「data protection」カテゴリーアーカイブ

【報告】SCCを使用するためのチェックリストをNOYBが公表

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月20日の報告です。Shrems IIケースではSCCsについてcase by caseで有効性を判定するようにとされました。

これを受け、Shrems氏が率いるNOYBがチェックリストを作成しています。ご参照ください。

Next Steps for EU companies & FAQs

【報告】Schrems II:SCCは有効、Privacy Shieldは無効

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月16日の報告です。Shrems IIはSCCsは有効、Privacy Shieldは無効という結果になりました。しかし、surveilanceをSCCsで防ぐことは無理でしょう。日本の十分性認定も、Surveilanceに対する適切な監視体制があるとは言えないため撤回される可能性が出てきました。

Schrems II のプレスリリースはこちらです。

判決の全文はこちらからアクセスしてください。

–プレス・リリースの翻訳–

司法裁判所 (CJEU) は、EU-USデータ保護シールドによって提供される保護の妥当性に関する決定2016/1250 (Decision 2016/1250) を無効と判断

ただし、第三国で設立された処理業者への個人データの転送に関する標準契約条項(Standard Contractual Clauses, SCCs)に関する委員会決定2010/87(Commission Decision 2010/87)は有効であると考えている

一般データ保護規則(GDPR)では、処理者へのデータの第三国への転送は、原則として、当該第三国が適切なレベルのデータ保護を保証する場合にのみ行われると規定している。 GDPRは、欧州委員会が、第三国が国内法または国際的責任により、十分なレベルの保護を保証しているとみなすことを許容している。

十分性認定がない場合、処理者へのデータ移転は、EUに設立された個人データの輸出者が、特に欧州委員会が採択した標準データ保護条項から生じる適切な保護手段を提供し、データ主体が 強制可能な権利と有効な法的救済が担保されている場合のみ行うことが許容される。 さらに、GDPRは、十分性認定または適切な保護手段がない場合に、処理者への移転を行うことが許容される条件について詳述している。

オーストリアに居住するオーストリア国民であるMaximillian Schrems氏は、2008年からFacebookユーザーである。欧州連合に居住する他のユーザーの場合と同様に、Schrems氏の個人データの一部またはすべては、Facebook Irelandによって、米国内にあるFacebook Incのサーバーに移転され、そこで処理が行われる。Schrems氏はアイルランドの監督当局(DPA)に、本質的にこれらの移転を禁止するよう訴えた。Schrems氏は、米国の法律および慣行は、公的機関によるその国に移転されたデータへのアクセスに対する十分な保護を提供していないと主張した。その苦情は、特に決定2000/520( Decision 2000/520、いわゆる「セーフ・ハーバー決定」)において欧州委員会が米国が適切なレベルの保護を確保していると判断していることを理由に却下されました。 司法裁判所(EUCJ)は高等裁判所(アイルランド)が暫定判決に対して提出した質問に対し、2015年10月6日に判決を行い、その決定は無効であると宣言した(いわゆる「Schrems I 判決」)。

Schrems I 判決と、それに続く裁判所によるSchrems氏の申し立てを拒否した判決の破棄に基づき、アイルランドDPAは、判決2000/520(Decision 2000/520)が無効であるというEUCJの宣言に照らし、申し立てを改定するようSchrems氏に要請した。Schrems氏は改定された訴状で、米国はその国に転送されたデータの十分な保護を提供していないと主張している。彼は、Facebookアイルランドが現在、委員会決定2010/87(Commission Decision 2010/87)の付属書に記載されている標準のデータ保護条項に従って実施している、EUから米国への個人データの将来の転送の一時停止または禁止するよう求めている。Schrems氏の苦情の結果は特に委員会決定2010/87(Commission Decision 2010/87)の有効性に依存すると判断し、アイルランドDPAは、 司法裁判所(EUCJ)に質問を付して暫定判決を求めるため、高等裁判所に訴訟を提起した。 これらの手続きの開始後、欧州委員会は、EU-米国プライバシーシールドが提供する保護の妥当性に関する決定2016/1250(Decision 2016/1250、プライバシーシールドの決定)を採択した。

予備判決の要請を行うことで、参照裁判所は、GDPRが委員会決定2010/87(Commission Decision 2010/87)の標準データ保護条項に従った個人データの転送に適用されるか、そのような状況でDPAに課せられている義務、およびそのような移転に対し、GDPRに関連してどのレベルの保護が必要かを裁判所に尋ねた。 高等裁判所は、委員会決定2010/87(Commission Decision 2010/87)と決定2016/1250(Decision 2016/1250)の両方の有効性の問題も提起している。

今日の判決では、司法裁判所は、欧州人権憲章に照らして委員会決定2010/87(Commission Decision 2010/87)を検討したところ、その決定の有効性に影響を与えるものは何もないと認定した。 しかし、決定2016/1250(Decision 2016/1250)は無効であると宣言した。

