「GDPR」カテゴリーアーカイブ

2022/11/22★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<中国で個人情報処理についての認証活動が開始へ

プライバシーの仕事をしていてよいところは、常に新しいことが起き続けることです。ニューストピックも、始めた時はそんなに書くことがあるかと心配しましたが杞憂でした。毎回いくつかのトピックの中から書くべきことを選択するという状態です。

2022年11月18日に、国家市場管理局と国家インターネット情報局が、「個人情報保護認証実施についてのルール」を公布し、中国国内での個人情報認証に号砲をならしました。今回公布されたルールによると、越境移転を行わない場合にはGB/T 35273 「情報セキュリティ技術 個人情報セキュリティについての仕様」への遵守を、越境移転を行う場合には、GB/T 35273に加えてTC 260-PG-20222A「個人情報の越境処理活動セキュリティ認証についての仕様」に準拠することを求めています。

認証は3年間有効であり、認定を受けた第三者認証機関が「技術認証」、「現地監査」、「認証取得後の監督」の3つを行うことで運用されます。「技術認証」とはいわゆる(書類等による)「審査」です。「現地監査」とは審査機関がオンサイトでの「監査」を指します。「認証取得後の監督」はサーベイランスと呼ばれるもので、継続的に認証に関する水準を組織が維持していることを確認する作業を言います。

今回公布された認証制度は、ごく簡単にいうならば、中国版プライバシーマークと理解して問題ありません。もちろん、取得も任意です。

認証への注目が集まっていた理由の一つは、PIPL第38条第1項が越境移転を許容するための手段の一つとして「認証による適法化」を掲載していることにありました。中国国外の企業がこの「認証」を取得している場合、中国国内企業が中国国外企業への個人情報の移転を自由に行うことは可能となるでしょう。ただ、中国国外の組織が中国の認証を取得することは非常に困難です。(おそらく文書も中国語であることが求められることでしょう。) 実務面から言えば、「認証」をもとに中国個人情報の越境移転を行うことは無理がありそうです。

少し脱線しますが、よく聞かれる越境移転について簡単に触れておきます。中国の個人情報越境移転の規制はすべてのデータ移転を規制しようとしているわけではなく、「規制が必要な」越境移転についてのみ考えることを覚えておいてください。2022年7月7日に国家インターネット情報局が公表したQ&Aによると、「データ輸出に関する評価についてのガイダンス」が対象としているのは次の2つのケースです。

1)データ処理を行う者(いわゆる「管理者」)が中国国内業務で取得、生成したデータを国外に送信・保存するデータ
2)データ処理を行う者(いわゆる「管理者」)が取得、生成したデータが中国国内に保存され、中国国外の組織等がアクセス、あるいは呼び出すことができるデータ

越境移転が規制される理由は、データが外国の団体や人にアクセスされ、コントロール不能となるリスクが生じる可能性があるためです。データが国外に出なければリスクがないわけでもありませんし、国外に出るからと言ってかならずリスクがあるわけでもありません。事実、TCP通信のハンドシェイク等は越境移転規制の対象外です。越境移転規制について考える際は、データが国外に出ることによって生じる特定のリスクに焦点を当てるようにしてください。

認証の話に戻ると、現在中国では、「アプリの個人情報保護認証」、「データセキュリティマネジメント認証」、「個人情報保護認証」の3種類の認証制度があります。「アプリの個人情報保護認証」は本来「個人情報保護認証」に含まれているべきなのですが、アプリの規制が喫緊の課題となっていたため先に作られています。「データセキュリティマネジメント認証」はISO27000シリーズ等をベースとしたマネジメントシステムについての認証です。

認証は客観的に個人情報保護やデータセキュリティ対策を保証してくれる仕組みでもあるので、必要に応じて賢く取得しておくとよいでしょう。

▼関連サイト
https://mp.weixin.qq.com/s/aEbmbWUf4mEqyIiUPe0lIg

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/11/17★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<NTTデータの子会社への制裁

