office-terakawa のすべての投稿

【報告】IoT: NIST の推奨するサイバーセキュリティ対応

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

IoT装置の開発が活発に行われています。核となるIoT装置には、論理的および物理的に保管されたデータ、通信されたデータを暗号化する機能が含まれていなければなりません。この暗号化は、産業標準のもので、全てのレイヤーでのデータ通信について施されていることがよいでしょう。また、サイバーセキュリティ事故が発生したときには、権限のあるユーザがアクセス可能であるログを取得しておくよう推奨しています。2019年3月8日の報告です。

【報告】IoT: NIST の推奨するサイバーセキュリティで最低限すべき対応

【処分事例】アイルランド: オート・フィル機能

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

以前、シンガポールでの処分事例にも出てきた「オート・フィル(自動入力)」機能による誤送信事例です。2019年3月8日の報告です。ある航空会社の従業員がwebchatの会話履歴を顧客に送付する際、オートフィル機能で入力されたemailアドレスを修正し忘れ、個人の名前、emailアドレス、電話番号、飛行計画を別の顧客に送付してしまいました。オート・フィル(自動入力)機能を使用することによる潜在的リスクについては、スクリーンにプロンプトを表示する等、何らかの対応をすることが必要となります。

【処分事例】アイルランド: オート・フィル機能によるデータ侵害

【報告】コロンビア: 生体データ処理

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

コロンビアのデータ監督機関(“DPA”)によると、会社が従業員の指紋データを取得し出社状況を確認できるのは、従業員から口頭または書面で事前に同意を取っているときのみです。(生体データを提供することによる暗黙の同意では不十分)従業員は生体データ提供時に、処理の目的とデータが誰に開示されるのかを通知しなければなりません。従業員は会社の持ち物ではなく、尊厳ある扱いが必要です。2019年3月7日の報告です。

【報告】コロンビア: 生体データ処理には従業員の明確な同意を

 

【読み物】番外編:プライバシー業界のミスマッチ

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

最近はBrexitを除いて特にめぼしい話題がないので、少し所感を書いてみます。

現在、日本ではデータ・プライバシーは弁護士の方やシニア層の方が担当されていることが多くあります。が、データ・プライバシーが語られている状況との間にミスマッチを生んでいるのではないかと感じます。

弁護士の方にとっては、データ保護はニッチすぎ、専門とするには狭すぎる分野です。法律についての高度な知識を網羅的にもつ弁護士がデータ保護に集中して取り組むというのは、いささかオーバースペックに感じます。毎日の通勤にフェラーリを使うようなものです。

シニア層の方は日本型組織になじんでマネジメント・システムの思想とは異なる思想で生きてきた人たちです。リーダーシップの発揮の仕方も、実力とコンセンサスの形成よりも完成された組織の関係性の中で順当に出世し上の立場に立つことが多かった世代です。(しかも英語さえできないことが多い!)

前提としてきた世界観が違うので、そもそも何を達成したいのかについての理解が不十分、もしくはそれを理解したところでそのような考え方に慣れていないためどう動けばよいかわからないようです。(データ保護をいまだにシステムセキュリティと同義と考えている等)

データ・プライバシーの世界はまだ「正解」がない世界です。今流行の言葉で言えばVUCA (Volatility(変動性・不安定さ)、Uncertainty(不確実性・不確定さ)、Complexity(複雑性)、Ambiguity(曖昧性・不明確さ))の分野です。

「透明性」ひとつをとっても、何をすれば透明性を担保できるのかは誰もわからない、というのが現実です。

日本でデータ・プライバシーに従事している人々は、適材適所になっていない可能性が高いと感じます。

プライバシーの専門家としては(自分の頭で考え動くことができ、国際感覚がある)若い人を採用するのがよいように感じます。

方針の決め方も「対話」を重ねることで文化を醸成し、明文化することでそれを規定し、かつ継続的な対話によって規定を更新し続ける、という作業が必要です。

スピードも大切ですし、情報収集も大切です。明文化、言語化も大切な要素となります。

これらの多くは日本型の組織に欠けていますね。若い世代にもっと権限を委譲し、ダイナミックに動いたほうがよいのではないか、という印象があります。

【処分事例】トルコ: 健康データ移転に制裁

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年3月7日の報告です。トルコの薬局が患者の健康データ(外科医の薬の処方)を明確な同意無しにサード・パーティーに移転していました。トルコでは健康データはデータ主体から同意を得ることなく移転、処理することは許されません。またデータ責任者は取得した個人データや知りえた個人データを開示、誤用することを禁止されています。

【処分事例】トルコ: 明確な同意のない健康データ移転に制裁

新シリーズ【読み物】GDPRとは:第十六回 大企業のGDPR対応ポイント(4)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

 新たなシリーズ連載では GDPR について包括的な理解ができるような情報提供を行っています。GDPR そのものをあらためて学びなおし、理解を深めたい方を対象とした連載です。

