office-terakawa のすべての投稿

GDPRのポイント

GDPRが施行される2018年5月25日が迫る中、日本の大手企業各社が急ピッチで準備を進めています。
GDPR対応は5月25日がゴールというわけではありません。むしろ、5月25日はスタート地点に過ぎません。あらためて、GDPRという法律の本質について考えてみます。

GDPRは、その制裁金の金額ばかり着目されていますが、本質は「個人の自由と権利を守る」ことにあります。ここを正しく理解していないと「形ばかりの対応」となり、時間と資金を浪費することとなります。

これについては、Article 5 “Principles relating to processing of personal data”(個人データの処理に関する原則)を正しく理解することが重要です。

GDPRのもうひとつ大切なポイントは「データ保護体制の維持」です。社内で扱っている欧州個人データの保護体制を継続的にモニタし、適切な保護体制が維持されるよう PDCA をまわすこと、すなわちマネジメントシステムを個人データ保護に対しても維持することです。実際は欧州の個人データのみを切り分けて管理するというのは現実的ではないかもしれません。その場合、会社としては全社的に個人データ保護体制の導入を行うことが必要となります。

すでにいくつかのGDPRコンサルティング会社では導入されていますが、データ管理はエクセルではなく、個人データ保護用のソフトを導入するのがよいでしょう。個人データ保護に特化したソフトは、適法根拠の記録、同意の記録、データ移転の記録、DPIA(データ保護影響評価)の記録、その他議事録の記録、データ主体の権利への対応等、必要な機能が一箇所で行えるよう設計されているからです。

IAPP(国際プライバシー専門家協会)がソフトウェアベンダーを紹介しています。ぜひ参照してください。日系企業であれば日本語で対応したくなるかもしれませんが、ソフトの質を考えると海外製品のほうがはるかに使い勝手がよいというのが実情です。

また、プライバシーを専門的に扱うチームを設置し、チームでのデータマネジメントも必要となるでしょう。

日本の企業は法令・規格対応が苦手です。その理由は文面を愚直に守ることに重きを置きすぎるからです。このあたりの感覚を含めて、プライバシーチームには欧米のチームメンバまたはチームリーダを入れておくことがよいでしょう。

Q.データ・マッピングとは具体的に何をするのですか?

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。少しずつ登録していただける方が増えており大変うれしく思っています。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。無料会員でも読める記事も少しずつ増やしています。

質問への簡単な回答です:

続きを読む Q.データ・マッピングとは具体的に何をするのですか?

Q. パーソナル・データとはどんなものですか?

A. パーソナル・データとは「識別された、または識別され得る自然人に関するあらゆる情報」と定義されています。
英語では以下の通りです。
Article 4 (1)
“any information relating to an identified or identifiable natural person (‘data subject’)”
自然人とは法人と区別するための「個人」のことです。data subjectは「データ主体」と訳され、そのパーソナル・データの出所となる「個人」のことです。
氏名、ID番号(マイ・ナンバー、免許番号等)、住所、位置情報、メールアドレス、IPアドレス、クッキー、遺伝的情報、民族的情報、等あらゆるものが該当します。

Q. GDPRが適用される要件は具体的にどのようなものですか?

A: GDPRでは、「地理的」な適用範囲と「物質的」な適用範囲というふたつの観点から適用範囲を定めています。
地理的な適用範囲としては、以下のものがあります。
1.パーソナル・データの取扱いがEUに拠点を持つコントローラー(管理者)またはプロセッサー(取扱者)によって行われる場合
2.EU 在住のデータ主体に対する商品またはサービスの提供に関する取扱い、およびEU 域内で行われるデータ主体の行動の監視に関する取扱い(コントローラー(管理者)やプロセッサー(取扱者)の拠点がEU内にあるかどうかを問わない)
3.加盟国の国内法が適用される場所にある、EUに拠点を持たないコントローラー(管理者)によるパーソナル・データの取扱い

物質的な適用範囲としては、以下のものがあります。
1.パーソナル・データを処理する際、一部または全部完全に自動処理する場合はGDPRの適用範囲となる。(自動処理と「自動的な意思決定」は異なります)
 
自動処理されない場合であってもファイリング・システムの一部を形成するようなパーソナル・データは適用範囲となります
(GDPRの適用範囲は Article 2とArticle 3に定められています。)
短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報(元は日本から EEA域内に移転した情報)を取扱う場合は、GDPRの適用範囲となるため、注意が必要です。

Q: GDPRとは何ですか?