前回のAIポリシーの話題で紹介しようと思って忘れていたことがあります。それは、CAIDPのトレーナーから伝えられた次の言葉です。

”Lawyers first think if it’s binding or not, but policy makers first think if it support the democratic value or not”
(法律家は「拘束力があるか」をまず考えるが、ポリシーメーカーは民主主義の価値を支持するかをまず考える)

立場によって「かぶる帽子」(マインドセット)を切り替えるということのとても分かりやすい例で、勉強になりました。私たちは、「立場」によって話し方が変わります。そして、「立場」によってふさわしい考え方があります。これをうまく使い分けたいものです。

今日の本題ですが、2022年11月10日にNTTデータのスペイン子会社がスペイン監督機関であるAEPDから64000ユーロの制裁を受けたと日経新聞が報じていました。この判決は10月9日に出たものでArt. 5 (1) f) GDPR(機密性、完全性), Art. 32 GDPR(処理のセキュリティ)への違反に対するものです。具体的には、2021年9月の調査で発覚したEVERIS社(2021年10月までの社名、現在はNTTデータスペイン)の個人データ保護に対する技術的措置への不備に対する制裁措置でした。EVERIS社は2019年にランサムウェアの被害にあっており、これに対する制裁かと思われます。データ侵害により「保険会社のユーザーの販売データに関する情報と、保険会社のスペインの顧客の個人データの記録を公開」することとなったが、それを予防するセキュリティ対策が不十分だったということです。

日本の個人データ保護対応では、日本企業が制裁を受けたら他の企業も真剣度がさらに上がるといわれてきました。実際、このニュースを機にSNSで「日本でいっしょにビジネスをしましょう」と呼びかける日本のプライバシー関連企業もあり、他人の不幸をメシの種にするコンプライアンス系のコンサルティング会社の定石を再確認した気がしました。

今回の件に関しては、ランサムウェアで流出したデータへの保護不足というのが性質のようなので、保管データの暗号化等、流出を前提としたセキュリティ対策への移行を促すものと考えていただければよいのでしょう。エンドポイントセキュリティも重要ですが、サードパーティサービスを利用する限りはセキュリティホールはふさぐことができないため、なかなか悩ましいところです。

GDPRの日本企業への制裁として今回のケースは初めてのケースでしたが、シンガポールではPDPA違反ですでに数多くの日本企業が罰金を科されています。新聞やメディアはニュースになるものを報じます。ただ、実際のオペレーションはニュース性が重要なわけではないので、実際に影響をうける法域について、満遍なく目配りをしておきたいところです。

https://www.pdpc.gov.sg/All-Commissions-Decisions

もう一点付け加えておきたいことは、データ侵害や制裁を経験することは好ましいことではないものの、その結果として得られる組織の進化にも価値を見出しておくとよいということです。データ侵害や制裁のコストは、次のステージに上がるための授業料という側面もあります。NTTデータは現在、私が知る限り、とても先進的なセキュリティ対策を導入されている企業です。スペインの事例だけではないのでしょうが、学習され前に進んだ結果なのでしょう。

▼関連資料
https://www.aepd.es/es/documento/ps-00401-2022.pdf

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/11/10★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

<AIポリシーの動向

ノーベル賞作家のカズオイシグロさんの最新作「クララとお日さま」はAIをテーマとした小説です。私もまだ読み始めたところですが、AF(Artificial Friend)とよばれる人工知能を搭載したロボットと人間の友情を描いた物語だといいます。カズオイシグロさんは、この小説を書くにあたって、Google等の先進企業のAI開発者にインタビューを繰り返したそうです。作家の方は、作品に命を込めるために取材を徹底しますね。

 

著名な作家もAIをテーマにすることからも推測できるように、このところAIに関するニュースが増えています。

 

▼先週金曜日(11月4日)には欧州のAI法のテキストが欧州評議会で可決され、次の審議に進む予定だというニュースが流れてきました。

https://www.euractiv.com/section/digital/news/ai-act-czech-eu-presidency-makes-final-tweaks-ahead-of-ambassadors-approval/

 

