「GDPR」カテゴリーアーカイブ

【読み物】番外編:JETROのエキスパート業務を終えて

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

JETROさんとのアドバイザー契約がひと段落したので、今日はこの仕事を通じて感じたことを書いておきたいと思います。

JETROさんの仕事では多くの中小企業の方とお会いする機会をいただきました。2018年はGDPRが施行された年でもあり、振り返ると40社を超える企業様に直接アドバイスをご提供していました。セミナーに来ていただいた企業を入れるとこの数倍になるでしょう。それだけ多くの中小企業が海外展開をしているということを知り、改めてビジネスがグローバル化していることを感じます。

一方で、データ・プライバシーの仕事を通じ、日本の企業のビジネスに対する認識が世界で議論されていることがらからずれ始めている(あるいはずっとずれている)のではないか、という印象も受けました。

私は外資系の会社での仕事が多かったためか、以前から同様のことを感じていたのですが、今回あらためて数多くの企業と接することで、この印象が強まったという感覚です。

データ・プライバシーの本質は、個人データ処理を行う企業が「社会的責任」として正しいデータ処理を行うことを推進するものです。デジタル化する世界において、企業が社会に及ぼす影響が無視できないものとなったことが背景にあります。

外国の専門家と話をすると、その議論はいつも「倫理」に行き着きます。わたしたちプライバシーの専門家は、どのように社会的責任を果たせば良いのかを議論しています。

ところが、データ・プライバシーや法令、コンプライアンス関連のコンサルティングをしていると、大企業も中小企業もこの点の理解が非常に弱いことを感じます。「大企業は対応をしっかりしなければいけないから損だ」という意見がある等、「怒られるからやっている」という会社が相当数あるように見受けられます。中小企業ならまだ理解できないことはありませんが、大企業で「経済的価値が生まれないところには予算がつかない」という話を聞くと少し心配になります。

何故取り組んでいるのか、についての問いかけが組織に欠けているのでしょう。

これは、実は根深い問題です。会社が単なる金儲け機械になってしまっているからです。戦後復興の時代はそれでよかったのでしょうが、ある程度の経済再生を果たした後では次のステージに移らなければ発展は望めません。

金儲けだけのためにがんばることができる人はごく一部です。金儲けのためのツールになってしまった人は当然生産性も落ちますし、幸福度も落ちるでしょう。当然商品サービスにそれが現れます。働く人にはモチベーションが必要です。

日本企業のこういった姿勢は、日本が30年間一切経済成長を止めてしまったという形で、わたしたちの生活にも影響を及ぼしています。企業とは、社会的な存在であることを改めて認識しなければなりません。

「なぜ存在するのか」

「なぜ仕事をするのか」

「その先にある未来は何か」

「何を達成したいのか」

今、日本の企業にはこういった問いかけが必要なのではないでしょうか?日本の企業のトップは、金儲けを目的とするのではなく、企業としての仕事を果たすための取り組みを行う必要があるように感じます。

ある地方でセミナーを開いた後、「日本では「倫理」というと青臭いと思われませんか?」と聞かれたことがあります。

私は、そうではないと思います。

企業にとっての「倫理」とは企業の「あるべき姿」です。「企業理念」と置き換えても良いでしょう。「企業理念」はすべての企業が持っています。企業活動はすべて、「企業理念」の実現のためにあるはずです。「倫理」の真剣な議論は、むしろ当然するべきことなのです。

自分たちがどうあるべきかを議論してはじめて、わたしたちは自分たちの行為に誇りを持つことができます。誇りを持てる仕事は幸福な仕事です。

【報告】アメリカ: スウェーデンDPAがクラウドに懸念

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

データ・プライバシーについてのお問い合わせ、ご助言は有料でのご支援です。アドバイザリー・サービスまたは顧問契約、コンサルティング契約の締結をご検討ください。お問い合わせはこちらからお願いします。

あるスウェーデンで行われた調査によると、クラウド・サービスの市場は少数のアメリカの企業が占有している状況です。これらのサービスはEU企業にとってはGDPR対応上多くの問題をはらんでいます。USのクラウド法によってアメリカ国民以外の個人データに対して政府がアクセス可能となったためです。

