テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。
カナダでの事故ですが、データ侵害について意外な経路が原因となった事例が昨日報告されました。
ある会社の従業員(女性)がジムで盗難の被害にあいました。盗難されたのは、女性の家の鍵と財布です。泥棒は財布の中にあった情報から女性の家を突き止め、鍵をつかって女性の家に侵入し、かばんを盗みます。
このかばんにはその会社の顧客情報と会社から貸与されていた機材が入っていました。盗難にあった情報には住宅ローンの更新に関する情報が含まれており、誤用されるとIDの盗難、詐欺、信用記録へのネガティブな記録を残す等重大な損害を生じる可能性があります。
重大な影響をもたらすような sensitive data の持ち運び方法については細心の注意が必要と考えさせられる事象です。
テクニカ・ゼン株式会社ではデータプライバシー会員制サイトを新たに開始しました。
こちらの記事も少しずつ会員制サイトに移していきます。会員制サイトではGDPRの最新動向もリアルタイムで随時アップしてまいりますので、登録の上ぜひご活用ください。
先日アメリカの FTC のCommissionerである Rohit Chopraのインタビューを聞きました。アメリカにおいてもデータ・プライバシーについて規制がうまれつつある様子が伝わってきます。デジタル・エコノミー化する中で、私たちが享受しているオンライン・サービスが本当は無料ではないことに注意をしなければなりません。私たちは知らないうちに大きな代償を払っているかもしれません。
話は少しそれますが、今、欧州を発端にプラスチック容器の規制が急速に広まりつつあります。日本の新聞でもプラスチックのストローが廃止されたという話題が取り上げられているのでご存知の方も多いでしょう。
プラスチック容器は軽く、安価に製造できるため急速に広まりましたが、今、その負の側面が無視できなくなり規制という局面に向かっていると整理できます。
規制が生まれるときは、多くの場合、負の側面が無視できなくなるときなのです。
データ・プライバシーについても同じような状況にあると理解するのが良いかもしれません。私たちにはこれからの社会をどうしていきたいのか、考え、行動する責任があります。
私たちはどのような社会に生きたいのか、どのような社会を後世に残したいのか決めることができる世代です。
テクニカ・ゼン株式会社ではデータプライバシー会員制サイトを新たに開始しました。
ブログはこの一月ほど更新ができていませんでしたが、会員制サイトの準備に時間をとられていたことが一つの理由です。申し訳ありません。
今後は会員制のサイトにより大切な情報を掲載していく予定ですので、データ・プライバシーに関わる方にはぜひご登録していただければと思います。
こちらのブログは私の個人的な考えや見解を発信する場所へとシフトしていくこととなります。
データ・プライバシーはデータ・セキュリティと混同されることが多いのですが、セキュリティは情報の問題でしかありません。
データ・セキュリティ対応をしておけばデータ・プライバシーが可能であるというのは残念ながら正しくありません。
データ・プライバシーは人の生活に密接に影響するものであり、社会に対するインパクトがまったく異なります。自然、アプローチも「情報を護る」という観点から「人を護る」という観点に変わります。目指すものが異なるので、優先順位も当然異なります。ロジックではなく、エシックスで判断を行う場面が生じます。
エシックスで判断を行うためには、社会としての正義が問われます。社会として何をよしとするのか、何を禁じるのかが問われるのです。
データ・プライバシーは、私たちがどういう社会に生きたいのか、という問いかけにつながります。そして、私たちは主体的に自分たちの生きたい社会を宣言しなければなりません。そうでなければご都合主義の政治家と旧態依然とした保守的権力機構によって一部の集団に恩恵がもたらされるような決定が行われることとなるでしょう。
今、世界中で行われている法改正の根底には、社会の変革に対する各国の回答という側面があります。GDPRとよく似た動きが見られますが、やはり国ごとで大きく姿勢が異なり興味深いものがあります。会員制サイトでは、そういったムーブメントに従った情報の提供を行います。
もちろん、実務の上で役に立つ情報も必要であり、プライバシー・マネジメントを実装するためのチェックリストや各種テンプレートの提供も行っていきます。
議論も重要ですが、それ以上に行動すること、実装することのほうが重要です。思考はあくまで行動の裏づけがあって真実味を持つからです。
かつて、ビジネスは利便性の追求の結果、環境対策の必要性を指摘されながらも合理性を追求し、環境問題を引き起こしています。
データについても同様で、ビジネスが既に動いてしまって、大量のデータ侵害が発生する状況になってようやく法整備が進み始めています。