▼翌土曜日(11月5日)には、前回のメルマガでも少し触れた顔認識技術についての勧告(Resolution on Principles and Expectations for the Appropriate Use of Personal Information in Facial Recognition Technology)のテキストが正式に公表されました。

https://globalprivacyassembly.org/wp-content/uploads/2022/11/15.1.c.Resolution-on-Principles-and-Expectations-for-the-Appropriate-Use-of-Personal-Information-in-Facial-Recognition-Technolog.pdf

 

▼10月31日にはシンガポール政府が当面AIを犯罪事件の裁判で量刑を決めることに使う予定がないというニュースが流れています。

https://www.straitstimes.com/singapore/courts-crime/s-pore-not-likely-to-use-ai-in-sentencing-in-foreseeable-future-chief-justice

 

▼10月28日には欧州委員会がAI版PL法となるAI責任指令を提案しています。

https://ec.europa.eu/commission/presscorner/detail/en/ip_22_5807

 

AIは今最もホットな話題の一つです。

 

実は、日本はAI倫理の分野では世界で最も早く取り組みを始めた国の一つです。世界標準となっているOECDのAI原則やG20のAI原則は日本のAI研究開発ガイドラインの影響を受けています。まだ原則の整備に取り組む国が多い中、日本はすでにAI戦略を2019年から毎年定め、AIポリシーの実装(implementation)段階に遷移しています。

この事実は世界的にAIの導入が遅れているという日本の現状とギャップを感じさせます。政府の意図と実態との乖離が生じている理由はどこにあるのでしょうか。

 

個人情報保護委員会は現在、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」というものを定期的に開催し、カメラ画像の利活用についてのガイドラインを作ろうとしています。有識者たちがガイドラインについて非常に精度の高い議論をしているのですが、有識者検討会の議事録のある部分に先ほどの触れた「乖離」の理由を見た気がしました。

 

<引用>

「こういった掲示や通知公表の事項を実際に具体例として示すと、掲示の案などを忠実にコピーすることが適切な表示を実施していると考える事業者が多い。典型例はJISQ15001の個人情報保護指針。例えばいわゆる個人情報・プライバシー保護を専門と標榜する方が、例えば顔認識と書いたら、それは識別ではないかと、本当に細かく高度な用語の使い分けについても指摘をすることが頻繁にある。そうすると事業者側としては、具体

的に工夫をして何か文言を検討しようにも、工夫した途端、非難の対象になるという、非常に苦慮せざるを得ない対応が多々あった。今回の対応としては、忠実にコピーしていただくようなすばらしい掲示案を、今回の案として提示いただくというのが1つかと思う」

 

赤裸々な意見で思わず笑ってしまったのですが、日本のコンプライアンスの現状認識としてはわりと一般的なものかもしれません。形式的にコピーしたらよいものを政府が「与え」、遵守する側がコピーするという関係からは、創造的な関係はなかなか期待できそうにはありません。

 

ちなみに「いわゆる個人情報・プライバシー保護を専門と標榜する方」と言われている人がどういう方かはわかりませんが(私でないことを祈っています(苦笑))、こういわれないためにも「IAPPのトレーニングでグローバル標準のプライバシー保護を学びましょう」と便乗して宣伝すると、プライバシーの専門家の風上にもおけないとお叱りを受けるでしょうか。

 

当社が提供しているIAPPのトレーニングは11月から諸外国の価格に合わせて価格改定しましたが、その一方でCIPTトレーニングやFoundation Training(2023年1月よりご案内予定)、認証試験対策コース「Exam preparation」(今月内にご案内予定)も増えています。ぜひ受講をご検討ください。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/11/2★寺川貴也が注目する最新news topic★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

中国のデータ越境移転に関する動向(続編)

11月になり、今年も残すところわずか2か月となりました。当社は11月が期の始まりなので、新たな年度に向けて気持ちを新たにしているところです。今期も新たなサービスと有用なサポートを届けられるようスタッフ一同努めてまいります。

 

前回中国の越境データ移転に関するセキュリティ評価への問い合わせが増えているという話を紹介しました。その後、すでにいくつかの会社が当局に申請したことや大手企業の中には当局から却下された企業もあることがわかりました。越境データ移転に関するセキュリティ評価では、PIAに加え、移転先のセキュリティ体制の状況等、移転に関する特有の評価も必要であり、この評価の仕方についてまだ十分方法が定まっていないというのが現状のようです。

