「GDPR」カテゴリーアーカイブ

GDPR, Q&A

Q.データ・マッピングとは具体的に何をするのですか?

コメントする

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。少しずつ登録していただける方が増えており大変うれしく思っています。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。無料会員でも読める記事も少しずつ増やしています。

質問への簡単な回答です:

続きを読む Q.データ・マッピングとは具体的に何をするのですか?

GDPR, Q&A

Q. パーソナル・データとはどんなものですか?

コメントする

A. パーソナル・データとは「識別された、または識別され得る自然人に関するあらゆる情報」と定義されています。
英語では以下の通りです。
Article 4 (1)
“any information relating to an identified or identifiable natural person (‘data subject’)”
自然人とは法人と区別するための「個人」のことです。data subjectは「データ主体」と訳され、そのパーソナル・データの出所となる「個人」のことです。
氏名、ID番号(マイ・ナンバー、免許番号等)、住所、位置情報、メールアドレス、IPアドレス、クッキー、遺伝的情報、民族的情報、等あらゆるものが該当します。

GDPR, Q&A

Q. GDPRが適用される要件は具体的にどのようなものですか?

コメントする

A: GDPRでは、「地理的」な適用範囲と「物質的」な適用範囲というふたつの観点から適用範囲を定めています。
地理的な適用範囲としては、以下のものがあります。
1.パーソナル・データの取扱いがEUに拠点を持つコントローラー(管理者)またはプロセッサー(取扱者)によって行われる場合
2.EU 在住のデータ主体に対する商品またはサービスの提供に関する取扱い、およびEU 域内で行われるデータ主体の行動の監視に関する取扱い(コントローラー(管理者)やプロセッサー(取扱者)の拠点がEU内にあるかどうかを問わない)
3.加盟国の国内法が適用される場所にある、EUに拠点を持たないコントローラー(管理者)によるパーソナル・データの取扱い

物質的な適用範囲としては、以下のものがあります。
1.パーソナル・データを処理する際、一部または全部完全に自動処理する場合はGDPRの適用範囲となる。(自動処理と「自動的な意思決定」は異なります)
 
自動処理されない場合であってもファイリング・システムの一部を形成するようなパーソナル・データは適用範囲となります
(GDPRの適用範囲は Article 2とArticle 3に定められています。)
短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報(元は日本から EEA域内に移転した情報)を取扱う場合は、GDPRの適用範囲となるため、注意が必要です。

GDPR, Q&A

Q: GDPRとは何ですか?

コメントする

A: GDPRとはGeneral Data Protection Regulationの略です。日本語では一般データ保護規則と訳されます。EEA(欧州経済領域)参加国内におけるpersonal data(パーソナル・データ)を保護するための法律です。個人情報保護法に分類されます。欧州の法規ですが、EEAからEEA外へのpersonal data(パーソナル・データ)移転を原則禁止し、違反者に対しては最大2千万ユーロ(約28億円)または違反者の全世界での売上高の4%に相当する金額いずれか高い方の罰則が科せられるという項目があるため、現在世界中の企業が急ピッチで準備を進めています。

GDPR

ICO (英国個人情報保護監督機関:Information Commissioner Office)のブログ

4件のコメント

GDPRについてもっともわかりやすく情報を発信してくれている機関の一つがイギリスのICOです。
ICOのウェブサイトではGDPRの肝心なポイントが非常にわかりやすく解説されています。対応を迫られている方は一読をお勧めします。

ICOのページで読むべき場所はどこでしょうか?
詳しくは、下の記事をご覧ください

イギリスの監督機関(ICO)の必読ページを教えてください

(この記事はテクニカ・ゼン株式会社の会員制データサイトプライバシー情報サイトに移行しました。会員の方にはGDPR関連情報やテンプレートをご提供しておりますのでぜひご登録ください。)

GDPR

JETROがGDPRの実務ハンドブックを公開

コメントする

JETROが8月18日にGDPR対応のためのハンドブック(実践編)を発行した。
内容はQ&Aとなっているため、より実務的な疑問に対して回答がされているといってよいだろう。

「十分性認定」への言及もあり、GDPR対応は「十分性認定」を取得後も解決しないと明言されていることに注意が必要だ。
DPOを設置する場合、日本企業はまずは国内にDPOを設置する必要がある旨も記載がある。(ドイツに支社があり10名以上の職員を抱えている場合は必須)

GDPR, NEWS, United States

GoogleがGDPR対応のためのweb siteを公開

コメントする

8月9日
GoogleがGDPR対応のためのweb siteを公開した。web siteの対象は、Googleの顧客とパートナーである。

Googleによると、Gmail、 AdWords、 AdSense、 DoubleClick、 AnalyticsといったGoogle社のサービスはすべてGDPRに適合する。
このサイトでは以下の内容が解説されている。

  • how businesses can control how their data is used (データの用途はどのようにコントロールできるか)
  • how Google protects business data(Googleがどのようにビジネス上のデータを保護しているか)
  • how it’s complying with applicable data protection laws(Googleが適用されるdata protection(データ保護)法に対してどのような対応を行っているか)
  • how businesses can get more out of their data(データをより有効活用する方法)

