テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
コロンビアのデータ監督機関(“DPA”)によると、会社が従業員の指紋データを取得し出社状況を確認できるのは、従業員から口頭または書面で事前に同意を取っているときのみです。(生体データを提供することによる暗黙の同意では不十分)従業員は生体データ提供時に、処理の目的とデータが誰に開示されるのかを通知しなければなりません。従業員は会社の持ち物ではなく、尊厳ある扱いが必要です。2019年3月7日の報告です。
【報告】コロンビア: 生体データ処理には従業員の明確な同意を
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
最近はBrexitを除いて特にめぼしい話題がないので、少し所感を書いてみます。
現在、日本ではデータ・プライバシーは弁護士の方やシニア層の方が担当されていることが多くあります。が、データ・プライバシーが語られている状況との間にミスマッチを生んでいるのではないかと感じます。
弁護士の方にとっては、データ保護はニッチすぎ、専門とするには狭すぎる分野です。法律についての高度な知識を網羅的にもつ弁護士がデータ保護に集中して取り組むというのは、いささかオーバースペックに感じます。毎日の通勤にフェラーリを使うようなものです。
シニア層の方は日本型組織になじんでマネジメント・システムの思想とは異なる思想で生きてきた人たちです。リーダーシップの発揮の仕方も、実力とコンセンサスの形成よりも完成された組織の関係性の中で順当に出世し上の立場に立つことが多かった世代です。(しかも英語さえできないことが多い!)
前提としてきた世界観が違うので、そもそも何を達成したいのかについての理解が不十分、もしくはそれを理解したところでそのような考え方に慣れていないためどう動けばよいかわからないようです。(データ保護をいまだにシステムセキュリティと同義と考えている等)
データ・プライバシーの世界はまだ「正解」がない世界です。今流行の言葉で言えばVUCA (Volatility(変動性・不安定さ)、Uncertainty(不確実性・不確定さ)、Complexity(複雑性)、Ambiguity(曖昧性・不明確さ))の分野です。
「透明性」ひとつをとっても、何をすれば透明性を担保できるのかは誰もわからない、というのが現実です。
日本でデータ・プライバシーに従事している人々は、適材適所になっていない可能性が高いと感じます。
プライバシーの専門家としては(自分の頭で考え動くことができ、国際感覚がある)若い人を採用するのがよいように感じます。
方針の決め方も「対話」を重ねることで文化を醸成し、明文化することでそれを規定し、かつ継続的な対話によって規定を更新し続ける、という作業が必要です。
スピードも大切ですし、情報収集も大切です。明文化、言語化も大切な要素となります。
これらの多くは日本型の組織に欠けていますね。若い世代にもっと権限を委譲し、ダイナミックに動いたほうがよいのではないか、という印象があります。
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
—
2019年3月7日の報告です。トルコの薬局が患者の健康データ(外科医の薬の処方)を明確な同意無しにサード・パーティーに移転していました。トルコでは健康データはデータ主体から同意を得ることなく移転、処理することは許されません。またデータ責任者は取得した個人データや知りえた個人データを開示、誤用することを禁止されています。
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
新たなシリーズ連載では GDPR について包括的な理解ができるような情報提供を行っています。GDPR そのものをあらためて学びなおし、理解を深めたい方を対象とした連載です。
第十六回目は「大企業の対応のGDPR対応ポイント(4)」です。今回は「内部データ・プライバシー・ポリシーを保守する」というプライバシー・マネジメント活動(PMA)について説明しています。データ・プライバシー・ポリシーとは社内、組織内でのデータ・プライバシーの指針を与えるものです。作り方にはいくつかポイントがあります。
この連載は、世界のデータ保護法に対応しなければならない担当の方、今後データ保護法により関与されたい弁護士や会計事務所の方、コンサルタントの方に役立つ内容となります。IAPP のCIPP/E受験を考えてらっしゃる方もぜひお読みになってください。IAPP のテキストの内容に、有用な情報を追加しつつ解説を進めています。
なお、このシリーズでご紹介している手法は、当社が GDPR 対応コンサルティング、データ保護法コンサルティングを行う際に採用している手法です。ご質問等はコンサルティングの中での対応となるため、より深く知りたい方はコンサルティング契約または顧問契約の中でご支援させていただきますのでお申し付けください。
【読み物】GDPRとは:第四回 GDPR と現在の加盟国法の対応
【読み物】GDPRとは:第五回 GDPR がもたらした世界のデータ保護法への影響
【読み物】GDPRとは:第八回 GDPR の適用対象(2)個人データの定義
【読み物】GDPRとは:第九回 GDPR 適合のポイント Data Privacy by Design as a Default
【読み物】GDPRとは:第十回 GDPR 適合のポイント 「説明責任」と「透明性」
【読み物】GDPRとは:第十一回 GDPR 適合のポイント フレームワークの活用方法
【読み物】GDPRとは:第十二回 中小・零細企業のGDPR対応ポイント
【読み物】GDPRとは:第十三回 大企業のGDPR対応ポイント(1)
【読み物】GDPRとは:第十四回 大企業のGDPR対応ポイント(2)
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