 

中国語ですが、以下のページ(TMT法律论坛)が比較的よくまとめてくれているため、セキュリティ評価の考え方について整理したいときには参照してください。

https://mp.weixin.qq.com/s?__biz=MzU4MDY4NzE1Nw==&mid=2247490519&idx=1&sn=250c64f9249ba00fc0f552129385a27c&scene=21

 

越境移転に関連して話をすると、トルコのイスタンブールでは10月末、GPA (Global Privacy Assembly)が開催されていました。GPAは世界各国の当局が年に一度集まって、データプライバシーに関するポリシーについて協議する場であり、データプライバシーの重点的な取り組み領域を知るために重要な会議の一つです。今年はGPAがカリフォルニア州の当局であるCalifornia Privacy Protection Agency (CPPA) を投票権のあるメンバーとして加えたというニュースも流れていました。

 

このGPAで最近常に取り上げられる課題はデータの越境移転です。欧州と米国の間のデータ流通については米国の大統領令を受けてPrivacy Shield 2.0の発効が待たれているほか、DFFT(Data Free Flow with Trust)という各国間のデータの自由な流通についての議論も行われました。詳しい情報はありませんが、この議論の中心にいる専門家からはため息ばかりが聞こえてきます。2023年に開催されるG7ではDFFTについて日本政府が何らかの宣言を公表したいと考えているようです。データの越境移転はデジタル社会の要となるため、少しでも進展がみられることを願っています。

 

最後に、次回のこのコラムに関連する内容ですが、GPAでは顔認識技術についての適正な利用に向けた勧告(resolution)が採択されました。顔認識技術は犯罪捜査で有効性を示してきましたが、同時にバイアスの問題や監視社会化への懸念が指摘されてきた技術です。今回の勧告では6つの原則(法的根拠があること、合理的かつ必要であり行き過ぎていないこと、人権を保護すること、透明性を担保すること、データ保護の原則を考慮すること)を要求しています。

顔認識技術については、私がAIについてのポリシーを学んでいるCAIDPが積極的に禁止を働きかけていました。そのため、GPAの勧告は私個人にとっては感慨あるニュースでした。余談ですが、ポリシーについて学ぶ中で、私たちの先生がこう言っていました:「法律は「拘束力があるかどうか」を問題とするが、ポリシーは「民主的な社会にとって正しいかどうか」を問題にする」

データプライバシーの先には「将来世代にどのような社会を残したいか」という問いがありますが、まさしくポリシーとしての視点が重要なのだと思います。

 

 次回はAIについてのガイダンスが増えてきていますので、この話題を取り上げようと思います。

▼中国のセキュリティ評価申請状況、GPAでの議論

https://www.caidp.org/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2022/10/27★寺川貴也が注目する最新news topic★

<中国のデータ越境移転に関する状況>

 10月14日から10月22日にかけてシンガポールに仕事で行っていました。シンガポールは今雨季だそうで、前回7月に行ったときと比べると幾分涼しくなっていました。

 

今回の出張の目的はシンガポールのデータプライバシー認証であるDPTM (Data Protection Trust Mark)の認証と現地パートナーとの打ち合わせでした。認証の仕事は現地認証機関との情報交換の場ともあるため貴重です。また、現地パートナーとの打ち合わせではグローバル事業責任者との打ち合わせもでき、実り多い時間となりました。余談になりますが、私が打ち合わせをした責任者の方はまだ30代の若い方です。すでに多くの経験を積んでおり、家もアメリカに3件持っているそうで、いつでもリタイアできるけれども、もうひと仕事をしてからにしたいと言っていました。

 

日本から足を踏み出すとこういう方と出会う機会がたくさんあります。彼らと仕事をするのは大変なこともありますが、そういったトップレベルの人たちと仕事ができる会社であり続けるために、日々こちらも研鑽を積んでおく必要があると改めて感じた時間でした。

 

今日の話題は中国の越境データ移転についてです。すでに9月1日に「数据出境安全评估申报指南」が出たことは当社の会員サイトやメールマガジンでもお知らせしてきましたが、2か月ほどしてこの件に関する相談や質問が増えてきた印象があります。もっとも、米国の企業からは出た直後から活発に質問があったので、個人的には少し時間がかかったな、という印象も持っています。