環境問題が引き起こされた時代、私たちはどのような世界に済みたいかについての議論が十分にできていなかったのかもしれません。データについて同じことは繰り返してはなりません。データ・プライバシーについての情報を発信する中でどういうルールが私たちに必要なのかについての考察も忘れてはなりません。
日本ではコンプライアンスというのがまるで面倒な校則のように扱われています。
権威ある「誰か」が決めたことを、本当は何の役にも立たないと直感的に理解しながら規則のための規則をまもるために効率を落とし、みなで足を引っ張り合っている。
データ・プライバシーに限らずいたるところでそんなことが起きています。
実際私たちのところへくるコンサルティングの相談も「必要最低限で」という修飾語がついて依頼が来ることが普通です。
コンプライアンスというのは「無駄」なことをするためのものではありません。
必要なことを達成するために、運用可能なルール作りを行うことです。達成したい目的をもっとも合理的に達成し、無駄を省くことこそがコンプライアンス活動の目的です。
日本におけるコンプライアンスへの姿勢を変えていかなければならないときになっています。
その最初の一歩は「なぜ」やるのかを考えることです。
思考停止せず、「なぜ」そうするのかを常に問い続けなければなりません。
快適なことではないでしょう。しかし、複雑な時代に生きるものの義務として、私たちはその責任を果たさなければなりません。
情報セキュリティ:組織的手法について、外注業者の活用について、執行命令の事例
準拠法:Act 78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties (includes amendments for GDPR) – France
CNILがAlliance Francaise Paris Ile-de France(アリアンス・フランセーズ財団 パリ・イル=ド=フランス校)に30,000ユーロ(約400万円)の制裁金を課しました。
ウェブサイト上の学生に対して権限のない者がアクセスできる状態となっており、適切なセキュリティ対策を採っていなかったためです。
(表示されていたURLのIDを変更することで学生の個人データをダウンロード可能となっていた)
ウェブ制作会社が勤勉に対処したことを評価したものの、アクセス可能となったドキュメント数が413,144件に昇ったことから今回の制裁金金額を決定しました。
LinkedinというサービスでFacebookのCPOと繋がりました。
まぁつながるということは特に大したことでもないのかもしれませんが、IAPPのつながりがあった故にネットワークが構築できたという点は、やはりIAPPという組織の力を感じずにはいられません。
これからPrivacyの分野を深めたい方はぜひIAPPに加入されることをお勧めします。
日本ではPrivacyというのはまだまだ「めんどうなもの」という程度の認識でしかありません。しかし、アメリカや欧州、シンガポールやフィリピンでは非常に真剣に議論されている印象があります。少なくとも、私が参加したIAPPの国際会議ではそうでした。
「コンプライアンス」とは何か、日本の企業はもっと真剣に考えたほうがよいでしょう。
私が経営について教えていただいている小宮一慶さんはいつも次のようにいっています。
「法律とは守って当然のもので、法律を守らないというのはありえない話だ。たとえば車を運転していて反対車線を逆走していないからといって誰も褒めはしない。それは、守って当然のもので、守らなければいろいろな問題が生じるからだ。ピーター・ドラッカーが言うように、会社とは社会に存在を許されているものでしかない。法律を守らないような会社は、当然退場すべきだ。」
ルールを「面倒」と思っていると「形だけ従っていたらよい」となります。当社にも、「何をしたら安全ですか?」という問い合わせが数多く寄せられますが、そのような質問をする会社はそもそもなぜ会社が存在しているのかについてのスタンスがずれているのかもしれません。
Privacyはお客様の大切なデータを大切に扱うという約束です。
透明性と説明責任を果たすことは当然必要ですし、傷をつけないように注意するのも当然のことでしょう。そういった当たり前のレベルは、そのまま会社としての「品性」のレベルになるのではないでしょうか。
人の「権利」や「自由」を守るというのは「青臭い」ことではなく、私たちの社会がよいものであるための最低限のマナーだということを忘れないでほしいと思います。
このブログを書いているテクニカ・ゼンの代表の寺川が、このたびCIPMの資格を取得しました。
CIPMとは、世界最大のPrivacy Professionalの協会であるIAPPが主催する能力認証制度です。
以前から保有していたCIPP/Eという資格は欧州の個人データ法について信頼できる知識を保有していることを証明する資格です。