少し忙しく更新が遅れ気味ですが、できるだけ毎日更新できるようにします。
管理者と処理者についてはずいぶんたくさん説明が出て言い尽くされた感がありますが、基本をしっかりと抑えておきましょう。
スウェーデンの監督機関がGDPRにおける管理者と処理者の責任について明確化しました。2019年2月26日の報告です。管理者は処理者に個人データ処理業務を委託することはできますが、個人データの保護はあくまでも管理者の責任です。処理者はGDPRに基づいて個人データ処理を行わなければなりません。また、処理者は管理者の指示に従って処理を行わなければなりません。また処理者自身も監督機関による行政処分の対象となります。
【報告】スウェーデン: 管理者は処理者に法的責任を押し付けることはできない
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
-カリフォルニア州の消費者プライバシー法(CCPA)については当サイトでほとんど説明していませんが、改正法が制定される等日々新しい動きがあります。アメリカのプライバシー協会のIAPPでは多くの情報が更新されていますが、5万人を超えるカリフォルニア州の消費者データを保有するという要件が当てはまる企業はそれほど多くないかもしれません。アメリカでは今データ・プライバシーへの関心が急速に高まり多くの議論が生まれています。それに伴いCCPAがアメリカの他州に波及して類似の法案が提出されているケースも増えています。アメリカでビジネスをしている方は動きをウォッチしておくとよいでしょう。2019年2月26日の報告です。
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
—
フィリピンでは2019年3月6日にthe Mobile Number Portability Act が施行されます。これはテレコム会社が未払い携帯代金の無い利用者に対して無料で24時間以内に携帯番号のポータビリティを許可するように定める法律です。テレコム会社はポータビリティー権を妨害するような行動をとってはなりません。またテレコム会社がアクセス可能な料金支払いに関するデータベースを監視または公開してはなりません。2019年2月26日の報告です。
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
—
2019年2月25日の報告です。GDPRではありませんが、スペインの監督機関がテレコム会社に対して12,000ユーロの制裁金を課したというニュースです。マーケティング・コールに関するもので、Do-not-callリストを運用していなかったことが制裁理由です。欧州においてはダイレクト・マーケティング、テレマーケティングといった「押し売り」的なマーケティングはフェアに行わなければ制裁対象となります。
「証拠としてメールでコントラクタに指示を行ったことを示したが、多くの個人データを扱う大企業においては「誠意」のみでは不十分である」という監督機関の考えは、甘い対応しかしていない日本の企業にとっては警鐘となるかもしれません。
【処分事例】スペイン: テレコム会社のマーケティング・コールに制裁金
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
ロシアがネットの監視を強化しようとしています。ロシアで提出された連邦法案はネットワークを完全に管理しようというものです。この法案が通過したらISPは政府が求めるネットワーク装置を使用しなければなりません。この装置はウェブのトラフィック・ソースを特定し、禁止された内容をブロックする他、ロシア国内に設置された承認済みの接続ポイントに再ルーティングするためのものです。2019年2月25日の報告です。
テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
新たなシリーズ連載では GDPR について包括的な理解ができるような情報提供を行っています。GDPR そのものをあらためて学びなおし、理解を深めたい方を対象とした連載です。
久しぶりの更新です。これから13回にわたって、プライバシー・マネジメント・プログラムを一つずつ解説してきます。第十五回目は「大企業の対応のGDPR対応ポイント(3)」です。今回は「個人データの目録とデータ移転メカニズムをメンテナンスする」というプライバシー・マネジメント活動(PMA)について説明しています。データ・マッピングや移転メカニズムについての活動をする目的とその利点がわかります。
この連載は、世界のデータ保護法に対応しなければならない担当の方、今後データ保護法により関与されたい弁護士や会計事務所の方、コンサルタントの方に役立つ内容となります。IAPP のCIPP/E受験を考えてらっしゃる方もぜひお読みになってください。IAPP のテキストの内容に、有用な情報を追加しつつ解説を進めています。
なお、このシリーズでご紹介している手法は、当社が GDPR 対応コンサルティング、データ保護法コンサルティングを行う際に採用している手法です。ご質問等はコンサルティングの中での対応となるため、より深く知りたい方はコンサルティング契約または顧問契約の中でご支援させていただきますのでお申し付けください。
【読み物】GDPRとは:第四回 GDPR と現在の加盟国法の対応
【読み物】GDPRとは:第五回 GDPR がもたらした世界のデータ保護法への影響
【読み物】GDPRとは:第八回 GDPR の適用対象(2)個人データの定義
【読み物】GDPRとは:第九回 GDPR 適合のポイント Data Privacy by Design as a Default
【読み物】GDPRとは:第十回 GDPR 適合のポイント 「説明責任」と「透明性」
【読み物】GDPRとは:第十一回 GDPR 適合のポイント フレームワークの活用方法
【読み物】GDPRとは:第十二回 中小・零細企業のGDPR対応ポイント
【読み物】GDPRとは:第十三回 大企業のGDPR対応ポイント(1)