「GDPR」カテゴリーアーカイブ

【報告】Schrems II: EDPBがQ&Aを公表

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月25日の報告です。Shrems IIのケースに関連してEDPBがQ&Aを公表しました。

アメリカへのデータ移転はSCC + DPIA + DPAへのconsultationとするのが現状一番安全ではないでしょうか。

ちなみにBCRは有効ですが、ICO経由で承認されたBCRは継続的に有効とするためには再度EU域内の監督機関に依頼してアセスメントしなおさなければならないことになりました。

【報告】SCCを使用するためのチェックリストをNOYBが公表

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月20日の報告です。Shrems IIケースではSCCsについてcase by caseで有効性を判定するようにとされました。

これを受け、Shrems氏が率いるNOYBがチェックリストを作成しています。ご参照ください。

Next Steps for EU companies & FAQs

【報告】Schrems II:SCCは有効、Privacy Shieldは無効

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月16日の報告です。Shrems IIはSCCsは有効、Privacy Shieldは無効という結果になりました。しかし、surveilanceをSCCsで防ぐことは無理でしょう。日本の十分性認定も、Surveilanceに対する適切な監視体制があるとは言えないため撤回される可能性が出てきました。

Schrems II のプレスリリースはこちらです。

判決の全文はこちらからアクセスしてください。

–プレス・リリースの翻訳–

司法裁判所 (CJEU) は、EU-USデータ保護シールドによって提供される保護の妥当性に関する決定2016/1250 (Decision 2016/1250) を無効と判断

ただし、第三国で設立された処理業者への個人データの転送に関する標準契約条項(Standard Contractual Clauses, SCCs)に関する委員会決定2010/87(Commission Decision 2010/87)は有効であると考えている

一般データ保護規則(GDPR)では、処理者へのデータの第三国への転送は、原則として、当該第三国が適切なレベルのデータ保護を保証する場合にのみ行われると規定している。 GDPRは、欧州委員会が、第三国が国内法または国際的責任により、十分なレベルの保護を保証しているとみなすことを許容している。

十分性認定がない場合、処理者へのデータ移転は、EUに設立された個人データの輸出者が、特に欧州委員会が採択した標準データ保護条項から生じる適切な保護手段を提供し、データ主体が 強制可能な権利と有効な法的救済が担保されている場合のみ行うことが許容される。 さらに、GDPRは、十分性認定または適切な保護手段がない場合に、処理者への移転を行うことが許容される条件について詳述している。

オーストリアに居住するオーストリア国民であるMaximillian Schrems氏は、2008年からFacebookユーザーである。欧州連合に居住する他のユーザーの場合と同様に、Schrems氏の個人データの一部またはすべては、Facebook Irelandによって、米国内にあるFacebook Incのサーバーに移転され、そこで処理が行われる。Schrems氏はアイルランドの監督当局(DPA)に、本質的にこれらの移転を禁止するよう訴えた。Schrems氏は、米国の法律および慣行は、公的機関によるその国に移転されたデータへのアクセスに対する十分な保護を提供していないと主張した。その苦情は、特に決定2000/520( Decision 2000/520、いわゆる「セーフ・ハーバー決定」)において欧州委員会が米国が適切なレベルの保護を確保していると判断していることを理由に却下されました。 司法裁判所(EUCJ)は高等裁判所(アイルランド)が暫定判決に対して提出した質問に対し、2015年10月6日に判決を行い、その決定は無効であると宣言した(いわゆる「Schrems I 判決」)。

Schrems I 判決と、それに続く裁判所によるSchrems氏の申し立てを拒否した判決の破棄に基づき、アイルランドDPAは、判決2000/520(Decision 2000/520)が無効であるというEUCJの宣言に照らし、申し立てを改定するようSchrems氏に要請した。Schrems氏は改定された訴状で、米国はその国に転送されたデータの十分な保護を提供していないと主張している。彼は、Facebookアイルランドが現在、委員会決定2010/87(Commission Decision 2010/87)の付属書に記載されている標準のデータ保護条項に従って実施している、EUから米国への個人データの将来の転送の一時停止または禁止するよう求めている。Schrems氏の苦情の結果は特に委員会決定2010/87(Commission Decision 2010/87)の有効性に依存すると判断し、アイルランドDPAは、 司法裁判所(EUCJ)に質問を付して暫定判決を求めるため、高等裁判所に訴訟を提起した。 これらの手続きの開始後、欧州委員会は、EU-米国プライバシーシールドが提供する保護の妥当性に関する決定2016/1250(Decision 2016/1250、プライバシーシールドの決定)を採択した。

