【処分事例】スペイン: 従業員のプライバシー権保護

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

スペインは個人データ保護に積極的に取り組む国の一つです。会社の行動規範も管理の対象となります。2019年3月8日の報告です。ある銀行が従業員に対して、利益相反となりえる活動を行った場合4年分の収入報告書を提出するよう要求しましたが、目的に照らして不適切な要求だと判断されました。従業員の明確な同意なくsensitiveな情報を提供するように要求しているためです。

【処分事例】スペイン: 従業員のプライバシー権保護

 

【報告】デンマーク: ベンダー監査のポイント

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

データ管理者はデータ処理者に対しての責任を負います。データ処理者は、管理者の指示にしたがった処理のみを行わなければならない旨を書面で手順化しておかなければなりません。処理者はデータ主体の権利行使やDPAへのデータ侵害通知時に管理者に協力する義務があります。データ処理者のセキュリティ対策は、データ処理契約に合致したものである必要があります。監査を行う管理者は、セキュリティ・システムが適切なセキュリティ警告を出し、ログを監査し、アクセス権が適切に制限されていることを確認しなければなりません。2019年3月8日の報告です。

【報告】デンマーク: ベンダー監査のポイント

【処分事例】ドイツ: アップルのPrivacy Policyを違法と判断

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

この処分事例はなかなか興味深いものです。過去のPrivacy Policyの内容に対してGDPRを適用しています。アップルのPrivacy Policyは、顧客のデータを社内での使用を目的としているため特別な同意を取ることなく使用しているように書かれており、顧客に処理の目的を特定しておらず、privacy policy全体に同意することによって全てのデータ処理に同意することを共用していると判断されていました。2019年3月8日の報告です。

【処分事例】ドイツ: アップルのPrivacy Policyを違法と判断

【報告】IoT: NIST の推奨するサイバーセキュリティ対応

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

IoT装置の開発が活発に行われています。核となるIoT装置には、論理的および物理的に保管されたデータ、通信されたデータを暗号化する機能が含まれていなければなりません。この暗号化は、産業標準のもので、全てのレイヤーでのデータ通信について施されていることがよいでしょう。また、サイバーセキュリティ事故が発生したときには、権限のあるユーザがアクセス可能であるログを取得しておくよう推奨しています。2019年3月8日の報告です。

【報告】IoT: NIST の推奨するサイバーセキュリティで最低限すべき対応

【処分事例】アイルランド: オート・フィル機能

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

以前、シンガポールでの処分事例にも出てきた「オート・フィル(自動入力)」機能による誤送信事例です。2019年3月8日の報告です。ある航空会社の従業員がwebchatの会話履歴を顧客に送付する際、オートフィル機能で入力されたemailアドレスを修正し忘れ、個人の名前、emailアドレス、電話番号、飛行計画を別の顧客に送付してしまいました。オート・フィル(自動入力)機能を使用することによる潜在的リスクについては、スクリーンにプロンプトを表示する等、何らかの対応をすることが必要となります。

【処分事例】アイルランド: オート・フィル機能によるデータ侵害

【報告】コロンビア: 生体データ処理

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

コロンビアのデータ監督機関(“DPA”)によると、会社が従業員の指紋データを取得し出社状況を確認できるのは、従業員から口頭または書面で事前に同意を取っているときのみです。(生体データを提供することによる暗黙の同意では不十分)従業員は生体データ提供時に、処理の目的とデータが誰に開示されるのかを通知しなければなりません。従業員は会社の持ち物ではなく、尊厳ある扱いが必要です。2019年3月7日の報告です。

【報告】コロンビア: 生体データ処理には従業員の明確な同意を

 

【読み物】番外編:プライバシー業界のミスマッチ

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

最近はBrexitを除いて特にめぼしい話題がないので、少し所感を書いてみます。

現在、日本ではデータ・プライバシーは弁護士の方やシニア層の方が担当されていることが多くあります。が、データ・プライバシーが語られている状況との間にミスマッチを生んでいるのではないかと感じます。

弁護士の方にとっては、データ保護はニッチすぎ、専門とするには狭すぎる分野です。法律についての高度な知識を網羅的にもつ弁護士がデータ保護に集中して取り組むというのは、いささかオーバースペックに感じます。毎日の通勤にフェラーリを使うようなものです。

シニア層の方は日本型組織になじんでマネジメント・システムの思想とは異なる思想で生きてきた人たちです。リーダーシップの発揮の仕方も、実力とコンセンサスの形成よりも完成された組織の関係性の中で順当に出世し上の立場に立つことが多かった世代です。(しかも英語さえできないことが多い!)

