◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜2022年データプライバシー総括＞

当社から皆さんにお送りする情報も2022年の最終号となりました。

2022年は2月に始まったウクライナに始まり、安倍元首相の暗殺が発生する等

社会的に決して明るい年とは言えませんでした。

一方で、３年続いたCOVID-19パンデミックは終息に向けて各国が舵を切り始め、人の移動も少しずつ戻ってきました。

私も今年は２度シンガポールへの出張をしています。

燃料費の高騰や円安の進行等不確実な要素が多い状況は変わりませんが、

2023年に向けてビジネスの正常化が促進することを期待したいところです。

 

2022年もデータプライバシーにとってはイベントの多い一年でした。

日本では改正個人情報保護法が４月に施行されました。

中国、タイ、インドネシア、韓国、ベトナム、インドと日本と関係の深い国々では

データ保護に関する新たなルールの施行、法律の発効、成立、改正、廃止と活発な動きがありました。

欧州ではデジタル経済を推進するためにデータ市場法やデジタルサービス法といったデータ関連規制の整備が推進されています。

アメリカでは州法が引き続き制定されたほか、包括法の議論が深まりつつあるとともに

EU-US間での新たな越境移転メカニズムとしてEU-USデータプライバシーフレームワークが導入され、十分性認定の付与を待つ状況となっています。

セキュリティ対応で多く用いられるISO 27001とISO 27002も2022年に改訂されています。

ISMS認証を受けている組織や企業は対応が求められます。

 

こういった一連の動きからもわかるように、今は社会のデジタル化に向けて移行が急速に進んでいる時代と言えます。

基礎的な原理原則やデータ保護法、プライバシー保護法の整備を終え、

応用分野となるAI、IoT、BoT、Web3の分野での議論が盛んにおこなわれるようになってきました。

同時に、オンラインにおけるDigital well beingについての議論も2022年は活発に行われた年でした。

OECDのonline safetyのグループが積極的に各国のリーダーにインプットを行った結果です。

日本でも2023年4月に子ども・家庭庁が設立されます。当社としても何らかの形でこの分野に貢献したいと思っています。

 

私個人の話をしますと、今年は実りの多い年でした。

翔泳社から中国法に関する書籍を出す、オンラインの情報サイトへの寄稿を行うといった執筆面でのあらたな展開を迎えることができた他、

IAPPのグローバルカンファレンスでの発表や海外のハイレベルなインフォーマティブミーティングに

講師として参加させていただくといった貴重な経験をすることもできました。

また、欧州の行動規範やAPEC CBPR/PRP認証、シンガポールの認証、プライバシーシールド等、

世界中の重要な認証の取得についても実際に関与する機会を得ることができた年でもありました。

ローカルな活動ではオンラインセーフティについての会を始めて開催する等、より地に足を付けた活動も始まっています。

2023年に向けては、こういった活動を私個人やテクニカ・ゼンという会社のレベルからスケーリングして、

より多くの方が大切な問題にかかわり恩恵を得られる状況を生み出していきたいと考えています。

 

2023年1月にはアメリカからインターンとして若い方が加入してくれ、当社ビジネスのグローバル化に向けて第一歩を歩みます。

また、当社スタッフからもようやくIAPPの認証取得者が生まれましたので、

経験を積んでもらいながらより多くのお客様のお手伝いができるように会社の体力を底上げしようと計画しています。

 

こういった計画を建てていてあらためて確認するのは、当社がこうして意義のある仕事を続けることができているのは、

すべて仕事として関与する機会を与えてくださったお客様や応援してくださる方々のおかげだということです。

感謝の気持ちと謙虚さを忘れることなく、2023年も仕事に励んでいきたいと思っています。

2023年も引き続き当社をご愛顧いただけますようよろしくお願いいたします。

 

末筆となりましたが、読者の皆様におかれても、年末年始が皆様にとって心休まる時となることを願っています。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜法執行および国家安全保障のデータアクセスにおけるプライバシー保護措置に関する画期的な協定をOECDが採択＞