第十六回目は「大企業の対応のGDPR対応ポイント(4)」です。今回は「内部データ・プライバシー・ポリシーを保守する」というプライバシー・マネジメント活動(PMA)について説明しています。データ・プライバシー・ポリシーとは社内、組織内でのデータ・プライバシーの指針を与えるものです。作り方にはいくつかポイントがあります。

この連載は、世界のデータ保護法に対応しなければならない担当の方今後データ保護法により関与されたい弁護士や会計事務所の方コンサルタントの方に役立つ内容となります。IAPP のCIPP/E受験を考えてらっしゃる方もぜひお読みになってください。IAPP のテキストの内容に、有用な情報を追加しつつ解説を進めています。

なお、このシリーズでご紹介している手法は、当社が GDPR 対応コンサルティング、データ保護法コンサルティングを行う際に採用している手法です。ご質問等はコンサルティングの中での対応となるため、より深く知りたい方はコンサルティング契約または顧問契約の中でご支援させていただきますのでお申し付けください。

【読み物】GDPRとは:第一回 概要

【読み物】GDPRとは:第二回 歴史

【読み物】GDPRとは:第三回 EU法の仕組み

【読み物】GDPRとは:第四回 GDPR と現在の加盟国法の対応

【読み物】GDPRとは:第五回 GDPR がもたらした世界のデータ保護法への影響

【読み物】GDPRとは:第六回 GDPR の適用範囲

【読み物】GDPRとは:第七回 GDPR の適用対象(1)

【読み物】GDPRとは:第八回 GDPR の適用対象(2)個人データの定義

【読み物】GDPRとは:第九回 GDPR 適合のポイント Data Privacy by Design as a Default

【読み物】GDPRとは:第十回 GDPR 適合のポイント 「説明責任」と「透明性」

【読み物】GDPRとは:第十一回 GDPR 適合のポイント フレームワークの活用方法

【読み物】GDPRとは:第十二回 中小・零細企業のGDPR対応ポイント

【読み物】GDPRとは:第十三回 大企業のGDPR対応ポイント(1)

【読み物】GDPRとは:第十四回 大企業のGDPR対応ポイント(2)

【読み物】GDPRとは:第十五回 大企業のGDPR対応ポイント(3)

【読み物】GDPRとは:第十六回 大企業のGDPR対応ポイント(4)

【報告】スウェーデン:管理者と処理者

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

少し忙しく更新が遅れ気味ですが、できるだけ毎日更新できるようにします。

管理者と処理者についてはずいぶんたくさん説明が出て言い尽くされた感がありますが、基本をしっかりと抑えておきましょう。

スウェーデンの監督機関がGDPRにおける管理者と処理者の責任について明確化しました。2019年2月26日の報告です。管理者は処理者に個人データ処理業務を委託することはできますが、個人データの保護はあくまでも管理者の責任です。処理者はGDPRに基づいて個人データ処理を行わなければなりません。また、処理者は管理者の指示に従って処理を行わなければなりません。また処理者自身も監督機関による行政処分の対象となります。

【報告】スウェーデン: 管理者は処理者に法的責任を押し付けることはできない

 

【報告】アメリカ: CCPA の適用範囲

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

-カリフォルニア州の消費者プライバシー法(CCPA)については当サイトでほとんど説明していませんが、改正法が制定される等日々新しい動きがあります。アメリカのプライバシー協会のIAPPでは多くの情報が更新されていますが、5万人を超えるカリフォルニア州の消費者データを保有するという要件が当てはまる企業はそれほど多くないかもしれません。アメリカでは今データ・プライバシーへの関心が急速に高まり多くの議論が生まれています。それに伴いCCPAがアメリカの他州に波及して類似の法案が提出されているケースも増えています。アメリカでビジネスをしている方は動きをウォッチしておくとよいでしょう。2019年2月26日の報告です。

【報告】アメリカ: CCPA の適用範囲についての注意点

【報告】フィリピン: 携帯番号のポータビリティ権

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

フィリピンでは2019年3月6日にthe Mobile Number Portability Act が施行されます。これはテレコム会社が未払い携帯代金の無い利用者に対して無料で24時間以内に携帯番号のポータビリティを許可するように定める法律です。テレコム会社はポータビリティー権を妨害するような行動をとってはなりません。またテレコム会社がアクセス可能な料金支払いに関するデータベースを監視または公開してはなりません。2019年2月26日の報告です。

【報告】フィリピン: 携帯番号のポータビリティに対応した規制

【処分事例】スペイン:データ主体の権利行使

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年2月25日の報告です。GDPRではありませんが、スペインの監督機関がテレコム会社に対して12,000ユーロの制裁金を課したというニュースです。マーケティング・コールに関するもので、Do-not-callリストを運用していなかったことが制裁理由です。欧州においてはダイレクト・マーケティング、テレマーケティングといった「押し売り」的なマーケティングはフェアに行わなければ制裁対象となります。

「証拠としてメールでコントラクタに指示を行ったことを示したが、多くの個人データを扱う大企業においては「誠意」のみでは不十分である」という監督機関の考えは、甘い対応しかしていない日本の企業にとっては警鐘となるかもしれません。

【処分事例】スペイン: テレコム会社のマーケティング・コールに制裁金