GDPR

Facebook のCPO(Chief Privacy Officer)と繋がる

LinkedinというサービスでFacebookのCPOと繋がりました。
まぁつながるということは特に大したことでもないのかもしれませんが、IAPPのつながりがあった故にネットワークが構築できたという点は、やはりIAPPという組織の力を感じずにはいられません。

これからPrivacyの分野を深めたい方はぜひIAPPに加入されることをお勧めします。

日本ではPrivacyというのはまだまだ「めんどうなもの」という程度の認識でしかありません。しかし、アメリカや欧州、シンガポールやフィリピンでは非常に真剣に議論されている印象があります。少なくとも、私が参加したIAPPの国際会議ではそうでした。

「コンプライアンス」とは何か、日本の企業はもっと真剣に考えたほうがよいでしょう。

私が経営について教えていただいている小宮一慶さんはいつも次のようにいっています。

「法律とは守って当然のもので、法律を守らないというのはありえない話だ。たとえば車を運転していて反対車線を逆走していないからといって誰も褒めはしない。それは、守って当然のもので、守らなければいろいろな問題が生じるからだ。ピーター・ドラッカーが言うように、会社とは社会に存在を許されているものでしかない。法律を守らないような会社は、当然退場すべきだ。」

ルールを「面倒」と思っていると「形だけ従っていたらよい」となります。当社にも、「何をしたら安全ですか?」という問い合わせが数多く寄せられますが、そのような質問をする会社はそもそもなぜ会社が存在しているのかについてのスタンスがずれているのかもしれません。

Privacyはお客様の大切なデータを大切に扱うという約束です。

透明性と説明責任を果たすことは当然必要ですし、傷をつけないように注意するのも当然のことでしょう。そういった当たり前のレベルは、そのまま会社としての「品性」のレベルになるのではないでしょうか。

人の「権利」や「自由」を守るというのは「青臭い」ことではなく、私たちの社会がよいものであるための最低限のマナーだということを忘れないでほしいと思います。

GDPR

お知らせ:CIPMの認証取得

このブログを書いているテクニカ・ゼンの代表の寺川が、このたびCIPMの資格を取得しました。
CIPMとは、世界最大のPrivacy Professionalの協会であるIAPPが主催する能力認証制度です。

以前から保有していたCIPP/Eという資格は欧州の個人データ法について信頼できる知識を保有していることを証明する資格です。
今回新規に取得したCIPMという資格はPrivacy Management Programを実装し、運用するのに必要な知識を保有していることを証明する資格です。

GDPRでいうDPOは、CIPP/EとCIPMを保有していることが望ましいとされています。
当社としても、ようやくDPOとして活動を開始する準備が整ったといえますので、DPOの受託サービスを開始します。
ご関心のある方はこちらにご連絡ください。

こういった認証は取ればよいというものでもありませんが、認証を持っていることで、我流ではなく確かな実績と経験に基づいた知識体系に基づいてトレーニングを受けていることを証明できます。
また、認証の維持には継続的なトレーニングが要求されるため、認証保有者は継続的に新たな知識を身に着けていることも保証されます。

GDPRに関するサービスや弁護士によるサービスが増えてきた中、こういった認証を取得しているかも一つの目安となります。

Privacy Program Management

Privacy Management: データ侵害のコスト

今日から新たにPrivacy Managementという概念について説明をしていきます。
Privacy Management とは、社内におけるData Privacyを管理する手法のことです。
Digital Ageに入った現代では、今後重要性が増す考え方です。

概念としてはISO 9001やISO 14001を思い浮かべていただければよいかと思います。
マネジメントシステムの必要性は評価がむつかしいものの一つです。
社内の合意が得られない場合、ビジネス・ケースを提示する必要があります。

ビジネス・ケースを組み立てるために、まずはデータ侵害のコストについてから話を始めていきましょう。

データ侵害時に発生するコストにはどのようなものがあるかご存知でしょうか?
GDPRでは巨額の制裁金ばかりが注目されていましたが、「見えないコスト」にも注意が必要です。