年末にかけて大きなニュースが続いています。

12月14日OECDのデジタル経済閣僚会議で
「法執行および国家安全保障のデータアクセスにおけるプライバシー保護措置に関する画期的な協定」が採択されました。
これは、国家安全保障や法執行の目的で個人データにアクセスする際に、
プライバシーやその他の人権および自由を保護するための共通のアプローチが政府間で合意されたことを意味します。
移転先の政府によるデータへのアクセスは、越境移転の際の大きな障壁として認識されてきました。
今回の協定には法的拘束力はないものの、OECD加盟国38カ国と欧州連合による大きな政治的コミットメントが達成された意味は大きいといえます。

12月13日に欧州委員会が”EU-U.S. Data Privacy Framework”への十分性認定の決定に向けた提案を行いました。
無効化されたプライバシーシールドに代わるものとして採択に向けて欧州域内でのプロセスが開始しました。
このプロセスでは第一段階として、欧州委員会はその決定草案を欧州データ保護委員会(EDPB)に提出します。
その後、欧州委員会はEU加盟国の代理人で構成される委員会の承認を得ます。
欧州議会は十分性認定を精査する権利を持っています。
欧州委員会は欧州議会からのコメントにもこたえなければなりません。
このプロシージャーが完了してはじめて、欧州委員会は最終的な十分性認定の採択に進むことができるので、
十分性認定の決定にはまだ数か月時間がかかる見込みです。

https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631

DFFT(Data Free Flow with Trust)の実現に向けて、世界は着実に前進しています。
来年5月広島で開催されるG7ではGlobal CBPRの実施等日本からさらに一歩踏み込んだ政策が発表されることを期待したいところです。

国際的なデータ移転や欧州のデータ保護について理解を深めるには、IAPPのCIPP/Eトレーニングが役に立ちます。
CIPP/E認証保有者となって、ぜひプライバシーの専門家のグローバルコミュニティに加わってください。
当社トレーニング受講生からも資格合格者が生まれています。

▼当社のiapp公式トレーニング
https://technica-zen.com/iapp-official/

▼関連サイト
https://www.oecd.org/newsroom/landmark-agreement-adopted-on-safeguarding-privacy-in-law-enforcement-and-national-security-data-access.htm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜Meta社の事例が教えてくれること　～個人データ保護対応は中身を問われる時代に～＞

寒さがすっかり増してきました。気が付けば12月に入り、今年も残すところわずか一か月です。
2022年もいろいろな出来事があり、あっという間に過ぎていった気がします。例年通り大変なことも良かったこともありました。
こうして仕事を続けさせていただいているお客様、そしてメルマガの読者の皆様には心から感謝しています。

先日当社の会員サイトでMeta社に対するDPC(アイルランドの監督機関)の制裁事例を紹介しました。
過去の12件のデータ侵害に対する罰金として1700万ユーロという巨額の制裁金が科されたという事例です。
私たちが制裁事例に目を通すのは、制裁金の大きさで企業を驚かせるためではなく、事例を通じて当局の考え方や姿勢を知ることができるからです。

今回のMeta社の事例は個人データ保護対策の「実証」(demonstration)が着目された事例でした。
DPCは決定の中で、繰り返しMeta社の実装している仕組みやアプローチ、対策の水準の高さを認めつつも、
「技術的・組織的セキュリティ措置の実施状況について、効果的に実証するための十分な情報が提供されていない」と指摘しています。
結果的に12件のデータ侵害を起こしてしまう欠陥のある対応だったと暗に指摘しているわけです。
個人的には、Meta社のような先進的な取り組みを進めている会社の場合、未知の問題に遭遇することも多く、完全を期することはできないと考えています。
これを厳しく取り締まると、企業にとっては委縮効果となってしまわないか少し心配です。規制は時に技術の発展を過度に減速させます。
ブレーキを踏むのは重要ですが、踏み続けると組織にとっても社会にとってもリスクをもたらします。

ともあれ、Meta社のように社会的に大きな影響力のある企業が取り締まりの対象となるのは、
それをもって当局としての明確なメッセージを伝えるという意図もあるはずです。
GDPRが施行されたばかりの2018年は、まず「体制整備」を行っていればよいという空気がありましたが、
今回の決定はそこからさらに一歩進んだものと言ってよさそうです。
今後は「実証」できることがより要求されるようになるのではないかと感じています。