【報告】アメリカ: スウェーデンDPAがクラウドに懸念

【報告】オランダ: Cookie監視を強化

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

データ・プライバシーについてのお問い合わせ、ご助言は有料でのご支援です。アドバイザリー・サービスまたは顧問契約、コンサルティング契約の締結をご検討ください。お問い合わせはこちらからお願いします。

オランダのDPAがクッキーの監視強化を発表しました。ユーザの行動を追跡、分析することが目的のトラッキング・ソフト(Cookie、ピクセル、フィンガープリント)を設置する場合には事前の同意が義務付けられます。トラッキング・ソフトの使用を断ったユーザにウェブサイトへのアクセスを遮断するという措置を採ることは禁止されています。2019年3月21日の報告です。

【報告】オランダ: 当局がウェブサイト監視を強化

【時事】Brexit:日本はイギリスに十分性認定

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

Brexitは離脱協定が合意されるのであれば2019年5月22日まで延期となりましたが、離脱協定が合意される見通しは低く混迷を極めています。棚上げしてきた国境問題が急転して決まる可能性はないため、当然といえば当然の帰結です。日本はBrexit後もイギリスを十分性認定します。個人情報保護委員会の2019年3月15日の報道発表です。

【時事】Brexit:日本はイギリスに十分性認定

Brexitに関しては以下の記事もご覧ください。

【時事】BREXIT:EDPBによるアドバイス(本文解説)

【時事】Brexit:EDPBがBCRへの影響について解説

【時事】Brexit:ポーランドDPAによるデータ移転へのアドバイス

【時事】Brexit後のイギリスには GDPR がどのように適用されるのか

【時事】イギリスにおける Brexit 後の個人データ処理の推奨される方法

【時事】Brexit:欧州委員会 イギリスの十分性認定を2020年までに

【時事】Brexit:ICOによるno-deal時の対応ガイドライン

【時事】Brexit:イギリスの企業のDPO

【時事】イギリスにおける Brexit 後の個人データ処理の推奨される方法

【時事】Brexit:欧州委員会 イギリスの十分性認定を2020年までに

【時事】Brexit:ICOによるno-deal時の対応ガイドライン

【報告】オランダ: 制裁金の判定基準

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

データ・プライバシーについてのお問い合わせ、ご助言は有料でのご支援です。アドバイザリー・サービスまたは顧問契約、コンサルティング契約の締結をご検討ください。お問い合わせはこちらからお願いします。

オランダのDPAが制裁金を課す際の判定基準を示しました。制裁金の額は、基準に照らして重大度、侵害の規模を考慮して決められます。世界売上高の2%または1,000万ユーロいずれか高いほうの制裁金が課せられるのは、子供のデータに関する違反、データ侵害の報告違反、DPAへの協力を怠った場合です。世界売上高の4%または2,000万ユーロが課されるのは処理の原則に違反した場合、データ主体の権利を侵害した場合、同意を適切にとらなかった場合です。2019年3月18日の報告です。

【報告】オランダ: 制裁金の判定基準

新シリーズ【読み物】GDPRとは:第十七回 大企業のGDPR対応ポイント(5)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

 新たなシリーズ連載では GDPR について包括的な理解ができるような情報提供を行っています。GDPR そのものをあらためて学びなおし、理解を深めたい方を対象とした連載です。

第十七回目は「大企業の対応のGDPR対応ポイント(5)」です。今回は「データ・プライバシーを日常業務に埋め込む」というプライバシー・マネジメント活動(PMA)について説明しています。ルールを定めても、それが実際に行われていなければ意味がありません。ルールを定めた後はルールが確実に組織内に適用されるようにプロトコルや仕組みを整える作業が必要ですね。このプライバシー・マネジメント活動は地味な作業だが、最も重要な作業の一つといえます。(途中まで)

この連載は、世界のデータ保護法に対応しなければならない担当の方今後データ保護法により関与されたい弁護士や会計事務所の方コンサルタントの方に役立つ内容となります。IAPP のCIPP/E受験を考えてらっしゃる方もぜひお読みになってください。IAPP のテキストの内容に、有用な情報を追加しつつ解説を進めています。