 

少しおさらいですが、中国法についてはデータの越境移転を適法化する方法として大きく3つの方法があります。一つ目は当局が規定する「セキュリティ評価」に合格すること、二つ目は「越境移転についての認証」を取得すること、三つめは「標準契約」を締結することです。いずれについても個人からの「単独同意」の取得する必要があります。今年の9月1日に出たのはこのうちの「セキュリティ評価」に該当し、管理者は2023年3月1日までに対応することが要求されています。

 

対象者は以下です。

  1. 重要データを国外(境外)に提供するデータ処理を行う場合
  2. 重要情報インフラ事業者及び100万人以上の個人情報についてデータ処理を行う者が国外(境外)に個人情報を提供する場合
  3. データ処理を行う者が、前年の1月1日から累計で10万人分の個人情報または1万人分のセンシティブな個人情報を国外(境外)に提供する場合
  4. その他、国家インターネット情報局が規定する、データ越境セキュリティ評価の申告を必要とする場合

 

比較的現実的な適用範囲が設定されているため、B2Bでビジネスをされている場合は該当しないケースが多いと考えられます。対消費者でサービスを提供しているeコマースについては適用の可能性があるため対応を進めてください。

 

ちなみに、データの越境移転とは次の行為を指しています。GDPRでは越境移転とみなされていない2つ目のケースについてもセキュリティ評価の対象となるため、この点も注意が必要です。

  1. データ処理を行う者が国内(境内)業務を通じて収集、及び生成したデータを国外(境外)に転送、保管する場合
  2. データ処理を行う者が収集、及び生成したデータを国内(境内)に保存し、国外(境外)の機関、組織または個人が照会、検索、ダウンロードもしくはエクスポートできる場合
  3. その他、国家インターネット情報局がデータ越境移転と定める行為

 

セキュリティ評価自体は特に難しいものではないといってよいでしょう。ただ、この評価はセルフアセスメントにとどまらず現地当局の承認を得る必要があるため、慣れていない企業の場合現地コンサルタントとの連携が必要となります。また、中国はMLPS(等級保護)を通じて日本の一般的な(暗黙の)水準よりも高い水準でのセキュリティ対策を要求しているため、本当に対応を行うつもりであればセキュリティソリューションを備えたコンサルティング会社やパートナーと連携する必要もあるでしょう。

 

データプライバシー対策は、今では法律の原文を解釈するだけでは十分といえない時代になっています。プライバシーとセキュリティをセットで対応するようにしていただければと存じます。

 

▼「数据出境安全评估申报指南」への対応

http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm

★最新NWes Topic★『バイデン大統領、欧州連合と米国のデータプライバシーフレームワークを実施するための大統領令に署名』について

2022年10月7日 大統領令全文訳

本日、バイデン大統領は、2022年3月にバイデン大統領とフォン・デル・ライエン欧州委員会委員長が発表した欧州連合・米国データプライバシー枠組み(EU-U.S. DPF)に基づく米国の約束を実行するために米国が取るべき措置を指示する「米国のシグナル情報活動のためのセーフガードを強化する大統領令(E.O.)」に署名を行った。

大西洋を横断するデータフローは、7兆1千億ドルのEUと米国の経済関係を可能にするために不可欠である。 EU-U.S. DPFは、欧州連合司法裁判所が、EU法の下で有効なデータ移転メカニズムであるEU-U.S. Privacy Shieldの先行フレームワークを打ち消した際に提起した懸念に対処し、大西洋横断のデータフローにとって重要な法的根拠を回復するものだ」と述べている。

米国のシグナルインテリジェンス活動に対するプライバシーと市民的自由の保護措置をすでに厳格に適用しているが、この大統領令は、これを強化するものである。また、E.O.に基づいて指定された、適格国家および地域経済統合機関に属する個人が、米国のシグナルインテリジェンスを通じて、米国の適用法に違反する形で個人データが収集されたと考える場合に、救済を求めることができる独立した拘束力のあるメカニズムも創設されている。