今回新規に取得したCIPMという資格はPrivacy Management Programを実装し、運用するのに必要な知識を保有していることを証明する資格です。
GDPRでいうDPOは、CIPP/EとCIPMを保有していることが望ましいとされています。
当社としても、ようやくDPOとして活動を開始する準備が整ったといえますので、DPOの受託サービスを開始します。
ご関心のある方はこちらにご連絡ください。
こういった認証は取ればよいというものでもありませんが、認証を持っていることで、我流ではなく確かな実績と経験に基づいた知識体系に基づいてトレーニングを受けていることを証明できます。
また、認証の維持には継続的なトレーニングが要求されるため、認証保有者は継続的に新たな知識を身に着けていることも保証されます。
GDPRに関するサービスや弁護士によるサービスが増えてきた中、こういった認証を取得しているかも一つの目安となります。
匿名での報告ではない場合、以下の個人データのみを取得可能。
内部通報者のデータは内部調査後2か月以内に削除しなければなりません。
懲罰目的または犯罪行為に関しては2か月以上保管可能です。
いつもWorld-Privacy-Watchをご購読いただき、ありがとうございます。このブログでは4月からほぼ毎日GDPRを中心に更新を進めてきました。
おかげさまでたくさんの方にご購読いただけ、また、活用しているという声も聞くことができうれしく思っています。
GDPRの施行から3ヶ月がたち、GDPR対応については落ち着いてきた印象があります。
このブログでも、ガイドラインについてはまだ「DPIA」や「同意」という大切な分野を訳し残していますが、
ある程度情報も増えてきたのでこれらについては他のリソースに任せてもよいのかなと考えています。
このブログの出発点はそもそもdigital ageにおけるデータ・プライバシー保護の動向モニターにありましたので、そろそろGDPRを離れ、本来意図していた動向モニターにもどろうかと考えています。それに伴い、更新頻度も毎日ではなく、不定期更新とさせていただく予定です。
データプライバシーについてご質問等ございましたらこちらからご連絡いただければ幸いです。
長い透明性についてのガイドラインを読み終わり、ようやく一息をついています。
コンテンツとしては重要ですが、目的がある方じゃないとなかなか読みにくい内容だったのではないかと思います。
9月以降は毎日更新するという方針を終了し、随時更新という形態とします。
基本的にはこのブログの趣旨にもどって、世界の動向ウォッチをメインにしようと考えています。
それと同時に、もう一つの柱にしようと考えているのは、データ・プライバシー・マネジメントという考え方です。
データ・プライバシーは継続的に社内で管理し、安全性を継続的に担保しなければなりません。その方法についての情報提供をしようと思います。
この分野はまだ日本ではそれほど強調されていませんが、世界のビジネス環境ではスタンダードとなっている考え方です。
当社ではお客様に早い段階からこの体制を導入するよう推奨しています。
依然として専門性の高い話題が続きますが、個人データを扱う事業者がここで説明するコンセプトをもとに安心・安全な社会作りを促進してくれることを願っています。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【データ主体の権利行使】
行使可能な権利の種類、権利行使の方法、権利行使が制限される場合はどのような場合かの情報
処理に反対する権利については明確に、他と区別して最初にデータ主体とコンタクトを取る前に提示すること。
データ・ポータビリティについてはガイドラインを参照のこと。
【同意(又は明確な同意)に基づく処理の場合、同意をいつでも撤回できる権利】
データ主体が同意を撤回する方法。これは同意を与えるのと同じくらい容易である必要がある。
【監督機関に苦情を申し立てる権利】
データ主体は、自身の居住している場所、勤務地の監督機関に、GDPR違反について苦情申し立てができることを明記すること。
【法的要件、契約上の要件、契約の履行に必要、情報提供義務があるか、情報提供を行わなかった場合の結果】
雇用契約の場合は契約上ある一定の情報を現在の従業員または雇用予定の従業員から取得する必要がある。
オンラインフォームの場合は、どの情報が「必須」でどの情報が「任意」か明治
「必須」情報に入力しなかった場合の結果についても記載のこと。
【個人データの入手源、公開データベースから入手したか】
データ取得源は明示すること。
明示できない場合、情報取得源の性質(公的な情報源か、私的に取得された情報源か)
情報取得源の組織、産業、セクターの種類
【プロファイリングを含む自動化した意思決定の有無、該当する場合は有意な使用ロジック情報、そのような処理による重大なまたは意図する結果】
プロファイリングを含む自動化した意思決定についてのガイドライン参照のこと。