「GDPR」カテゴリーアーカイブ

【処分事例】アイルランド: オート・フィル機能

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

以前、シンガポールでの処分事例にも出てきた「オート・フィル(自動入力)」機能による誤送信事例です。2019年3月8日の報告です。ある航空会社の従業員がwebchatの会話履歴を顧客に送付する際、オートフィル機能で入力されたemailアドレスを修正し忘れ、個人の名前、emailアドレス、電話番号、飛行計画を別の顧客に送付してしまいました。オート・フィル(自動入力)機能を使用することによる潜在的リスクについては、スクリーンにプロンプトを表示する等、何らかの対応をすることが必要となります。

【処分事例】アイルランド: オート・フィル機能によるデータ侵害

【読み物】番外編:プライバシー業界のミスマッチ

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

最近はBrexitを除いて特にめぼしい話題がないので、少し所感を書いてみます。

現在、日本ではデータ・プライバシーは弁護士の方やシニア層の方が担当されていることが多くあります。が、データ・プライバシーが語られている状況との間にミスマッチを生んでいるのではないかと感じます。

弁護士の方にとっては、データ保護はニッチすぎ、専門とするには狭すぎる分野です。法律についての高度な知識を網羅的にもつ弁護士がデータ保護に集中して取り組むというのは、いささかオーバースペックに感じます。毎日の通勤にフェラーリを使うようなものです。

シニア層の方は日本型組織になじんでマネジメント・システムの思想とは異なる思想で生きてきた人たちです。リーダーシップの発揮の仕方も、実力とコンセンサスの形成よりも完成された組織の関係性の中で順当に出世し上の立場に立つことが多かった世代です。(しかも英語さえできないことが多い!)

前提としてきた世界観が違うので、そもそも何を達成したいのかについての理解が不十分、もしくはそれを理解したところでそのような考え方に慣れていないためどう動けばよいかわからないようです。(データ保護をいまだにシステムセキュリティと同義と考えている等)

データ・プライバシーの世界はまだ「正解」がない世界です。今流行の言葉で言えばVUCA (Volatility(変動性・不安定さ)、Uncertainty(不確実性・不確定さ)、Complexity(複雑性)、Ambiguity(曖昧性・不明確さ))の分野です。

「透明性」ひとつをとっても、何をすれば透明性を担保できるのかは誰もわからない、というのが現実です。

日本でデータ・プライバシーに従事している人々は、適材適所になっていない可能性が高いと感じます。

プライバシーの専門家としては(自分の頭で考え動くことができ、国際感覚がある)若い人を採用するのがよいように感じます。

方針の決め方も「対話」を重ねることで文化を醸成し、明文化することでそれを規定し、かつ継続的な対話によって規定を更新し続ける、という作業が必要です。

スピードも大切ですし、情報収集も大切です。明文化、言語化も大切な要素となります。

これらの多くは日本型の組織に欠けていますね。若い世代にもっと権限を委譲し、ダイナミックに動いたほうがよいのではないか、という印象があります。

新シリーズ【読み物】GDPRとは:第十六回 大企業のGDPR対応ポイント(4)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

 新たなシリーズ連載では GDPR について包括的な理解ができるような情報提供を行っています。GDPR そのものをあらためて学びなおし、理解を深めたい方を対象とした連載です。

第十六回目は「大企業の対応のGDPR対応ポイント(4)」です。今回は「内部データ・プライバシー・ポリシーを保守する」というプライバシー・マネジメント活動(PMA)について説明しています。データ・プライバシー・ポリシーとは社内、組織内でのデータ・プライバシーの指針を与えるものです。作り方にはいくつかポイントがあります。

この連載は、世界のデータ保護法に対応しなければならない担当の方今後データ保護法により関与されたい弁護士や会計事務所の方コンサルタントの方に役立つ内容となります。IAPP のCIPP/E受験を考えてらっしゃる方もぜひお読みになってください。IAPP のテキストの内容に、有用な情報を追加しつつ解説を進めています。

なお、このシリーズでご紹介している手法は、当社が GDPR 対応コンサルティング、データ保護法コンサルティングを行う際に採用している手法です。ご質問等はコンサルティングの中での対応となるため、より深く知りたい方はコンサルティング契約または顧問契約の中でご支援させていただきますのでお申し付けください。