米国およびEUの企業は、経済のあらゆる部門において、デジタル経済への参加と経済機会の拡大のために、国境を越えたデータの流れに依存している。EU-U.S. DPFは、大西洋を越えるデータの流れに信頼と安定を取り戻すための米国と欧州委員会の共同努力の集大成であり、共通の価値観に基づく永続的なEU-米国関係の強さを反映するものである。

特に、この大統領令は

  • 米国のシグナルインテリジェンス活動に対する安全保護措置をさらに強化する。このような活動は、定義された国家安全保障上の目的を追求する場合にのみ実施し、国籍や居住国にかかわらず、すべての人のプライバシーと市民的自由を考慮し、有効な情報優先事項を進めるために必要な場合にのみ、その優先事項に見合った程度と方法で実施することを義務付けるなどである。

 

  • シグナルインテリジェンス活動を通じて取得された個人情報の取り扱いに関する要件を定め、法律、監督、コンプライアンス担当者の責任を拡大し、コンプライアンス違反の事例を是正するために適切な措置が取られることを確保する。

 

  • 米国のインテリジェンスコミュニティの一部に対し、O.に含まれる新しいプライバシーおよび市民的自由の保護措置を反映させるために、そのポリシーおよび手続きを更新することを要求している。

 

  • O.に従って指定された、適格国家および地域経済統合機構の個人が、米国のシグナルインテリジェンスを通じて取得された個人情報が、E.O.の強化された保護措置を含む米国の適用法に違反して米国によって収集または取り扱われたという主張について、独立した拘束力のある審査と救済を受けるための多層のメカニズムを構築する。

 

  • 第一階層では、国家情報長官室(CLPO)の自由権保護官が、受け取った適格な苦情について最初の調査を行い、O.の強化された保護措置または他の適用可能な米国法に違反したかどうかを判断し、違反した場合は適切な是正措置を決定する。E.O. は、CLPO の決定が、第二段階の審査を経て、インテリジェンスコミュニティに対して拘束力を持つこと、および CLPO の調査および決定の独立性を確保するための保護を提供することによって、既存の法定 CLPO 機能を構築している。

 

  • 第二段階の審査として、O.は司法長官にデータ保護審査裁判所(”DPRC”)を設立し、個人またはインテリジェンスコミュニティの一部からの申請により、CLPOの決定に対して独立し拘束力のある審査を行うことを許可し指示する。DPRCの裁判官は米国政府外から任命され、データプライバシーと国家安全保障の分野で関連した経験を持ち、独立して事件を審査し、罷免に対する保護を受けることになる。適用される米国の法律に違反があったかどうか、違反があった場合はどのような是正措置を取るべきかに関するDPRCの判断は拘束力を持つ。DPRCの審査をさらに強化するため、E.O.はDPRCが案件ごとに特別弁護人を選出することを定めている。この弁護人は、申立人の関心事について弁護し、DPRCが案件に関する問題点や法律を十分に理解していることを確認する役割を担う。司法長官は本日、DPRCの設置に関する付随規則を発表した。

 

  • プライバシーおよび自由権監視委員会(Privacy and Civil Liberties Oversight Board)に対し、インテリジェンスコミュニティの方針および手続きを見直し、それらが大統領令に合致していることを確認するとともに、インテリジェンスコミュニティがCLPOおよびDPRCによる決定を完全に遵守しているかどうかを含め、救済処理の年次審査を行うよう要請する。

これらの措置は、欧州委員会に新たな十分性認定の判断を採用する根拠を与え、EU法の下で重要かつアクセス可能で安価なデータ移転の仕組みを回復させることになる。また、標準契約条項(Standard Contractual Clauses)と拘束力のある企業ルール(Binding Corporate Rules)を用いてEUの個人データを米国に移転する企業にとって、より大きな法的確実性を提供することになるであろう。

★当社CEO寺川貴也が注目する最新news topic★

今週の寺川が注目するニュースはこちら・・・

▼オーストリアのデータ保護当局(DSB)がCookieの利用についてベストプラクティスを公表
https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html