第一に、CJEUは、EUの法律、特にGDPRが、その転送時またはその後、データが公安、防衛、および国家安全のために、問題の第三国の当局によって処理される場合があるとしても、加盟国に設立された事業者による第三国に設立された別の事業者への商業目的での個人データの移転に適用されると考える。CJEUは、第三国の当局によるこの種のデータ処理を理由に移転をGDPRの適用範囲から排除することはできないと付け加える。

そのような移転に関して必要な保護のレベルについては、越境移転目的のために定められた、適切な保護、強制力のある権利、および効果的な法的救済に関するGDPRの要件は、個人データが標準のデータ保護条項に従って第三国に移転されるデータ主体に対し、欧州人権憲章に照らし、GDPRによってEU内で保証されるレベルと本質的に同等のレベルの保護を提供しなければならないと裁判所は考える。 これらの状況では、EUに設立されたデータ輸出者と関係する第三国に設立された移転データの受領者との間で合意された契約条項、 第三国の公的機関による移転データへのアクセス、その第三国の法制度の関連する側面について、保護レベルの評価では考慮しなければならないと裁判所は規定する。

そのような移転に関連するDPAの義務については、裁判所は次のように考える。有効な欧州委員会の十分性認定がない限り、管轄DPAは、移転のすべての状況に照らして、当該国では標準データ保護条項が遵守されていない、または遵守することができない、あるいはEU法で要求されている移転されたデータの保護が他の方法では確保できないと判断し、EUに設立されたデータ輸出者自体がそのような移行を一時停止または停止していない場合、第三国への個人データの転送を一時停止または禁止しなければならない。

次に、CJEUは委員会決定2010/87(Commission Decision 2010/87)の有効性を検討する。CJEUは、決定の標準データ保護条項が本質的に契約上のものであることに鑑みて、データが転送される可能性のある第三国の当局を拘束しないという単なる事実によって、その決定の有効性は問題にされないものと考える。ただし、その有効性は、EU法で要求される保護レベルの遵守を実際に可能にする効果的なメカニズムが決定に含まれているかどうか、およびかかる条項に基づく個人データの移転が、これらの条項に違反した場合、またはそれらを遵守することが不可能な場合に中断されているかどうかに応じて決まるということを、CJEUは付言する。CJEUは、委員会決定2010/87(Commission Decision 2010/87)がそのようなメカニズムを確立していると認定する。この点に関して、CJEUは特に、決定は、データ輸出者とデータ受信者に、移転前に、関係する第三国でそのレベルの保護が尊重されているかどうかを検証する義務を課していることを指摘し、この決定により、受信者は標準データ保護条項に準拠できないことをデータ輸出者に通知しなければならず、準拠できない場合、データの移転を一時停止するか、データ輸出者との契約を終了する必要があることを指摘する。

最後に、CJEUは、GDPRから生じる要件に照らして決定2016/1250(Decision 2016/1250)の有効性を検討し、個人および家族の生活、個人データ保護、および効果的な司法に対する権利を保証する憲章の条項に照らして読む。この点に関して、CJEUは、決定2016/1250(Decision 2016/1250)は決定2000/520(Decision 2000/520)と同様に、米国の国家安全保障、公益、および法執行機関の要件が優先事項であり、したがって米国にデータが転送される人物の基本的権利への干渉を容認するという立場を明記していることに留意する。CJEUの見解では、欧州連合から米国に転送されたデータへの米国の公共機関によるアクセスおよび使用に関する米国の国内法から生じる個人データ保護に関する制限は、規定に基づく監視プログラムが厳密に必要なものに限定されない限り、委員会が評価した決定2016/1250(Decision 2016/1250)ではEU法に基づいて要求される要件と本質的に同等の要件を満たす方法で制限されない。これらの発見に基づいて、CJEUは、特定の監視プログラムに関して、規定は、プログラムを実施するために彼らが与える力に対する制限、または潜在的に標的とされた米国人ではない人への保証の存在を示さないと考える。規定は問題の監視プログラムを実施する際に米国当局が従わなければならない要件を定めているが、米国当局に対して法廷で訴訟を起こす権利をデータ主体に付与しないことをCJEUは付け加える。

司法保護の要件に関して、CJEUは、決定2016/1250(Decision 2016/1250)で委員会が取った見解とは対照的に、その決定で言及されたオンブズパーソンのメカニズムは、メカニズムによって提供されるオンブズパーソンの独立性と、オンブズパーソンが米国の諜報機関に拘束力のある決定を採用することを可能にするルールの存在の両方を保証するなど、EU法で要求されるものと実質的に同等の保証についてデータ主体に提訴機関の前に訴訟の理由を提供していないと判断する。 これらのすべての理由で、CJEUは決定2016/1250(Decision 2016/1250)0が無効であると宣言する。

【情報】匿名化、非識別化のまとめ

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

次回のknowledgeNet Tokyoは8月6日です。日本の個人情報保護法について解説する予定です。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

匿名化や非識別化技術について学ぶ機会はなかなかありません。

Andrew David Bhagyamが匿名化や非識別化技術の問題やベストプラクティスについてまとめています。よくまとめられていますので、これを機にぜひ勉強してみてください。