前提としてきた世界観が違うので、そもそも何を達成したいのかについての理解が不十分、もしくはそれを理解したところでそのような考え方に慣れていないためどう動けばよいかわからないようです。(データ保護をいまだにシステムセキュリティと同義と考えている等)

データ・プライバシーの世界はまだ「正解」がない世界です。今流行の言葉で言えばVUCA (Volatility(変動性・不安定さ)、Uncertainty(不確実性・不確定さ)、Complexity(複雑性)、Ambiguity(曖昧性・不明確さ))の分野です。

「透明性」ひとつをとっても、何をすれば透明性を担保できるのかは誰もわからない、というのが現実です。

日本でデータ・プライバシーに従事している人々は、適材適所になっていない可能性が高いと感じます。

プライバシーの専門家としては(自分の頭で考え動くことができ、国際感覚がある)若い人を採用するのがよいように感じます。

方針の決め方も「対話」を重ねることで文化を醸成し、明文化することでそれを規定し、かつ継続的な対話によって規定を更新し続ける、という作業が必要です。

スピードも大切ですし、情報収集も大切です。明文化、言語化も大切な要素となります。

これらの多くは日本型の組織に欠けていますね。若い世代にもっと権限を委譲し、ダイナミックに動いたほうがよいのではないか、という印象があります。

【処分事例】トルコ: 健康データ移転に制裁

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年3月7日の報告です。トルコの薬局が患者の健康データ(外科医の薬の処方)を明確な同意無しにサード・パーティーに移転していました。トルコでは健康データはデータ主体から同意を得ることなく移転、処理することは許されません。またデータ責任者は取得した個人データや知りえた個人データを開示、誤用することを禁止されています。

【処分事例】トルコ: 明確な同意のない健康データ移転に制裁

新シリーズ【読み物】GDPRとは:第十六回 大企業のGDPR対応ポイント(4)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

 新たなシリーズ連載では GDPR について包括的な理解ができるような情報提供を行っています。GDPR そのものをあらためて学びなおし、理解を深めたい方を対象とした連載です。

第十六回目は「大企業の対応のGDPR対応ポイント(4)」です。今回は「内部データ・プライバシー・ポリシーを保守する」というプライバシー・マネジメント活動(PMA)について説明しています。データ・プライバシー・ポリシーとは社内、組織内でのデータ・プライバシーの指針を与えるものです。作り方にはいくつかポイントがあります。

この連載は、世界のデータ保護法に対応しなければならない担当の方今後データ保護法により関与されたい弁護士や会計事務所の方コンサルタントの方に役立つ内容となります。IAPP のCIPP/E受験を考えてらっしゃる方もぜひお読みになってください。IAPP のテキストの内容に、有用な情報を追加しつつ解説を進めています。

なお、このシリーズでご紹介している手法は、当社が GDPR 対応コンサルティング、データ保護法コンサルティングを行う際に採用している手法です。ご質問等はコンサルティングの中での対応となるため、より深く知りたい方はコンサルティング契約または顧問契約の中でご支援させていただきますのでお申し付けください。

【読み物】GDPRとは:第一回 概要

【読み物】GDPRとは:第二回 歴史

【読み物】GDPRとは:第三回 EU法の仕組み

【読み物】GDPRとは:第四回 GDPR と現在の加盟国法の対応

【読み物】GDPRとは:第五回 GDPR がもたらした世界のデータ保護法への影響

【読み物】GDPRとは:第六回 GDPR の適用範囲

【読み物】GDPRとは:第七回 GDPR の適用対象(1)

【読み物】GDPRとは:第八回 GDPR の適用対象(2)個人データの定義

【読み物】GDPRとは:第九回 GDPR 適合のポイント Data Privacy by Design as a Default

【読み物】GDPRとは:第十回 GDPR 適合のポイント 「説明責任」と「透明性」

【読み物】GDPRとは:第十一回 GDPR 適合のポイント フレームワークの活用方法

【読み物】GDPRとは:第十二回 中小・零細企業のGDPR対応ポイント

【読み物】GDPRとは:第十三回 大企業のGDPR対応ポイント(1)

【読み物】GDPRとは:第十四回 大企業のGDPR対応ポイント(2)

【読み物】GDPRとは:第十五回 大企業のGDPR対応ポイント(3)

【読み物】GDPRとは:第十六回 大企業のGDPR対応ポイント(4)

【報告】スウェーデン:管理者と処理者

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

少し忙しく更新が遅れ気味ですが、できるだけ毎日更新できるようにします。

管理者と処理者についてはずいぶんたくさん説明が出て言い尽くされた感がありますが、基本をしっかりと抑えておきましょう。

スウェーデンの監督機関がGDPRにおける管理者と処理者の責任について明確化しました。2019年2月26日の報告です。管理者は処理者に個人データ処理業務を委託することはできますが、個人データの保護はあくまでも管理者の責任です。処理者はGDPRに基づいて個人データ処理を行わなければなりません。また、処理者は管理者の指示に従って処理を行わなければなりません。また処理者自身も監督機関による行政処分の対象となります。

【報告】スウェーデン: 管理者は処理者に法的責任を押し付けることはできない