≪寺川貴也のコメント≫

日本では改正個人情報保護法施行に伴いCookieバナーを設置する企業や組織が増えています。当社もサービスとしてCookiebotやOneTrustのCookie Compliance Toolの提供を行っており、多くのお客様からお問い合わせをいただいています。欧州では各国の監督機関がCookieの利用について詳細なガイダンスを提供していることがしばしばあります。Cookieについてのガイダンスは幾度か改訂されてきており、最近のガイダンスは成熟度が高まっていますので一読するとよいと思います。

今回紹介するのはオーストリアのデータ保護当局によるものです。ここでは必須クッキーとはどのようなものか、クッキーウォールの利用、同意に代わる方法としてユーザーに支払いを求める方法、クッキーの同意ツールの使用についての注意事項、同意の撤回方法等が説明されてます。また、Cookieの利用に対してオプトイン形式で同意を得ていないウェブサイトや、プライバシーノーティスを提供せずにトラッキングクッキーを使ってパーソナライズ広告を行うウェブサイトはオーストラリア国内法及びGDPRに違反することも明言されています。さらに、広告用のcookieに同意しない場合にウェブサイトにアクセスできない設定とすることは違反とされています。

Cookieバナーは当社でも提供していますが、当社としてはあくまでもお客様の選択として設置することを推奨しています。たとえば日本国内のみでビジネスを行っている場合はCookieバナーの設置は法的には求められていません。中国個人情報保護法でも、Cookieバナーの設置は必ずしも必須要件とはなっていません。Cookieバナー自体も、データ越境移転の観点から違法の疑いがあると裁判になっていることやある判例では広く普及しているCookieバナーについて「見せかけのコンプライアンス活動」として厳しく非難が行われているケースもあります。

データ保護が本業ではない事業者にとってはデータ保護対応に過度のリソースを割くことは難しいですが、その一方で、ツールを使えば問題が解決するということがないことも覚えておく必要があります。プライバシーやセキュリティについては特に、社内に自然にコンプライアンスが達成される文化を育むことが長期的には最も有効な対策となります。ツールはあくまでもその「助け」となるものだということを理解した上でうまく活用していただければと存じます。

▼上記サイトは英語のため、こちらの翻訳サイトご活用ください
https://www.deepl.com/ja/translator

【News】『IAPP Asia Privacy Forum 2022』に当社CEOの寺川貴也が登壇します!

 
新着情報

このセミナーでは、データ技術の最新動向や、説明責任を果たすことでビジネスの成長を促進する方法についての見識を深めることができます。

英語での視聴になりますが、興味のある方は下記URLよりご登録ください。

※現在満席でキャンセル待ちとなります

 

▼開催日時(SGT:シンガポール時間)

2022年7月18日(月) 9:30-17:30

2022年7月19日(火)  9:00-16:00 ※19日に寺川登壇予定

 

▼詳しくはこちら

https://iapp.org/conference/iapp-asia-privacy-forum/

【News】≪ 中国支社を持つ日系企業様必見!≫ 『Jooto×alibaba cloud共同セミナー:日中間におけるSalesForce、Jooto活用及びサイバーセキュリティ法対策のご紹介』に当社CEO寺川貴也が登壇します!!

2022年6月23日

≪開催日時≫

2022年7月7日(木) 13:00-14:00

 

≪形式≫

オンライン(ZOOMウェビナーを使用)

 

≪セミナー概要≫

▼こんな方へおすすめ

●中国サイバーセキュリティ法、中国個人情報保護法をより詳しく知りたい方
●今後中国に進出予定の企業のご担当者様
●日中間でのSalesforceやJootoの利用を検討の方

 

▼本セミナー内容

昨今、多くの日系企業様が中国進出されているとともに、SalesforceやJooto等のSaaSサービスへの需要も増加しています。 その一方で、中国サイバーセキュリティ法(网络安全法)は中国で事業を行っている&進出を検討している企業様にとっては無視することができない重要な法律です。さらに昨年には中国個人情報保護法も新たに施行され、顧客データ等の取り扱いに対する対策が各企業様へ求められてきている状況です。実際、中国では2021年で17件の営業停止命令を含む580件の執行措置が執られており、喫緊に対応が必要な法律となっています。 本セミナーでは、SalesforceやJootoをご利用されている、及びご検討中の企業様に対して、法的な内容はもちろん、具体的にどのように対応を行うのかをPR TIMES社、Alibaba Cloud社にてご紹介致します。

