anonym.legal

By · Last updated 2026-06-05

ブログに戻るGDPRおよびコンプライアンス

UK ICO GDPR: ポストブレグジット発散

ブレグジット後の英国GDPRとEU GDPRの乖離。英国のデータ移転規制の独自進化。

June 5, 202610 分で読めます
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

Brexit後の英国データ保護法:何が変わったか

英国のデータ保護・デジタル情報法(DPDI法2025)はEU一般データ保護規則(GDPR)から14の変更を加えます。これらにより、Brexit以来初めてEUと英国のデータ保護法の間に本格的な分岐が生じました。EU-英国の十分性認定は現在審査中です。その結果は、両地域間で個人データを移転するすべての企業に関わります。

LastPassへの罰金:新たな技術的基準

ICOは2025年12月にLastPass UKに120万ポンドの罰金を科しました。これは英国における最も重要な技術的セキュリティ執行事例です。

ICOは2つの根本的な問題を認定しました。

脆弱な暗号化: LastPassは古い暗号化方式で顧客のパスワード保管庫を保存していました。ICOはこれを英国GDPR第32条の下で「不十分」と判断しました。一部の保管庫はPBKDF2-SHA256を1回のイテレーションのみで使用していました。英国NCSCはパスワード由来の鍵に対して少なくとも60万回のイテレーションを推奨しています。

法律が今求めること: 英国GDPR第32条は「最先端技術」を反映した「適切な技術的措置」を要求します。ICOは、2022年の鍵導出においてLastPassが提供したものよりはるかに多くが必要だったと判断しました。2015年に適切だったものは2022年には通用しませんでした。

結果として、ベンダーの暗号化品質は監査可能なコンプライアンス項目となりました。組織は自社ツールが現在推奨されるパラメータを使用しているかを確認しなければなりません。当社のセキュリティ・コンプライアンス概要をご覧ください。

DPDI法2025:6つの主要変更点

この法律は英国データ法に14の変更を加えます。6つは直接的な運用上の影響があります。

1. 正当な利益。 同法は「認められた正当な利益」のリストを作成します。これらはEU法がまだ要求する利益衡量テストを必要としません。英国企業にとってこの法的根拠が使いやすくなりました。

2. 研究と統計。 同法は研究例外を拡大します。研究目的での個人データの二次利用はEU法よりも少ない同意で可能になります。

3. 自動化された意思決定。 同法はEU第22条を置き換えます。新しい規則はより許容的です。一部の自動化された決定はもはや意味ある人間によるレビューを必要としません。

4. 記録管理。 同法は「体系的な」処理のない250人未満の組織に対する処理活動記録(ROPA)の義務を廃止します。EU規則は処理が偶発的でないすべての組織にROPAを要求します。

5. クッキーの同意。 同法は分析用クッキーの同意要件を削減します。「クッキーレス」の代替手段を推進します。EUのePrivacy規則はトラッキングクッキーへの同意を引き続き要求します。

6. 国際データ移転。 英国国務大臣は十分性認定を付与する広い権限を得ます。英国はEUが承認していない国を承認できます。これにより両側で異なる移転の枠組みが生まれます。

十分性認定のリスク

欧州委員会はDPDI法で改正された英国法がEU規則と「本質的に同等」の保護を提供しているかを評価します。

EU監視者は3つの分野を懸念しています。

DPDI法の拡大された正当な利益は委員会が不十分と判断するギャップを生む可能性があります。英国の捜査権限法(2016年)はCJEUの判例法に関連する懸念を引き続き提起しています。CLOUD法に基づく英米間の取り決めはEUデータが米国の法執行機関に晒されるリスクをもたらす可能性があります。

十分性が停止された場合、1万件以上のEU-英国の標準契約条項(SCC)セットを即座に有効化する必要があります。英国-EU移転に十分性のみに依存している企業は一夜にしてコンプライアンスの欠缺が生じます。当社のコンプライアンスガイドでお客様の現在のリスクを確認してください。

両方の制度を同時に満たす方法

EUと英国の両方の法律に従う企業にとって、道筋は明確です。

より厳格な基準を使用する。 EU第32条、EUの正当な利益テスト、EUの自動意思決定規則はすべてその英国の対応物より厳格です。EU基準を満たすことは、英国固有の追加要件を除いて、英国基準を満たすことを意味します。

両方の法的根拠を文書化する。 正当な利益に基づく処理については、EUの衡量テストの結果と、その処理が英国の認められたカテゴリに該当することの両方を記録してください。二重の文書化はさらなる乖離から守ります。

SCCを準備しておく。 2026年の十分性審査により別の移転手段が必要かどうか決まります。十分性を利用しながらも標準契約条項をバックアップとして維持してください。

ベンダーの暗号化を確認する。 LastPassの事例により、ベンダーの暗号化は能動的なコンプライアンス項目となりました。個人データを扱うツールが現在の推奨値を使用していることを確認してください:保存データにはAES-256-GCM、鍵導出には現在のイテレーション数のargon2idまたはPBKDF2。よくある監査の質問についてはFAQをご覧ください。

Brexit後の英国の乖離はEUのデータ保護モデルにおける最初の本格的な亀裂です。両地域で事業を展開する企業にとって最も安全な立場は、より厳格な基準——依然としてEUの枠組み——に合わせて設計することです。

anonym.legalはEUベースのHetznerデータセンターでゼロ知識設計を使用してすべての文書を処理します。サーバーは平文のコンテンツを決して見ません。サーバーへの完全な侵害はAES-256-GCM暗号文のみを生みます。ローカル処理が必要ですか?デスクトップアプリは外部接続なしでお使いのデバイス上で完全に動作します。

出典

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.