予備判決の要請を行うことで、参照裁判所は、GDPRが委員会決定2010/87(Commission Decision 2010/87)の標準データ保護条項に従った個人データの転送に適用されるか、そのような状況でDPAに課せられている義務、およびそのような移転に対し、GDPRに関連してどのレベルの保護が必要かを裁判所に尋ねた。 高等裁判所は、委員会決定2010/87(Commission Decision 2010/87)と決定2016/1250(Decision 2016/1250)の両方の有効性の問題も提起している。

今日の判決では、司法裁判所は、欧州人権憲章に照らして委員会決定2010/87(Commission Decision 2010/87)を検討したところ、その決定の有効性に影響を与えるものは何もないと認定した。 しかし、決定2016/1250(Decision 2016/1250)は無効であると宣言した。

第一に、CJEUは、EUの法律、特にGDPRが、その転送時またはその後、データが公安、防衛、および国家安全のために、問題の第三国の当局によって処理される場合があるとしても、加盟国に設立された事業者による第三国に設立された別の事業者への商業目的での個人データの移転に適用されると考える。CJEUは、第三国の当局によるこの種のデータ処理を理由に移転をGDPRの適用範囲から排除することはできないと付け加える。

そのような移転に関して必要な保護のレベルについては、越境移転目的のために定められた、適切な保護、強制力のある権利、および効果的な法的救済に関するGDPRの要件は、個人データが標準のデータ保護条項に従って第三国に移転されるデータ主体に対し、欧州人権憲章に照らし、GDPRによってEU内で保証されるレベルと本質的に同等のレベルの保護を提供しなければならないと裁判所は考える。 これらの状況では、EUに設立されたデータ輸出者と関係する第三国に設立された移転データの受領者との間で合意された契約条項、 第三国の公的機関による移転データへのアクセス、その第三国の法制度の関連する側面について、保護レベルの評価では考慮しなければならないと裁判所は規定する。

そのような移転に関連するDPAの義務については、裁判所は次のように考える。有効な欧州委員会の十分性認定がない限り、管轄DPAは、移転のすべての状況に照らして、当該国では標準データ保護条項が遵守されていない、または遵守することができない、あるいはEU法で要求されている移転されたデータの保護が他の方法では確保できないと判断し、EUに設立されたデータ輸出者自体がそのような移行を一時停止または停止していない場合、第三国への個人データの転送を一時停止または禁止しなければならない。

次に、CJEUは委員会決定2010/87(Commission Decision 2010/87)の有効性を検討する。CJEUは、決定の標準データ保護条項が本質的に契約上のものであることに鑑みて、データが転送される可能性のある第三国の当局を拘束しないという単なる事実によって、その決定の有効性は問題にされないものと考える。ただし、その有効性は、EU法で要求される保護レベルの遵守を実際に可能にする効果的なメカニズムが決定に含まれているかどうか、およびかかる条項に基づく個人データの移転が、これらの条項に違反した場合、またはそれらを遵守することが不可能な場合に中断されているかどうかに応じて決まるということを、CJEUは付言する。CJEUは、委員会決定2010/87(Commission Decision 2010/87)がそのようなメカニズムを確立していると認定する。この点に関して、CJEUは特に、決定は、データ輸出者とデータ受信者に、移転前に、関係する第三国でそのレベルの保護が尊重されているかどうかを検証する義務を課していることを指摘し、この決定により、受信者は標準データ保護条項に準拠できないことをデータ輸出者に通知しなければならず、準拠できない場合、データの移転を一時停止するか、データ輸出者との契約を終了する必要があることを指摘する。