【読み物】GDPRとは:第一回 概要

【読み物】GDPRとは:第二回 歴史

【読み物】GDPRとは:第三回 EU法の仕組み

【読み物】GDPRとは:第四回 GDPR と現在の加盟国法の対応

【読み物】GDPRとは:第五回 GDPR がもたらした世界のデータ保護法への影響

【読み物】GDPRとは:第六回 GDPR の適用範囲

【読み物】GDPRとは:第七回 GDPR の適用対象(1)

【読み物】GDPRとは:第八回 GDPR の適用対象(2)個人データの定義

【読み物】GDPRとは:第九回 GDPR 適合のポイント Data Privacy by Design as a Default

【読み物】GDPRとは:第十回 GDPR 適合のポイント 「説明責任」と「透明性」

【読み物】GDPRとは:第十一回 GDPR 適合のポイント フレームワークの活用方法

【読み物】GDPRとは:第十二回 中小・零細企業のGDPR対応ポイント

【読み物】GDPRとは:第十三回 大企業のGDPR対応ポイント(1)

【読み物】GDPRとは:第十四回 大企業のGDPR対応ポイント(2)

【読み物】GDPRとは:第十五回 大企業のGDPR対応ポイント(3)

【読み物】GDPRとは:第十六回 大企業のGDPR対応ポイント(4)

【報告】スウェーデン:管理者と処理者

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

少し忙しく更新が遅れ気味ですが、できるだけ毎日更新できるようにします。

管理者と処理者についてはずいぶんたくさん説明が出て言い尽くされた感がありますが、基本をしっかりと抑えておきましょう。

スウェーデンの監督機関がGDPRにおける管理者と処理者の責任について明確化しました。2019年2月26日の報告です。管理者は処理者に個人データ処理業務を委託することはできますが、個人データの保護はあくまでも管理者の責任です。処理者はGDPRに基づいて個人データ処理を行わなければなりません。また、処理者は管理者の指示に従って処理を行わなければなりません。また処理者自身も監督機関による行政処分の対象となります。

【報告】スウェーデン: 管理者は処理者に法的責任を押し付けることはできない

 

新シリーズ【読み物】GDPRとは:第十五回 大企業のGDPR対応ポイント(3)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

 新たなシリーズ連載では GDPR について包括的な理解ができるような情報提供を行っています。GDPR そのものをあらためて学びなおし、理解を深めたい方を対象とした連載です。

久しぶりの更新です。これから13回にわたって、プライバシー・マネジメント・プログラムを一つずつ解説してきます。第十五回目は「大企業の対応のGDPR対応ポイント(3)」です。今回は「個人データの目録とデータ移転メカニズムをメンテナンスする」というプライバシー・マネジメント活動(PMA)について説明しています。データ・マッピングや移転メカニズムについての活動をする目的とその利点がわかります。

この連載は、世界のデータ保護法に対応しなければならない担当の方今後データ保護法により関与されたい弁護士や会計事務所の方コンサルタントの方に役立つ内容となります。IAPP のCIPP/E受験を考えてらっしゃる方もぜひお読みになってください。IAPP のテキストの内容に、有用な情報を追加しつつ解説を進めています。

なお、このシリーズでご紹介している手法は、当社が GDPR 対応コンサルティング、データ保護法コンサルティングを行う際に採用している手法です。ご質問等はコンサルティングの中での対応となるため、より深く知りたい方はコンサルティング契約または顧問契約の中でご支援させていただきますのでお申し付けください。

【読み物】GDPRとは:第一回 概要

【読み物】GDPRとは:第二回 歴史

【読み物】GDPRとは:第三回 EU法の仕組み

【読み物】GDPRとは:第四回 GDPR と現在の加盟国法の対応

【読み物】GDPRとは:第五回 GDPR がもたらした世界のデータ保護法への影響

【読み物】GDPRとは:第六回 GDPR の適用範囲

【読み物】GDPRとは:第七回 GDPR の適用対象(1)

