anonym.legal

By · Last updated 2026-06-05

ブログに戻るGDPRおよびコンプライアンス

OPC カナダ: PIPEDA Bill C-27 プライバシー

カナダのプライバシーコミッショナー(OPC)によるPIPEDA(個人情報保護電子文書法)と新Bill C-27ガイドライン。

June 5, 202610 分で読めます
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

カナダのプライバシー法は変わりつつあります。プライバシーコミッショナー事務局(OPC)は現在PIPEDAを施行しています。法案C-27はPIPEDAをより厳格なルールに置き換える予定です。カナダとEUのデータ移転協定も2026年に見直しされます。知っておくべき内容をまとめました。

カナダの現行プライバシー法

PIPEDAはカナダの主要な民間部門プライバシー法です。2001年から施行されています。連邦規制対象業界の企業に適用されます。独自のプライバシー法がない州にも適用されます。

3つの州が独自の法律を持っています:アルバータ州、ブリティッシュコロンビア州、ケベック州です。

ケベック州の法律第25号が最も厳格です。2022年と2023年に段階的に施行されました。プライバシー影響評価と指名されたプライバシー責任者を義務付けています。旧PIPEDAよりもEUのGDPRに近い内容です。

OPCは2024年にPIPEDA関連の申し立てを400件以上処理しました。同意なしに位置情報データを収集したとしてTim Hortons社に拘束力のある命令を発しました。その年、複数の健康アプリ運営者も命令を受けました。

法案C-27:3つの新しい法律

法案C-27は国会を通過中です。3つのパートがあります。

**消費者プライバシー保護法(CPPA)**はPIPEDAに取って代わります。主な変更点:

  • 目的制限とデータ最小化のルール。
  • より厳格な同意ルール。
  • 世界売上高の3%またはCAD 1,000万ドルのいずれか大きい方までの制裁金。
  • データポータビリティの権利。
  • 自動化された意思決定に関する開示ルール。

**人工知能およびデータ法(AIDA)**はAIルールを追加します:

  • AIシステムに対するリスクベースのルール。
  • 高影響AIに対する必須リスク評価。
  • 人々に影響を与えるAIに関する開示ルール。
  • 危害を与えるために設計されたAIの禁止。

個人情報・データ保護審判所法は新しい不服申し立て機関を創設します。現在の連邦裁判所手続きに代わるものです。

カナダが他のプライバシー法とどう比較されるかは、グローバルプライバシーコンプライアンスガイドをご覧ください。

カナダのPII:検出すべき情報

カナダのファイルには固有のID種別が含まれます。ツールはすべてに対応する必要があります。

**SIN(社会保険番号):**9桁の番号です。形式:XXX-XXX-XXX。Luhnチェックを使用します。SINは税務申告書、給与記録、給付書類に記載されます。カナダで最も機密性の高いIDです。

**州別健康保険カード番号:**カナダには13の州と準州があります。それぞれ異なる形式を使用します。連邦標準はありません。主な形式:

  • オンタリオ州OHIP:10桁と2文字のコード。
  • アルバータ州AHCIP:9桁の個人健康番号。
  • BCサービスカード:10桁のPHN。
  • ケベック州RAMQ:12文字で苗字のイニシャルと生年月日を符号化。

対応するツールは13すべての形式をサポートする必要があります。

**CRAビジネスナンバー:**9桁の番号です。カナダ歳入庁が発行します。

バイリンガルPII:英語とフランス語

カナダは公式に二言語国家です。連邦フォームは1ページに両言語を混在させることがよくあります。

フランス語のPIIには固有の要件があります:

  • **氏名:**フランス語の名前はアクセント記号付きの文字を使用します。アクセントを見逃すツールはエンティティを見逃します。
  • **住所:**ケベック州の住所はフランス語の用語(Rue、Avenue、Boulevard、Chemin)を使用します。パーサーはこれらを処理できる必要があります。
  • **RAMQ番号:**ケベック州の健康番号は苗字のイニシャルを符号化します。検出はフランス語を意識したものである必要があります。

比較として、インドのDPDPAが多言語PIIをどのように扱うかをご覧ください。

2026年EUの十分性認定リスク

カナダのEU十分性認定は2001年のものです。欧州委員会が初めて付与したものでした。これまでのすべての見直しをパスしています。

2026年の見直しは異なります。2つの問題が際立っています。

第1点:カナダのC-26サイバーセキュリティ法(2024年)は重要インフラ企業にCSEへのインシデント報告を義務付けます。CSEはカナダのシグナルインテリジェンス機関です。委員会はCSEのそのデータへのアクセスがGDPRと抵触するかを確認します。

第2点:カナダはまだPIPEDAの下で運営されています。委員会はPIPEDAの執行が弱いと指摘しています。CPPAはまだ施行されていません。

十分性が停止または取り消された場合、すべてのEU-カナダ間の移転はすぐにSCCまたはBCRに切り替える必要があります。

今すぐ計画を始めてください。決定を待つのでは遅すぎます。

十分性リスクが企業にどう影響したかについては、GDPRの罰則ガイドをご覧ください。

最低コンプライアンス要件

カナダに事業を持つ組織の技術的な基本要件:

  1. Luhnチェック付きSIN検出。
  2. 英語とフランス語のバイリンガルPII処理。
  3. オンタリオ州OHIPヘルスカード検出。
  4. ケベック州RAMQヘルスカード検出。
  5. CPPA完全対応のための13すべての州形式。

出典

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.