1.危機管理コスト(PRコスト)
一貫性があり、適切なタイミングで、ユーザに対して親切な情報提供を行ためには専門家の協力が必要となります。

2.調査コスト
データ侵害の確認、封じ込め策の実施、原因の解消といった作業を専門家が行う時間と費用が生じます。また、影響を受けたデータの数、範囲、種類について特定するのにかかる費用も生じます。

3.被害者への通知コスト
影響を受けた被害者への手紙、e-mail、ウェブサイト、その他影響を受けた被害者にコンタクトするために必要な手段を準備し準備したものを届けるために必要な費用が生じます。

4.コールセンターのコスト
データ侵害が発生するとコールセンターの設置をする必要があります。専用電話や専用e-mailアドレスの設置に関する費用も生じます。

5.外部弁護士のコスト
弁護士への相談費用やデータ侵害後の義務にかかる費用も生じます。訴訟への対応費用も生じます。

6.装置の更新、セキュリティ対策コスト
データ侵害が発生すると、装置やソフト、システムの更新を行うこととなる場合があります。

7.売り上げの減少コスト、株価の減少コスト
データ侵害は株価の低下、顧客離れ等を引き起こす可能性があります。

8.保険コスト
保険の費用はデータ侵害後上がります。

9.被害者救済対策コスト
被害者に対する救済措置に要する費用が生じます。(クレジットカードの監視、詐欺行為の解決、ID盗難保険の提供)

10.制裁金コスト
制裁金、対応遅れ、対応ミスに対する罰金コストが生じます

11.従業員トレーニングコスト
トレーニング内容を改良し、従業員を再トレーニングするためのコストが生じます

12.カード更新コスト
クレジット・カード番号が漏洩した場合はカード番号の変更費用が生じます。

13.被害者の損害補償コスト
データ侵害の被害者が被った損害を補償するための費用が生じます。

14. 機会費用
データ侵害は組織の生産性を低下させます。また、一部の従業員はデータ侵害によって生じた業務によって拘束されることとなります。

GDPR

質問、リクエストの募集

いつもWorld-Privacy-Watchをご購読いただき、ありがとうございます。このブログでは4月からほぼ毎日GDPRを中心に更新を進めてきました。
おかげさまでたくさんの方にご購読いただけ、また、活用しているという声も聞くことができうれしく思っています。

GDPRの施行から3ヶ月がたち、GDPR対応については落ち着いてきた印象があります。
このブログでも、ガイドラインについてはまだ「DPIA」や「同意」という大切な分野を訳し残していますが、
ある程度情報も増えてきたのでこれらについては他のリソースに任せてもよいのかなと考えています。

このブログの出発点はそもそもdigital ageにおけるデータ・プライバシー保護の動向モニターにありましたので、そろそろGDPRを離れ、本来意図していた動向モニターにもどろうかと考えています。それに伴い、更新頻度も毎日ではなく、不定期更新とさせていただく予定です。

データプライバシーについてご質問等ございましたらこちらからご連絡いただければ幸いです。

ASIA-PACIFIC, PDPA, Singapore

PDPC:行き過ぎたデータ開示

シンガポール当局(PDPC)はあるスポーツ協会に指導を行いました。
当該スポーツ協会はウェブサイトの技術的な更新を怠ったため選手のsensitive dataが選手プロフィールページで閲覧できる状態となっていたとのことです。

当局は90日以内にPDPAの要件に合致するようprivacy policyを更新、実装し、従業員に個人データ保護についてのトレーニングを実施するよう命じました。

GDPR

9月以降のWorld Privacy Watchについて

長い透明性についてのガイドラインを読み終わり、ようやく一息をついています。
コンテンツとしては重要ですが、目的がある方じゃないとなかなか読みにくい内容だったのではないかと思います。

9月以降は毎日更新するという方針を終了し、随時更新という形態とします。
基本的にはこのブログの趣旨にもどって、世界の動向ウォッチをメインにしようと考えています。

それと同時に、もう一つの柱にしようと考えているのは、データ・プライバシー・マネジメントという考え方です。
データ・プライバシーは継続的に社内で管理し、安全性を継続的に担保しなければなりません。その方法についての情報提供をしようと思います。
この分野はまだ日本ではそれほど強調されていませんが、世界のビジネス環境ではスタンダードとなっている考え方です。
当社ではお客様に早い段階からこの体制を導入するよう推奨しています。

