵害は役立つものを何も生み出しません。侵害の範囲が縮小されます。LinkedInの場合、平文を見ることのないベンダーは行動分析を実行できません。

これは各DPCの行動に対する直接的な答えです。詳細はセキュリティ概要、または創業者声明でanonym.legalがなぜこのように構築されたかをご確認ください。

「主要拠点」の意味

一部の企業は、どのDPAが管轄権を持つかを制御するためにEU構造を設計します。DPCの解釈はここで重要です。

「主要拠点」は単なる会社の住所ではありません。中央EU管理がある場所です。管理者にとっては、処理目的に関する決定が行われる場所です。

ロンドンにプライバシーチームを持つ企業は、EU内に主要拠点を持たない場合があります。各国の当局が地元の苦情に対して管轄権を主張する可能性があります。

ベンダー評価の質問事項

個人記録を扱うSaaSベンダーを評価する際にこれらの質問を使用してください。

管轄と アクセス:

  • ベンダーのEU主要拠点はどこですか?
  • EU外の従業員が通常業務でEUユーザーの記録にアクセスできますか?
  • ベンダーの親会社はCLOUD Actや中国のセキュリティ法の対象ですか?

技術設計:

  • EUユーザーコンテンツはEU内でホストされたサーバーに留まりますか?
  • ベンダーが暗号化キーを持っていますか、それとも顧客ですか?
  • 監査ログは侵害の範囲を測定するのに十分な詳細さですか?

移転記録:

  • EU-米国フローをカバーするGDPR第46条のメカニズムは何ですか?
  • ベンダーは移転影響評価を完了しましたか?
  • どのような追加の技術的対策が実施されていますか?

DPCの執行は一点で一貫しています。プライバシーチームとDPOを持つ企業でも、技術設計が主張と一致しない場合は大きな制裁金が科されます。詳細はケーススタディFAQをご覧ください。

anonym.legalはゼロ知識設計でEUベースのHetznerサーバーを使用しています。サーバーはAES-256-GCM暗号文のみを保持します。完全な侵害でも読み取り可能な記録は公開されません。デスクトップアプリは外部接続なしですべてのコンテンツをデバイス上で処理します。

出典

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.