Anonymisation, De-identification — Techniques, issues, practices

【報告】Cookies:IABヨーロッパのデジタル広告のための代替策

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。夏以降、様子を見ながら再開する予定です。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年6月4日の報告です。IABによるthird-party cookieに依存しないデジタル広告の在り方に対するガイダンスです。cookieの使用の終了はデジタル広告の終焉とも思われましたが、必ず代替策が生まれてくるものです。

【報告】Cookies:IABヨーロッパのデジタル広告のための代替策

【報告】有料ダウンロード資料更新

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。夏以降、様子を見ながら再開する予定です。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

有料会員向け無料DL資料を充実しています。

有料会員向け無料DL資料

各国の監督機関の一覧-As of May 12th.2020-Global

各国の監督機関の一覧および各監督機関の連絡先、権限等をまとめています。グローバルでビジネスを展開されているプライバシー・オフィスにとっては欠かせない情報です。


各国のCOVID-19法的根拠及びガイダンス-As of May 28th.2020-Global

COVID-19の感染症拡大はまだまだ拡大していますが、先進国では少しずつビジネスが再開されましています。COVID-19後のビジネス再会のガイドラインとして活用ください。


各国のPII主体の権利一覧-As of Apr.22nd.2020-Global

各国でデータ主体に認められている権利の一覧です。グローバルでビジネスを展開されているプライバシー・オフィスにとっては欠かせない情報です。

【報告】LGPD:施行日を延期へ

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年5月1日の報告です。当サイトでも遅延の可能性をお伝えしていましたが、LGPDの施行を遅らせることが正式に決まりました。

【報告】LGPD:施行日を延期へ

【報告】テレワーク:ゼロトラスト型ネットワーク管理

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

テレワークが急速に導入されていますが、それと同時にセキュリティ対策の概念も大きく変わりつつあります。テレワークは「社内」「社外」という切り分けによるネットワーク・セキュリティの考え方を覆し、ゼロトラスト型のネットワーク・セキュリティに移行するよう企業を促すことでしょう。日経新聞の記事「テレワーク阻む社内IT規則 見直しの好機に」でもとりあげられましたが、当社の会員制サイトでも3月にNISTのプロジェクトを紹介しています。

新聞で話題に上る頃には対応に取り組んでいるようにしておきたいものです。当社の会員制サイトでは、データ・プライバシーとデータ・セキュリティの最新動向を早めにつかみ、皆様が機敏に対策を進められるお手伝いをしております。ぜひご登録ください。

【報告】サイバーセキュリティ:NISTによるゼロ・トラスト・プロジェクト

 

【報告】注意喚起:データ侵害が多発中です

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

日本で大型のデータ侵害が多発しています。ご注意ください。

Classi(約122万件)

REJOB(約21万件)

任天堂(約16万アカウント)

Classiはベネッセとソフトバンクが共同出資した会社です。ベネッセに関してはまだ懲りないのか、という印象しか持ちませんが喉元過ぎれば熱さを忘れる会社なのでしょう。Classiの競合であるスタディサプリは内定辞退率で問題となったリクルート系ですから、日本の子ども向けオンライン・サービス環境は悪夢のような状況かもしれません。(日本の個人情報保護法には子どもの個人情報保護についての言及が全くありません。)

REJOBに関してはテスト環境でユーザ情報を使用していたという目的外利用事案です。これも、データ倫理上あってはならないことが生じています。日本の個人情報保護の認識の未熟さがにじみ出ています。

任天堂に関してはおそらく狙い撃ちされたのでしょう。任天堂はセキュリティ体制やプライバシー保護についてかなり本格的に取り組んでいるので、大企業ゆえのコストといえるかもしれません。ただし、そうであっても、データ・セキュリティやプライバシーへの対策はサービスの前提条件と理解すべき時代です。特に国外のデータが含まれている場合は厳しい目が向けられることは覚悟した方がよいでしょう。

データ侵害に関してはテーブルトップ・エクササイズを通じて現状把握をするのが良いでしょう。当社でも半日トレーニングを提供していますので、ぜひご相談ください。

 

【報告】日本:現行の個人情報保護法の概要

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

こちらのブログでの前回の更新からだいぶん時間が経ちましたが、日本の個人情報関連シリーズの最終回を本日更新しました。日本の個人情報保護法のポイントを押さえたい方はぜひご参照ください。

【報告】日本:現行の個人情報保護法の概要

【報告】日本:リクナビ事件への勧告

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

今週は日本の個人情報保護法のトピックを取り上げていきます。日本はガイドライン等もたくさん出ているのですが、グローバル対応という意味で、一度アウトライン化しておくと、他の国々との考え方の相違点を確認できます。

2020年1月6日の報告です。リクナビ事件へのPPCの勧告です。「意識改革」という言葉が出てきていますが、本当にしなければならないことは「行動」の変更です。意識が変われば行動が変わるのではなく、行動が変わるから意識が変わるのです。

【報告】日本:リクナビ事件への勧告