ÚOOÚ とチェコ製造業における GDPR
Úřad pro ochranu osobních údajů(ÚOOÚ)は2024年に58件の執行決定を下しました。製造業・自動車業界の企業がそのうち34%を占めています。これは全セクター中で最高の割合です。
Škoda Auto、Toyota、Foxconn、そして多くのティアサプライヤーがチェコで事業を展開しています。現地のGDPRコンプライアンスには、ローカルデータを適切に処理できるツールが必要です。しかし、現在使用されているツールのほとんどはそれができていません。
親会社ツールの問題
ÚOOÚ のデータは明確な失敗パターンを示しています。海外の親会社が外国向けに設定された PII ツールをローカル拠点に展開しています。
大手グループがプラハのオフィスに標準ツールを導入する場合:
- ツールは外国の識別子向けに設定されています。ローカルの識別子には対応していません。
- 雇用契約や人事ファイルはチェコ語です。ツールはチェコ語テキストで訓練されていません。
- チェコ語の NER 精度は他言語の同等テキストより23%低い水準です。(ÚOOÚ 技術ガイダンス、2024年)
- チェコ語とマークされていないファイルでは rodné číslo が見落とされます。
- 従業員の健康データと人事データが、規制当局の要求する保護なしに転送されます。
67%のローカル企業は、国固有の識別子を見落とすツールに依存しています。ÚOOÚ はローカルの管理者を責任者とします。親会社のベンダーは責任を問われません。
Rodné Číslo:特別カテゴリーのデータ
rodné číslo は出生番号です。RRMMDD/XXXX 形式を使用します。
- 3〜4桁目は生まれた月を示します。女性の場合、50が加算されます。1月生まれの女性は01ではなく51と表示されます。
- スラッシュが日付とサフィックスを区切ります。
- サフィックスはモジュラス11のチェック桁を持つ3〜4桁の数字です。
この性別コーディングにより、この番号は GDPR 第9条の特別カテゴリーデータに該当します。設計上、性別を明らかにしています。強化された保護が適用されます。
カバーすべき点は3つあります。第一に、女性の月オフセット(50のルール)。第二に、モジュラス11のチェック桁検証。第三に、9桁形式(1954年以前)と10桁形式の両方への対応。
パターンマッチングのみでは ÚOOÚ の基準を満たしません。
その他の主要識別子
Číslo občanského průkazu(OP): 国民 ID カード。9文字の英数字。契約書、来訪者ログ、医療記録に記載されています。
IČO: 8桁の事業者番号。法定代理人の個人データとともにサプライヤー契約に記載されます。
DIČ: 個人の場合は CZ + 出生番号、企業の場合は CZ + IČO の形式。個人の DIČ はフリーランス契約に記載されます。
IBAN: CZ + 22桁の形式。給与ファイルや経費報告書に一般的に使用されます。
製造業が曝露するリスク
人事記録: ローカルスタッフの給与には出生番号、国民 ID、銀行口座情報が含まれます。親会社システムへの国際的な人事データ転送には移転影響評価が必要です。
品質トレーサビリティ: 自動車生産システムは不良記録を個々の作業者に紐付けることが多くあります。これは運用技術内の個人データです。人事システム外であっても GDPR の対象となります。
販売店データ: 大手メーカーのネットワークは試乗記録、ローン申込書、サービス履歴を処理しています。これらの多くに出生番号が含まれます。
EU 全体での識別子のギャップについては、GDPR コンプライアンスガイドおよび多言語 PII 検出の概要をご参照ください。エンティティの完全なカバレッジについては、エンティティリファレンスをご覧ください。
中心的なニーズはシンプルです。出生番号の検出には性別オフセット処理とチェックサム検証が必要です。テキスト処理のためのネイティブ NER も必要です。多言語パイプラインへの対応も求められます。