依然として専門性の高い話題が続きますが、個人データを扱う事業者がここで説明するコンセプトをもとに安心・安全な社会作りを促進してくれることを願っています。

GDPR

透明性のガイドライン(WP260 rev.01)を読む(50)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【データ主体の権利行使】
行使可能な権利の種類、権利行使の方法、権利行使が制限される場合はどのような場合かの情報
処理に反対する権利については明確に、他と区別して最初にデータ主体とコンタクトを取る前に提示すること。
データ・ポータビリティについてはガイドラインを参照のこと。

【同意(又は明確な同意)に基づく処理の場合、同意をいつでも撤回できる権利】
データ主体が同意を撤回する方法。これは同意を与えるのと同じくらい容易である必要がある。

【監督機関に苦情を申し立てる権利】
データ主体は、自身の居住している場所、勤務地の監督機関に、GDPR違反について苦情申し立てができることを明記すること。

【法的要件、契約上の要件、契約の履行に必要、情報提供義務があるか、情報提供を行わなかった場合の結果】
雇用契約の場合は契約上ある一定の情報を現在の従業員または雇用予定の従業員から取得する必要がある。
オンラインフォームの場合は、どの情報が「必須」でどの情報が「任意」か明治
「必須」情報に入力しなかった場合の結果についても記載のこと。

【個人データの入手源、公開データベースから入手したか】
データ取得源は明示すること。
明示できない場合、情報取得源の性質(公的な情報源か、私的に取得された情報源か)
情報取得源の組織、産業、セクターの種類

【プロファイリングを含む自動化した意思決定の有無、該当する場合は有意な使用ロジック情報、そのような処理による重大なまたは意図する結果】
プロファイリングを含む自動化した意思決定についてのガイドライン参照のこと。

GDPR

透明性のガイドライン(WP260 rev.01)を読む(49)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【個人データの受領者(又は受領者の種類)】
第三者かどうかに関わらず、データを受け取る存在を記載すること。
他のデータ管理者、共同管理者、共同処理者を含む。
実名または受領者の種類を記載すること。
データ主体が、誰にデータが渡るのかを理解できることがポイント。
受領者の種類を記載する場合は、できるだけ特定すること。(受領者の種類、産業、セクター、サブ・セクター等)

【第三国移転の詳細、そこでなされる安全保護策、十分性認定の有無、安全保護策の証拠となるもののコピー】
十分性認定、BCR、SCC、デロゲーションといった安全保護策を特定すること。
関連文書へのアクセス方法、入手先、を提示すること。

【保管期間(可能なら保管期間の判定基準も)】
法的要件、産業ガイドラインに準拠するものでよいが、データ主体がアクセスできるようにしておくこと。
単に「ビジネス上必要な限り」としておくことは不十分である。
個人データの種類ごとに保管期間を変更し、場合によってはアーカイブ期間も記載すること。

GDPR

透明性のガイドライン(WP260 rev.01)を読む(48)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【管理者/代理人の身元、連絡先】
容易に管理者/代理人が判別可能であること。
複数の連絡手段が記載されていること(電話番号、住所、emailアドレス、等)

【DPOの連絡先】
DPOのガイドランを参照のこと

【処理の目的と適法根拠】
処理の目的と適法根拠を記載すること。
特別カテゴリーのデータについてはどのデータかを特定すること。
犯罪履歴、安全保障、欧州法や加盟国法に基づいて処理する場合、その根拠を特定

【正当な利益を適法根拠とするとき、その内容】
正当な利益の内容を特定。
バランシングテスト(処理以前に実施必要)に関する情報。
情報疲労を起こさせないため、階層構造で情報提供すること。
データ主体はバランシングテストについての情報を請求できると明示すること。

【関連する個人データの種類】
GDPR第14条のみの要件。