【読み物】GDPRとは:第八回 GDPR の適用対象(2)個人データの定義

【読み物】GDPRとは:第九回 GDPR 適合のポイント Data Privacy by Design as a Default

【読み物】GDPRとは:第十回 GDPR 適合のポイント 「説明責任」と「透明性」

【読み物】GDPRとは:第十一回 GDPR 適合のポイント フレームワークの活用方法

【読み物】GDPRとは:第十二回 中小・零細企業のGDPR対応ポイント

【読み物】GDPRとは:第十三回 大企業のGDPR対応ポイント(1)

【読み物】GDPRとは:第十四回 大企業のGDPR対応ポイント(2)

【読み物】GDPRとは:第十五回 大企業のGDPR対応ポイント(3)

【時事】Brexit:イギリスの企業のDPO

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

イギリスにDPOを置いていたりイギリスを主監督機関としている企業はBrexitにどう対応すべきでしょうか。法律事務所による解説です。2019年2月19日の報告です。

【時事】Brexit:イギリスの企業のDPO

以下の記事もご覧ください。

【時事】BREXIT:EDPBによるアドバイス(本文解説)

【時事】Brexit:EDPBがBCRへの影響について解説

【時事】Brexit:ポーランドDPAによるデータ移転へのアドバイス

【時事】Brexit後のイギリスには GDPR がどのように適用されるのか

【時事】イギリスにおける Brexit 後の個人データ処理の推奨される方法

【時事】Brexit:欧州委員会 イギリスの十分性認定を2020年までに

【時事】Brexit:ICOによるno-deal時の対応ガイドライン

【時事】Brexit:EDPBによるアドバイス(本文解説)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年2月15日の報告です。EDPBがBrexit後のデータ移転についてガイドラインをだしています。4ページにわたるEUからイギリスへのデータ移転についての解説の後、イギリスからEUへのデータ移転についてはたった2行以下の通りかかれているだけです。ドライですね。

According to the UK Government, the current practice, which permits personal data to flow freely from the UK to the EEA, will continue in the event of a no-deal Brexit.

ガイドラインの内容は目新しいものではありませんが、EDPBが出したということに意義があります。

【時事】Brexit:EDPBがデータ移転の要件を明確化

以下の記事も参照ください。

【時事】Brexit:EDPBがBCRへの影響について解説

【時事】Brexit:ポーランドDPAによるデータ移転へのアドバイス

【時事】Brexit後のイギリスには GDPR がどのように適用されるのか

【時事】イギリスにおける Brexit 後の個人データ処理の推奨される方法

【時事】Brexit:欧州委員会 イギリスの十分性認定を2020年までに

【時事】Brexit:ICOによるno-deal時の対応ガイドライン

【時事】Brexit:BCRへの影響

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年2月20日の報告です。Brexitがもうひと月先に差し迫りno-dealでの離脱の可能性が高まる中、EDPBが矢継ぎ早にガイダンスやアドバイスを発行しています。イギリスの監督機関 ICO はBrexit後EDPBのメンバーではなくなるため、BCRの認定に関与することがありません。ICOでBCRを取得済みであれば新たなDPAを特定しなければなりませんし、ICOにBCRを申請している場合は申請しなおしとなります。

【時事】Brexit:EDPBがBCRへの影響について解説

【時事】Brexit:EDPBによるアドバイス

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年2月12日にEDPBがBrexitに対するガイダンスを出しました。3月29日が迫る中、no-dealとなる可能性が高まっています。no-dealでのBrexitは誰も幸せにならないのですが、人が集まるとその決定は必ずしもロジカルなものとなりませんね。

EDPBのガイダンスは以前当社で解説したポーランドDPAによるアドバイスとほぼ同じ内容となっています。

Information note on data transfers under the GDPR in the
event of a no-deal Brexit

以下のページもご覧ください。

【時事】Brexit:ポーランドDPAによるデータ移転へのアドバイス

【告知】GDPRセミナー(北浜法律事務所)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

当社がご指導いただいている北浜法律事務所がGDPRのセミナーを東京、大阪で開催されます。ドイツの弁護士がドイツにおけるデータ保護について報告します。お席に限りがありますが、ぜひご参加ください。

「必聴! 施行から250日―GDPRと企業活動への影響」(日本語解説付)

東京会場

大阪会場