A: GDPRとはGeneral Data Protection Regulationの略です。日本語では一般データ保護規則と訳されます。EEA(欧州経済領域)参加国内におけるpersonal data(パーソナル・データ)を保護するための法律です。個人情報保護法に分類されます。欧州の法規ですが、EEAからEEA外へのpersonal data(パーソナル・データ)移転を原則禁止し、違反者に対しては最大2千万ユーロ(約28億円)または違反者の全世界での売上高の4%に相当する金額いずれか高い方の罰則が科せられるという項目があるため、現在世界中の企業が急ピッチで準備を進めています。

ICO (英国個人情報保護監督機関:Information Commissioner Office)のブログ

GDPRについてもっともわかりやすく情報を発信してくれている機関の一つがイギリスのICOです。
ICOのウェブサイトではGDPRの肝心なポイントが非常にわかりやすく解説されています。対応を迫られている方は一読をお勧めします。

ICOのページで読むべき場所はどこでしょうか?
詳しくは、下の記事をご覧ください

イギリスの監督機関(ICO)の必読ページを教えてください

(この記事はテクニカ・ゼン株式会社の会員制データサイトプライバシー情報サイトに移行しました。会員の方にはGDPR関連情報やテンプレートをご提供しておりますのでぜひご登録ください。)

JETROがGDPRの実務ハンドブックを公開

JETROが8月18日にGDPR対応のためのハンドブック(実践編)を発行した。
内容はQ&Aとなっているため、より実務的な疑問に対して回答がされているといってよいだろう。

「十分性認定」への言及もあり、GDPR対応は「十分性認定」を取得後も解決しないと明言されていることに注意が必要だ。
DPOを設置する場合、日本企業はまずは国内にDPOを設置する必要がある旨も記載がある。(ドイツに支社があり10名以上の職員を抱えている場合は必須)

イギリスはGDPRに準拠の予定

8月24日:
ギリス政府は政府発表を行い、GDPRに準拠したdata protection(データ保護)スキームを採用するとした。デジタル・文化大臣のマシュー・ハンコック大臣は、「将来イギリスがEUを離脱する際に、データ・フローが阻害されないことを望む」とコメントしている。

英国が考えるEUとの将来のデータやり取りとpersonal data保護の要件は以下の通りである:

  • データが、継続して、安全で適切に規制された形でやり取りされること
  • ビジネス、公共機関、個人が阻害されることなく、確信をもって活動できるようなものであること
  • EUとイギリスとの間で、現在および将来のdata protection(データ保護)問題に対し、世界のdata protection(データ保護)のリーダーたちとパートナーシップを組みつつ、継続的な規制上の協力体制を維持すること
  • 個人のprivacy(プライバシー)を保護するものであること
  • イギリスの主権を尊重し、イギリスがその市民を守り、data protection(データ保護)において主導的な地位を保持かつ発展させられるものであること
  • ビジネスに不要な追加費用を要求しないこと
  • インド最高裁がprivacy(プライバシー)を基本的人権の一つと認定

    インドで議論されていたprivacy(プライバシー)が基本的人権に該当するかどうかの結論が出た。
    結論は、憲法21条の下の基本的人権に該当する、との判断であった。

    インドでは現在Aadhaarというプログラムが実施されている。
    これは、市民の指紋、虹彩スキャンデータといった生体データ(biometric data)や人口統計データ、連絡先といった情報を収集した後、すべての市民に12桁の番号を割り当てるというものである。インド政府は社会保障の効果的な実施や、収賄等の防止策として期待している。

    Aadhaarは、プライバシー保護の観点が弱いと批判されていた。
    今回の決定で、インド政府はAadhaarのセキュリティの在り方を再検討しなければならなくなる。

    World Privacy Forumは歓迎のブログ投稿を行っている。

    A Big Win for Privacy in India