最後に、CJEUは、GDPRから生じる要件に照らして決定2016/1250(Decision 2016/1250)の有効性を検討し、個人および家族の生活、個人データ保護、および効果的な司法に対する権利を保証する憲章の条項に照らして読む。この点に関して、CJEUは、決定2016/1250(Decision 2016/1250)は決定2000/520(Decision 2000/520)と同様に、米国の国家安全保障、公益、および法執行機関の要件が優先事項であり、したがって米国にデータが転送される人物の基本的権利への干渉を容認するという立場を明記していることに留意する。CJEUの見解では、欧州連合から米国に転送されたデータへの米国の公共機関によるアクセスおよび使用に関する米国の国内法から生じる個人データ保護に関する制限は、規定に基づく監視プログラムが厳密に必要なものに限定されない限り、委員会が評価した決定2016/1250(Decision 2016/1250)ではEU法に基づいて要求される要件と本質的に同等の要件を満たす方法で制限されない。これらの発見に基づいて、CJEUは、特定の監視プログラムに関して、規定は、プログラムを実施するために彼らが与える力に対する制限、または潜在的に標的とされた米国人ではない人への保証の存在を示さないと考える。規定は問題の監視プログラムを実施する際に米国当局が従わなければならない要件を定めているが、米国当局に対して法廷で訴訟を起こす権利をデータ主体に付与しないことをCJEUは付け加える。

司法保護の要件に関して、CJEUは、決定2016/1250(Decision 2016/1250)で委員会が取った見解とは対照的に、その決定で言及されたオンブズパーソンのメカニズムは、メカニズムによって提供されるオンブズパーソンの独立性と、オンブズパーソンが米国の諜報機関に拘束力のある決定を採用することを可能にするルールの存在の両方を保証するなど、EU法で要求されるものと実質的に同等の保証についてデータ主体に提訴機関の前に訴訟の理由を提供していないと判断する。 これらのすべての理由で、CJEUは決定2016/1250(Decision 2016/1250)0が無効であると宣言する。

【処分事例】フランス:Googleへの制裁金は無効

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年4月8日の報告です。Googleにフランスの監督機関CNILが課した制裁金(10万ユーロ)は無効だという判決が出ました。これはプライバシーの専門家の間で話題になった判決です。EU法はEU域内に適用という原理原則が示されました。

【処分事例】フランス:Googleへの制裁金は無効

【報告】ホームオフィス:オランダのDPAによるガイドライン

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年3月31日の報告です。オランダのDPAによるホーム・オフィスのガイダンスです。ホーム・オフィスがニュー・ノーマルとなり、私たちは多くの変化にさらされています。特に女性は「子育ては女性」という暗黙知(silent language)のため、夜間の仕事を余儀なくされることもあるといいます。しかし、睡眠不足はメンタル・ヘルスへの悪影響もあるため、生活のコントロールも欠かせません。ホーム・オフィスでのやり取りはビデオ・チャットが主流となっています。Zoomのセキュリティ問題が話題となっていますが、非常時のもとある程度のリスクは受け入れつつうまくツールを活用することが望ましいです。

【報告】ホームオフィス:オランダのDPAによるガイドライン

【報告】スウェーデン:データ侵害報告用のオンライン・ツール

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

ISO 27701の認証取得を公表する企業が増えてきました。現在されているものは「プライベート認証」と呼ばれるものでなので、口の悪いイギリス人のプライバシー専門家に言わせると「ビール一杯で認証を付与してやる」レベルのものでしかありません。とはいえ、世界ではISO27701の認証取得が今後加速することが見込まれます。日系企業以外からの仕事を受注するためには今後必須要件の一つになるでしょう。

ISMSへの追加で容易に対応できるものなので、ぜひ対応を開始しておくことを推奨します。当社でもコンサルティングを行っていますのでぜひご相談ください。

2020年3月30日の報告です。個人データ侵害の報告は組織にとって最も重要な話題の一つです。どこに報告すべきか、何を報告すべきかを理解しておくことが大切です。スウェーデンの報告フォームから学びましょう。

【報告】スウェーデン:データ侵害報告用のオンライン・ツール

【ビデオ公開】CyberSafety.orgオンラインサミット

2020年3月18日にオンラインで子供の安全をテーマとした、専門家によるライブイベントを行いました。

今回はセクスティングを中心に、オンラインでの子供の安全を護るために親ができることについてや日本の法制度、子どもが巻き込まれるオンライン犯罪の現状といったことを議論しています。

子どものいる親にぜひ見ていただきたいと思っています。

このライブはCyberSafety.orgのサミットの一枠として行っています。CyberSafety.orgはアメリカのParry Aftab弁護士がイニシアチブをとって行っている活動で、子どもが安全にインターネットを活用できるようにサポートしています。サミットの様子は特設サイトで見ることができます。世界各国の専門家が惜しみなくアドバイスを提供してくれています。英語ですが、こちらもぜひご覧ください。
 