    • Googleによると、Googleは定期的なオーディット(監査)を実施し、ISO、SAE等の認証を維持し、産業標準の契約による保護を行い、顧客やパートナーが適法にビジネスを行えるためのツールと情報を提供するとのこと。

    いい会社はABCができている。「当たり前(A)のことを馬鹿になって(B)ちゃんとする(C)」

    GDPR, データ保護指令

    データ保護指令(Data Protection Directive: 95/46/EC)と欧州一般データ保護規則(General Data Protection Regulation)

    コメントする

    欧州の歴史を振り返ると一つのキーワードが浮かび上がってくる。
    “Harmonization”(調和)である。

    私が初めて海外法規や規格に関わるようになった時、”Harmonization”という言葉がしばらくピンとこなかった。
    ほぼ同質化した文化を前提とし、半ば同質化することを当然視している日本人にとって、”Harmonize”(調和する)という行為自体が非日常的なものかもしれない。

    しかし、欧州は事情が違う。力が相克し、大きな痛みを経てきた欧州では、その反省を踏まえて「欧州の統合」という試みを行ってきた。
    近年のギリシャ債権問題やBREXIT問題で「失敗」を揶揄されているが、平和と安定への切実な願いから、欧州は「共同体」として協調する術を模索し続けてきた。

    データ保護指令(Data Protection Directive: 95/46/EC)は、欧州で現在施行されているdata protection(データ保護)に係る指令だ。
    「指令」とは「法律」ではなく、「法律」を作るうえでの「青写真」である。

    産業界で使用されている「低電圧指令」や「機械指令」といったものも、同じ位置づけで、「法律」ではなくその「土台」を規定する。
    実際の法令は、各国が制定する。「調和」するためには、大きな概念を定め、「中身」は加盟国が決めて良いというバランス感覚がその背後にある。

    データ保護指令(Data Protection Directive: 95/46/EC)に置き換わる欧州一般データ保護規則(General Data Protection Regulation: 以下GDPR)は、他方「規則」=「義務」である。
    各国が「法律」を定めずとも、「義務」として欧州連合加盟国は遵守しなければならない。車関係の型式認証で知られている「Regulation(規則)」も同じ位置づけである。

    「Directive (指令)」と「Regulation (規則)」を使い分ける理由はただ一つだ。
    欧州連合加盟国で「単一のルール」を設定したいときには「Regulation (規則)」を作成し、ある程度ばらつきを許容する時には「Directive (指令)」で対応する、というイメージでほぼ間違いはないだろう。
    「協調」を模索する社会では、加盟国の自由を尊重するために「Directive (指令)」が好まれる。「Regulation (規則)」が用いられるのは、もしくは「国と国との間の相違」が共同体の経済運営上効率性を阻害する場合となる。

    data protection(データ保護)は、当初「Directive (指令)」で運用された。しかし、加盟国間の相違点が、特にデータの越境移動時に問題となることが多くなり、経済運営上効率性を阻害するようになった。
    GDPRが制定された背景はそこにある。

    ちなみに、GDPRは自由度も残している。GDPRの条項のうち約50の条項については加盟国ごとに明確化、除外規定を設定してもよいこととなっている。
    GDPRの解釈についての助言を行うのがWP 29 (The Aerticle 29 Working Party)である。WP29はデータ保護指令(Data Protection Directive: 95/46/EC)に対して設置された専門部会で、”Opinion”を公表しその正式な解釈を示してきた。
    “Opinion”には法的拘束力はないが、欧州の監督機関はWP29の助言に基づいて判断を行うため、実質的に拘束力を持っている。

    なお、GDPRが施行されるまでは、GDPRについての”Opinion”も公表する。GDPR施行後はWP29は廃止され、European Data Protection Board (EDPB)がその地位継承する。

    テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

    GDPR, データ保護法

    データ保護法:欧州の立法府、行政府、裁判所(3)

    コメントする

    前回は欧州評議会(Council of the EU)、欧州委員会(European Commission)を解説した
    今回は、欧州司法裁判所について説明する。

    欧州司法裁判所(Court of Justice of the EU)
    EUの裁判所に該当する欧州司法裁判所はルクセンブルク市に設置されている。欧州委員会が加盟国に対してとった行動またはEU法の下個人または組織がその権利を実現するための行動について、EU法関連の問題に対する決定や決定への強制力の実効性を持たせる機能を持つ。裁判所は欧州裁判所(European Court of Justice: ECJ)と高等裁判所(General Court)から構成されており、各国の裁判所がEU法を確認するために、各国の裁判所に対してEU法を開設する役割を持っている。

    以上で欧州の立法府、行政府、裁判所に関する紹介は終了した。

    次回からは、現在施行されているData Protection Directive(データ保護指令)とGDPR(欧州一般データ保護規則) の比較を行う。