 

▼中国サイバーセキュリティ法について

中国においてインターネットを含む通信、データ保護、セキュリティ対策などの情報セキュリティ分野に関する法令や実施規則が制定されている基準法です。「個人の権利保護・組織のセキュリティ保護」だけではなく「中国国家の安全や公共の利益を保護」を目的としている点が特徴です。中国国外おけるデータ処理や、中国国内でビジネスを行う外資企業に対しても法律の順守が求められます。

 

—————————————————————————

▼セミナーお申込みはこちらから

—————————————————————————

 

【News】BSIグループジャパン株式会社との協業のお知らせ

2022年5月19日

この度、BSIグループジャパン株式会社様にて、日本企業のプライバシーガバナンスのさらなる強化に向け、当社が提供しているIAPP公式CIPMトレーニングを、「グローバル認定のプライバシー・プログラム・マネジメント認証資格研修」として、提供を開始しましたことお知らせいたします。

グローバル認定のプライバシー・プログラム・マネジメント認証資格研修(=IAPP公式CIPMトレーニング)は、世界各国で提供されておりますが、日本においてIAPPの公式トレーニングパートナーとして日本語で提供しているのは、昨年より提供を開始した当社と今回提供を開始するBSIグループジャパン株式会社のみとなります。

近年、社会全体のデジタルトランスフォーメーション(DX)が進む中、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請も高まっており、今後は、プライバシーに関わる課題対応を、商品・サービスの品質向上や消費者からの信頼獲得のための経営戦略として能動的に取り組み、企業価値向上につなげていく事が肝要と言えます。

こうした状況をふまえ、当社とBSIグループが協力し、プライバシーの専門家を育成するための研修を提供することにより、日本企業におけるプライバシーガバナンスのさらなる強化をご支援してまいります。

—————————————————————————

▼グローバル認定のプライバシー・プログラム・マネジメント認証資格研修(=IAPP公式CIPMトレーニング)とは

企業において、プライバシー、情報セキュリティ、コンプライアンスコーポレート・ガバナンス等の業務に携わる方、あるいは、グローバルで求められているプライバシーの専門家を目指す方を対象に、グローバルレベルの専門知識や最新動向を、ビジネス面、リーガル面、テクノロジー面から学んでいただける内容となっています。また、本研修受講後に認証試験に合格すると、プライバシーの専門家としてグローバルに通用するCIPM(R)が資格として認定されます。

—————————————————————————

▼プレスリリース(発表元企業:JCN  配信日時: 2022-05-10 )

https://www.atpress.ne.jp/news/308473

—————————————————————————

 

■テクニカ・ゼン株式会社について

テクニカ・ゼン株式会社は、プライバシー、セキュリティ、ガバナンスを支援するコンサルティング会社です。

若い会社でありながらIAPPをはじめとする世界各国の専門組織や専門家からの信頼が厚く、グローバルトップ企業をはじめ、大手企業を中心に支援を提供しています。

本業となるコンサルティング事業と併せて、デジタル市民教育に関する活動であるCyberSafetyも実施しており、地域社会や大学への助言やアウェアネス向上活動も行っています。

URL: https://technica-zen.com/

 

■BSI(英国規格協会)とBSI Professional Services Japan株式会社について

BSI(British Standards Institution:英国規格協会)は、1901年の設立以来、世界初の国家規格協会として、また、ISOの設立メンバーとして活動する規格策定のプロフェッショナルです。

現在、193カ国で84,000組織以上のお客様の活動に貢献しています。BSIグループジャパンは、1999年に設立されたBSIの日本法人です。

マネジメントシステム、情報セキュリティサービス、医療機器の認証サービス、製品試験・製品認証サービス及びトレーニングコースの提供をメインとし、規格開発のサポートを含め規格に関する幅広いサービスを提供しています。

URL: https://www.bsigroup.com/ja-JP/