CyberSafety.orgは日本でも今年から活動を開始しました。私が日本での活動を取りまとめていますので、関心がある方はぜひご連絡ください
テーマ: デジタル時代に親が知っておくべきこと – What parents need to know in the digital age – 

<パネリスト>

隈有子様 (株式会社マモル 代表)https://mamor.jp/

生田 美弥子先生 (パートナー、弁護士、北浜法律事務所)https://www.kitahama.or.jp/professionals/miyako-ikuta/

中崎 尚先生 (スペシャルカウンセル、弁護士、アンダーソン毛利友常法律事務所)https://www.amt-law.com/professionals/profile/TAN

<関連リンク:>

弁護士に聞く!子供の「ネットいじめ」の現状、何を書いたら「犯罪」になるの?https://brava-mama.jp/2019081695659/

弁護士に聞く!子供の「ネットいじめ」対処法と親が知っておくべきこととは?https://brava-mama.jp/2019082095662/ 

 

【報告】GDPR:コロナウィルス(COVID-19)に関連したガイドライン

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年3月19日の報告です。世界各国でコロナウィルスに関連したプライバシー対応についてのガイドラインが発表されています。今回はベルギーのものを紹介します。日本の大企業では積極的に来訪者に体温測定を行わせ、体温を記載させていますが、欧州ではこれは許されません。彼我のプライバシーに対する温度差がはっきり表れています。

【報告】GDPR:コロナウィルス(COVID-19)に関連したガイドライン

【周知】3月18日12時~13時:CyberSafety.orgオンラインサミット

日本時間3月18日12時~13時にオンラインでの子供の安全をテーマとした、専門家によるライブイベントをやります。これは、アメリカのParry Aftab弁護士がイニシアチブをとって行っているCyberSafety.orgの活動の一環で、私が日本のHeadをしています。 子どものいる親にぜひ見ていただきたいです!お楽しみに!

 
視聴方法:
cybersafetylive.comの左上にあるライブへのリンクをクリック
テーマ: デジタル時代に親が知っておくべきこと – What parents need to know in the digital age – 

<パネリスト>

隈有子様 (株式会社マモル 代表)https://mamor.jp/

生田 美弥子先生 (パートナー、弁護士、北浜法律事務所)https://www.kitahama.or.jp/professionals/miyako-ikuta/

中崎 尚先生 (スペシャルカウンセル、弁護士、アンダーソン毛利友常法律事務所)https://www.amt-law.com/professionals/profile/TAN

<関連リンク:>

弁護士に聞く!子供の「ネットいじめ」の現状、何を書いたら「犯罪」になるの?https://brava-mama.jp/2019081695659/

弁護士に聞く!子供の「ネットいじめ」対処法と親が知っておくべきこととは?https://brava-mama.jp/2019082095662/ 

【報告】立法:イギリスがBrexit後の規則を採用

<お知らせ1>

CyberSafety.orgのオンライン・イベントが決定しました

第1回 CyberSafety.org パネルディスカッション

<日時:>

3月18日10時 ~ 11時

<テーマ:>

デジタル時代に親が知っておくべきこと(What parents need to know in the digital age)

「子どもを狙ったデジタル犯罪(またはデジタルを利用した犯罪)(e.g. セクスティング、セクストーション、自殺のリスク):サイバー法による取締まり、対策」

会場:LinkedIn Live / Facebook Live

–> ライブ中継は私をフォローしていただいている方が見ることが可能です。

<パネリスト:>

隈有子様 (株式会社マモル 代表)https://mamor.jp/

生田 美弥子先生 (パートナー、弁護士、北浜法律事務所)https://www.kitahama.or.jp/professionals/miyako-ikuta/

中崎 尚先生 (スペシャルカウンセル、弁護士、アンダーソン毛利友常法律事務所)https://www.amt-law.com/professionals/profile/TAN

<関連リンク:>

弁護士に聞く!子供の「ネットいじめ」の現状、何を書いたら「犯罪」になるの?https://brava-mama.jp/2019081695659/

弁護士に聞く!子供の「ネットいじめ」対処法と親が知っておくべきこととは?https://brava-mama.jp/2019082095662/ 

<お知らせ2>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ3>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ4

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年2月28日の報告です。イギリスがBrexitにあわせてデータ保護法を改正しました。ポイントを抑えておきましょう。

【報告】立法:イギリスがBrexit後の規則を採用