「Privacy Program Management」カテゴリーアーカイブ

日本が十分性認定を取得

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

日本の個人情報保護委員会が「日EU間の相互の円滑な個人データの移転~ボーダレスな越境移転が実現~」とのプレスリリースを発表しました。本日付で日EU間のデータ移転が自由に行えるようになります。(日本の個人情報保護法に厳密に従っており、かつ補完ルールを遵守していれば)

GDPRのデータ移転の問題が解消されただけであり、処理の部分は従来と同様適切な対応を行う必要があります。

前回の投稿でも指摘したとおり、これは政治的な動きでしかなく、データ保護そのものについての疑念は残っている模様です。安部首相がダボス会議でデータ流通についての制度整備を呼びかけると報道されていますので、それ以前に認定しようという「忖度」が働いたのだと思われます。

以下の投稿をご参照ください。

【報告】GDPR:日本の十分性認定についてのEDPBの懸念

前回の投稿でも指摘したとおり、政治的思惑で決定された十分性認定であれば無効化される可能性も高いと考え、契約による代替措置をとっておくことがよいように感じます。

日本の十分性認定は1月中?!

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

日本の個人情報保護委員会が「日欧の個人データ移転に係る相互認証の時期について 」という文書を発行しています。それによると、「欧州委員会が提案した日本の十分性認定案を歓迎する意見を採択したところ、事務的な手続きのため、欧州委員会による最終決定が1月中になると見込まれています。」とされています。

【報告】GDPR:日本の十分性認定についてのEDPBの懸念

でも報告したとおり、EDPBはかなり深い懸念を示しており、「歓迎」したという報告は俄かには信じがたいというのが当社の感覚です。日本の十分性認定については「相互認証」という政治的な用語が使用されており、そういった背景もあっての発表なのかもしれません。

いずれにせよ、政治的思惑で決定された十分性認定であれば無効化される可能性も高いと考え、契約による代替措置をとっておくことがよいように感じます。

展示会でGDPR適合の指示

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

欧州での展示会で適切なPrivacy Policy / Privacy Statement / Privacy Noticeを提示するよう主催者が促すケースが少しずつでてきました。当社が関わってきた展示会では、展示会の主催者自体の対応がまだまだ遅れていることも多いのですが、半年を経て少しずつ浸透していることを感じます。

中小企業で欧州でビジネスを展開されている場合は、まずはウェブサイト上のPrivacy PolicyやPrivacy Noticeを更新することからはじめることも多いと思います。

当社でもテンプレートの提供や作成代行を行っておりますので、ご相談ください。

プライバシーとは何だろうか?

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

年末から年始にかけて、データ・プライバシーのニュースが紙面やネットを飾る機会が増えてきました。AI革命、モビリティ革命、ビッグ・データ、データ流通、プラットフォーマー、GAFAといった言葉を目にしない日はありません。WTOがデータ流通の新ルールつくりに取り組む等データ流通に対しても関心が高まりつつあります。

アメリカでは2019年は2018年に引き続きプライバシーの専門家が忙しくなる年となるだろうという報告もあります。

NHKの「白熱教室」という番組でマイケル・サンデル教授が「プライバシーとは何か」を取り上げていました。ディスカッションをもとに議論を深め、安易な回答ではなく議論そのものに価値をおく彼のスタンスは急速な変化の時代にある私たちに議論のあり方を示してくれるように感じます。

今回は30代前後の若者がプライバシーについての議論を行いましたが、興味深かったのが、そもそも「プライバシーとは何か」という点について明確な定義ができなかった点です。検索履歴が本当にプライバシー侵害となるのか、位置情報が本当にプライバシー侵害となるのか、行動ターゲティング・マーケティングのどこがプライバシー侵害なのだろうか?

こういった根本的な問いに対して皆さんならどのように回答するでしょうか?

「他人に知られたくないようなことは、そもそもすべきではない」というGoogleの元CEOであるエリック・シュミットの発言は本当なのでしょうか?

2019年も非常に興味深い年になりそうです。

大学関係者向けのプライバシーの教科書

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

JETROさんで助言を提供している関係で、大学の方からデータ・プライバシー対応について相談を受けることがしばしばあります。基本的な対応は企業だろうと大学だろうと変わらないのですが、student dataに特化した処分事例の報告も出ています。こういった背景もあり良い本がないかと考えていたところ、まさに学生のデータ・プライバシーに特化した本が出ました。

大学関係者の方はぜひ一読ください。

Privacy Management: データ侵害のコスト

今日から新たにPrivacy Managementという概念について説明をしていきます。
Privacy Management とは、社内におけるData Privacyを管理する手法のことです。
Digital Ageに入った現代では、今後重要性が増す考え方です。

概念としてはISO 9001やISO 14001を思い浮かべていただければよいかと思います。
マネジメントシステムの必要性は評価がむつかしいものの一つです。
社内の合意が得られない場合、ビジネス・ケースを提示する必要があります。

ビジネス・ケースを組み立てるために、まずはデータ侵害のコストについてから話を始めていきましょう。

データ侵害時に発生するコストにはどのようなものがあるかご存知でしょうか?
GDPRでは巨額の制裁金ばかりが注目されていましたが、「見えないコスト」にも注意が必要です。

1.危機管理コスト(PRコスト)
一貫性があり、適切なタイミングで、ユーザに対して親切な情報提供を行ためには専門家の協力が必要となります。

2.調査コスト
データ侵害の確認、封じ込め策の実施、原因の解消といった作業を専門家が行う時間と費用が生じます。また、影響を受けたデータの数、範囲、種類について特定するのにかかる費用も生じます。

3.被害者への通知コスト
影響を受けた被害者への手紙、e-mail、ウェブサイト、その他影響を受けた被害者にコンタクトするために必要な手段を準備し準備したものを届けるために必要な費用が生じます。

4.コールセンターのコスト
データ侵害が発生するとコールセンターの設置をする必要があります。専用電話や専用e-mailアドレスの設置に関する費用も生じます。

5.外部弁護士のコスト
弁護士への相談費用やデータ侵害後の義務にかかる費用も生じます。訴訟への対応費用も生じます。

6.装置の更新、セキュリティ対策コスト
データ侵害が発生すると、装置やソフト、システムの更新を行うこととなる場合があります。

7.売り上げの減少コスト、株価の減少コスト
データ侵害は株価の低下、顧客離れ等を引き起こす可能性があります。

8.保険コスト
保険の費用はデータ侵害後上がります。

9.被害者救済対策コスト
被害者に対する救済措置に要する費用が生じます。(クレジットカードの監視、詐欺行為の解決、ID盗難保険の提供)

10.制裁金コスト
制裁金、対応遅れ、対応ミスに対する罰金コストが生じます

11.従業員トレーニングコスト
トレーニング内容を改良し、従業員を再トレーニングするためのコストが生じます

12.カード更新コスト
クレジット・カード番号が漏洩した場合はカード番号の変更費用が生じます。

13.被害者の損害補償コスト
データ侵害の被害者が被った損害を補償するための費用が生じます。

14. 機会費用
データ侵害は組織の生産性を低下させます。また、一部の従業員はデータ侵害によって生じた業務によって拘束されることとなります。