実は、当社が今関わっているいる案件でも同様に「実証」について取り組んでいる事例があります。
何をしていれば「実証」していることになるのか、というのはなかなか難しい課題です。
Meta社の決定を見る限りは、きめの細かいマネジメントを要求されていることがうかがえます。
これをきっかけにプライバシーマネジメントソフトの導入が進むかもしれません。
同時に、作業が膨大となる中、コンプライアンス対応の効率化も重要なテーマとなるような気がします。

これは来年の話になりますが、当社のかかわるプロジェクトで中国やWeb3の分野でのコンプライアンス対応についてのウェビナーが予定されています。
また、4月にはワシントンDCでグローバルコンプライアンスをテーマに話をする機会をいただいています。
こういった機会を通じ、今後のコンプライアンスの在り方を少しでも紹介していければと準備をしています。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜DPOサービスについて＞

私たちの会社はコンサルティングサービスを行っているので「これ」と決まったサービスがあるわけではありません。
会社が専門とするトピック、私たちの場合はデータプライバシー、データセキュリティ、データガバナンスといった分野に関連してお客様の課題をお伺いし、
その解決のための取り組みをご一緒させていただくという仕事をしています。
お客様のお話を伺っているとその時々の関心が伝わってきます。
興味深いのは、お客様の関心事は同じ時期に同じ方面に向かっているケースが多いように感じることです。
最近多く相談を受けるのは、DPO(データ保護責任者)についてです。

DPOは欧州GDPRの施行と共に大きな関心を集めました。今では欧州以外でも数多くの地域でDPO任命が要求されています。
GDPRではDPOは次のような能力の持ち主であるべきだとしています。

・GDPRに対する深い理解と国内および欧州のデータ保護法と慣行に関する専門知識
・組織が個人データをどのように処理するかについての深い理解
・情報技術とデータセキュリティの理解
・組織と組織が運営する事業部門に関する十分な知識
・組織内でデータ保護文化を促進する能力

DPOは法規制のみならず情報セキュリティや組織運営についての知識をもち、かつビジネスの内容を正しく理解して当該組織にとって最適なデータ保護体制を実現できることが求められます。
また、高い独立性を持ち、正当な業務の結果行った判断を理由に解雇することができないという、護られた存在でもあります。

企業や組織にとっての悩みは、このような人材をどのように確保するのか、そしてこのような特権的な従業員をどう扱うべきか、といった点に収斂します。
欧州や北米では法律の知識が重視され弁護士資格を持った人がDPOとなることが多いようです。
ただ、彼らは技術的な理解が足りないという批判の対象ともなっています。セキュリティ担当者がDPOの役割を兼務するというケースもしばしばあります。
この場合は技術的なソリューションに拠りすぎる傾向があり、データ保護の精神が抜けてしまっているという批判の対象になっていることがあります。
データ保護/プライバシーの専門家というのは、従来の専門家の枠組みだけでは網羅できない独立した新しい専門職といってよいでしょう。

国外では今DPOサービスというものが広まりつつあります。DPOをアウトソースするというサービスです。
当社でも、海外のお客様を中心に利用が広がりつつあります。
プライバシーの専門家を雇うことが難しいという現状に加え、「解雇できない」という制約を多少緩和できる点がDPOサービスのメリットです。

知識や経験をアウトソースすることで短期的に補充するという考えは合理的です。
かなうことなら、DPOをアウトソースするのと同時並行で組織内に将来の人員を組織の中で養成するとよいでしょう。
DPOは本来組織内の人間が担うのがベストだからです。
外部委託でのDPOサービスの場合、「組織と組織が運営する事業部門に関する十分な知識」という点についてはなかなか組織内部の方に追いつくことはできません。

DPOサービスのメリットは「知識」と「経験」を外部から短期的に持ち込むことです。
DPOサービスを選択する際は、サービスを提供するコンサルタントが有資格者であることも大切です。
プライバシー業界が立ち上がって５年以上が経過しています。
我流ではない、業界のgood practiceを身に着けたコンサルタントから支援を受けたいものです。