なお、このシリーズでご紹介している手法は、当社が GDPR 対応コンサルティング、データ保護法コンサルティングを行う際に採用している手法です。ご質問等はコンサルティングの中での対応となるため、より深く知りたい方はコンサルティング契約または顧問契約の中でご支援させていただきますのでお申し付けください。

【読み物】GDPRとは:第一回 概要

【読み物】GDPRとは:第二回 歴史

【読み物】GDPRとは:第三回 EU法の仕組み

【読み物】GDPRとは:第四回 GDPR と現在の加盟国法の対応

【読み物】GDPRとは:第五回 GDPR がもたらした世界のデータ保護法への影響

【読み物】GDPRとは:第六回 GDPR の適用範囲

【読み物】GDPRとは:第七回 GDPR の適用対象(1)

【読み物】GDPRとは:第八回 GDPR の適用対象(2)個人データの定義

【読み物】GDPRとは:第九回 GDPR 適合のポイント Data Privacy by Design as a Default

【読み物】GDPRとは:第十回 GDPR 適合のポイント 「説明責任」と「透明性」

【読み物】GDPRとは:第十一回 GDPR 適合のポイント フレームワークの活用方法

【読み物】GDPRとは:第十二回 中小・零細企業のGDPR対応ポイント

【読み物】GDPRとは:第十三回 大企業のGDPR対応ポイント(1)

【読み物】GDPRとは:第十四回 大企業のGDPR対応ポイント(2)

【読み物】GDPRとは:第十五回 大企業のGDPR対応ポイント(3)

【読み物】GDPRとは:第十六回 大企業のGDPR対応ポイント(4)

【読み物】GDPRとは:第十七回 大企業のGDPR対応ポイント(5)

 

【報告】マレーシア:コンプライアンスの義務

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

マレーシアの監督機関が個人データ保護法へのコンプライアンスについてガイダンスを出しました。2019年3月12日の報告です。

個人データを含む商業上の取引を行う組織(通信ライセンス業者、航空会社、銀行)は、顧客の個人データを開示する前に個人の同意を取得しなければなりません。またアクセス権、修正権、制限権、同意の撤回に対応し、個人データの保護について、バックアップ、アクセス制限、データ廃棄記録等適切な手順を踏まなければなりません。

【報告】マレーシア:コンプライアンスの義務

【報告】忘れられる権利: サーチ・エンジンの義務

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

サーチ・エンジンの忘れられる権利はデジタル時代において関心の高い話題です。忘れられる権利は「表現の自由」と結びつけて議論しなければなりません。2019年3月11日の報告です。欧州司法裁判所の法務官が意見を出しました。それによると、サーチ・エンジンの運営業者はsensitive dataをデータ主体のデータ保護権とプライバシー保護、および公共の情報アクセス権、コンテツンツの版元の表現の自由をバランスを考慮して検索不能とする義務があります。

【報告】忘れられる権利: サーチ・エンジンの義務

【報告】デンマーク: ベンダー監査のポイント

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

データ管理者はデータ処理者に対しての責任を負います。データ処理者は、管理者の指示にしたがった処理のみを行わなければならない旨を書面で手順化しておかなければなりません。処理者はデータ主体の権利行使やDPAへのデータ侵害通知時に管理者に協力する義務があります。データ処理者のセキュリティ対策は、データ処理契約に合致したものである必要があります。監査を行う管理者は、セキュリティ・システムが適切なセキュリティ警告を出し、ログを監査し、アクセス権が適切に制限されていることを確認しなければなりません。2019年3月8日の報告です。

【報告】デンマーク: ベンダー監査のポイント

【処分事例】ドイツ: アップルのPrivacy Policyを違法と判断

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

この処分事例はなかなか興味深いものです。過去のPrivacy Policyの内容に対してGDPRを適用しています。アップルのPrivacy Policyは、顧客のデータを社内での使用を目的としているため特別な同意を取ることなく使用しているように書かれており、顧客に処理の目的を特定しておらず、privacy policy全体に同意することによって全てのデータ処理に同意することを共用していると判断されていました。2019年3月8日の報告です。

【処分事例】ドイツ: アップルのPrivacy Policyを違法と判断