UODO ポーランド:PESEL、NIP & RODO コンプライアンス
2026年更新版
UODOとは何か
UODOはポーランドのデータ保護機関です。正式名称はUrząd Ochrony Danych Osobowychです。RODO(ポーランド語でGDPRを指す名称)を執行します。
2024年、同機関は執行調査を実施しました。結果は明確でした。ポーランドの組織で使用されているPIIツールの89%が、PESELを正しく検出できていません。
ポーランドは主要なBPOハブです。毎日230万件のEU顧客記録を処理しています。この検出ギャップは実際のリスクを生み出します。機関の管轄に影響します。また、ポーランドを拠点とする企業が処理する市民データを持つすべてのEU DPAにも影響します。詳細はGDPRコンプライアンスガイドをご覧ください。
PESEL:技術的標準
PESELはPowszechny Elektroniczny System Ewidencji Ludnościの略称です。11桁の国民識別番号です。5つのデータフィールドをエンコードします:
- 桁1–2:生年の下2桁
- 桁3–4:生誕期間コード(後述)
- 桁5–6:生日
- 桁7–10:連番(奇数 = 男性、偶数 = 女性)
- 桁11:チェックディジット
チェックディジットは重み付き合計を使用します。最初の10桁に重み(1、3、7、9、1、3、7、9、1、3)を掛けます。積を合計します。10で割った余りを求めます。結果がゼロであればチェックディジットは正しいです。ゼロ以外であれば番号は無効です。
生誕期間コードの問題
桁3–4は生誕期間と世紀の両方をエンコードします。機関はすべての5つの範囲への対応を要求しています:
| 世紀 | コード範囲 |
|---|---|
| 1800年代 | 81–92 |
| 1900年代 | 01–12 |
| 2000年代 | 21–32 |
| 2100年代 | 41–52 |
| 2200年代 | 61–72 |
ほとんどのツールは1900年代の範囲しか処理しません。1999年以降に生まれた人を見逃します。コード21–32は、1999年以降の出生に対して01–12の代わりに使用されます。これはデジタルサービスで最も活発な年齢層に影響します。5つの全範囲の確認は中核的なコンプライアンス要件です。
NIPとREGON:ビジネス識別子
**NIP(Numer Identyfikacji Podatkowej)**は10桁の税務識別番号です。請求書、契約書、給与記録に記載されます。最初の9桁に重み(6、5、7、2、3、4、5、6、7)を掛けます。11で割った余りを求めます。それがチェックディジットです。
NIPには2つの形式があります:個人用(NIP osoby fizycznej)と法人用(NIP podmiotu)。
REGONは企業統計番号です。9桁と14桁の形式があります。それぞれ独自のチェックアルゴリズムを使用します。REGONは契約書や取引先書類に記載されます。
HR記録にはPESELとNIP、REGONが一緒に記載されることが多いです。完全なコンプライアンスには3種類すべての検出が必要です。技術的な保護措置の詳細についてはセキュリティ・コンプライアンスページをご覧ください。
BPOの複数法域リスク
ポーランドのBPO企業は西欧のクライアントのためにデータを処理します:
- ワルシャワで処理されるドイツの銀行顧客記録
- クラクフで処理されるフランスの保険請求
- ヴロツワフのバックオフィスチームが管理するイギリスの医療データ
検出失敗は4つの規制機関への同時リスクを生み出します:
- UODO — ポーランドのデータ主体に影響する不十分な措置に対して
- BfDI / Landesdatenschutzbehörden — ドイツ国籍者のデータに対して
- CNIL — フランス国籍者のデータに対して
- ICO — イギリス国籍者のデータに対して
国境を越えたコンプライアンスには、EU識別子セット全体をカバーするツールが必要です。PESEL、NIP、REGONはローカルの基準です。それらの記録がスコープに含まれる場合、ドイツのSteuer-ID、フランスのNIR、オランダのBSNも必要です。各国民識別子には独自のフォーマットとチェックロジックがあります。1つを見逃すツールはギャップを生み出します。全加盟国のEUエンティティカバレッジについては多言語PII検出ガイドをご覧ください。