社内のプライバシー専門家の育成やDPOの養成にはIAPPの公式トレーニングが有効です。また、当社のDPOサービスではIAPPの有資格者がお客様の業務を代行します。
ご関心のある方はぜひお問い合わせください。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜中国で個人情報処理についての認証活動が開始へ＞

プライバシーの仕事をしていてよいところは、常に新しいことが起き続けることです。ニューストピックも、始めた時はそんなに書くことがあるかと心配しましたが杞憂でした。毎回いくつかのトピックの中から書くべきことを選択するという状態です。

2022年11月18日に、国家市場管理局と国家インターネット情報局が、「個人情報保護認証実施についてのルール」を公布し、中国国内での個人情報認証に号砲をならしました。今回公布されたルールによると、越境移転を行わない場合にはGB/T 35273 「情報セキュリティ技術　個人情報セキュリティについての仕様」への遵守を、越境移転を行う場合には、GB/T 35273に加えてTC 260-PG-20222A「個人情報の越境処理活動セキュリティ認証についての仕様」に準拠することを求めています。

認証は3年間有効であり、認定を受けた第三者認証機関が「技術認証」、「現地監査」、「認証取得後の監督」の3つを行うことで運用されます。「技術認証」とはいわゆる(書類等による)「審査」です。「現地監査」とは審査機関がオンサイトでの「監査」を指します。「認証取得後の監督」はサーベイランスと呼ばれるもので、継続的に認証に関する水準を組織が維持していることを確認する作業を言います。

今回公布された認証制度は、ごく簡単にいうならば、中国版プライバシーマークと理解して問題ありません。もちろん、取得も任意です。

認証への注目が集まっていた理由の一つは、PIPL第38条第1項が越境移転を許容するための手段の一つとして「認証による適法化」を掲載していることにありました。中国国外の企業がこの「認証」を取得している場合、中国国内企業が中国国外企業への個人情報の移転を自由に行うことは可能となるでしょう。ただ、中国国外の組織が中国の認証を取得することは非常に困難です。(おそらく文書も中国語であることが求められることでしょう。) 実務面から言えば、「認証」をもとに中国個人情報の越境移転を行うことは無理がありそうです。

少し脱線しますが、よく聞かれる越境移転について簡単に触れておきます。中国の個人情報越境移転の規制はすべてのデータ移転を規制しようとしているわけではなく、「規制が必要な」越境移転についてのみ考えることを覚えておいてください。2022年7月7日に国家インターネット情報局が公表したQ&Aによると、「データ輸出に関する評価についてのガイダンス」が対象としているのは次の２つのケースです。

1）データ処理を行う者(いわゆる「管理者」)が中国国内業務で取得、生成したデータを国外に送信・保存するデータ
2）データ処理を行う者(いわゆる「管理者」)が取得、生成したデータが中国国内に保存され、中国国外の組織等がアクセス、あるいは呼び出すことができるデータ

越境移転が規制される理由は、データが外国の団体や人にアクセスされ、コントロール不能となるリスクが生じる可能性があるためです。データが国外に出なければリスクがないわけでもありませんし、国外に出るからと言ってかならずリスクがあるわけでもありません。事実、TCP通信のハンドシェイク等は越境移転規制の対象外です。越境移転規制について考える際は、データが国外に出ることによって生じる特定のリスクに焦点を当てるようにしてください。

認証の話に戻ると、現在中国では、「アプリの個人情報保護認証」、「データセキュリティマネジメント認証」、「個人情報保護認証」の3種類の認証制度があります。「アプリの個人情報保護認証」は本来「個人情報保護認証」に含まれているべきなのですが、アプリの規制が喫緊の課題となっていたため先に作られています。「データセキュリティマネジメント認証」はISO27000シリーズ等をベースとしたマネジメントシステムについての認証です。

認証は客観的に個人情報保護やデータセキュリティ対策を保証してくれる仕組みでもあるので、必要に応じて賢く取得しておくとよいでしょう。

▼関連サイト
https://mp.weixin.qq.com/s/aEbmbWUf4mEqyIiUPe0lIg

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