◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜中国のデータ越境移転に関する動向(続編)＞

11月になり、今年も残すところわずか2か月となりました。当社は11月が期の始まりなので、新たな年度に向けて気持ちを新たにしているところです。今期も新たなサービスと有用なサポートを届けられるようスタッフ一同努めてまいります。

 

前回中国の越境データ移転に関するセキュリティ評価への問い合わせが増えているという話を紹介しました。その後、すでにいくつかの会社が当局に申請したことや大手企業の中には当局から却下された企業もあることがわかりました。越境データ移転に関するセキュリティ評価では、PIAに加え、移転先のセキュリティ体制の状況等、移転に関する特有の評価も必要であり、この評価の仕方についてまだ十分方法が定まっていないというのが現状のようです。

 

中国語ですが、以下のページ(TMT法律论坛)が比較的よくまとめてくれているため、セキュリティ評価の考え方について整理したいときには参照してください。

https://mp.weixin.qq.com/s?__biz=MzU4MDY4NzE1Nw==&mid=2247490519&idx=1&sn=250c64f9249ba00fc0f552129385a27c&scene=21

 

越境移転に関連して話をすると、トルコのイスタンブールでは10月末、GPA (Global Privacy Assembly)が開催されていました。GPAは世界各国の当局が年に一度集まって、データプライバシーに関するポリシーについて協議する場であり、データプライバシーの重点的な取り組み領域を知るために重要な会議の一つです。今年はGPAがカリフォルニア州の当局であるCalifornia Privacy Protection Agency (CPPA) を投票権のあるメンバーとして加えたというニュースも流れていました。

 

このGPAで最近常に取り上げられる課題はデータの越境移転です。欧州と米国の間のデータ流通については米国の大統領令を受けてPrivacy Shield 2.0の発効が待たれているほか、DFFT(Data Free Flow with Trust)という各国間のデータの自由な流通についての議論も行われました。詳しい情報はありませんが、この議論の中心にいる専門家からはため息ばかりが聞こえてきます。2023年に開催されるG7ではDFFTについて日本政府が何らかの宣言を公表したいと考えているようです。データの越境移転はデジタル社会の要となるため、少しでも進展がみられることを願っています。

 

最後に、次回のこのコラムに関連する内容ですが、GPAでは顔認識技術についての適正な利用に向けた勧告(resolution)が採択されました。顔認識技術は犯罪捜査で有効性を示してきましたが、同時にバイアスの問題や監視社会化への懸念が指摘されてきた技術です。今回の勧告では6つの原則(法的根拠があること、合理的かつ必要であり行き過ぎていないこと、人権を保護すること、透明性を担保すること、データ保護の原則を考慮すること)を要求しています。

顔認識技術については、私がAIについてのポリシーを学んでいるCAIDPが積極的に禁止を働きかけていました。そのため、GPAの勧告は私個人にとっては感慨あるニュースでした。余談ですが、ポリシーについて学ぶ中で、私たちの先生がこう言っていました：「法律は「拘束力があるかどうか」を問題とするが、ポリシーは「民主的な社会にとって正しいかどうか」を問題にする」

データプライバシーの先には「将来世代にどのような社会を残したいか」という問いがありますが、まさしくポリシーとしての視点が重要なのだと思います。

 

　次回はAIについてのガイダンスが増えてきていますので、この話題を取り上げようと思います。

▼中国のセキュリティ評価申請状況、GPAでの議論

https://www.caidp.org/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜中国のデータ越境移転に関する状況＞

　10月14日から10月22日にかけてシンガポールに仕事で行っていました。シンガポールは今雨季だそうで、前回7月に行ったときと比べると幾分涼しくなっていました。

 

今回の出張の目的はシンガポールのデータプライバシー認証であるDPTM (Data Protection Trust Mark)の認証と現地パートナーとの打ち合わせでした。認証の仕事は現地認証機関との情報交換の場ともあるため貴重です。また、現地パートナーとの打ち合わせではグローバル事業責任者との打ち合わせもでき、実り多い時間となりました。余談になりますが、私が打ち合わせをした責任者の方はまだ30代の若い方です。すでに多くの経験を積んでおり、家もアメリカに3件持っているそうで、いつでもリタイアできるけれども、もうひと仕事をしてからにしたいと言っていました。

 

日本から足を踏み出すとこういう方と出会う機会がたくさんあります。彼らと仕事をするのは大変なこともありますが、そういったトップレベルの人たちと仕事ができる会社であり続けるために、日々こちらも研鑽を積んでおく必要があると改めて感じた時間でした。

 

今日の話題は中国の越境データ移転についてです。すでに9月1日に「数据出境安全评估申报指南」が出たことは当社の会員サイトやメールマガジンでもお知らせしてきましたが、2か月ほどしてこの件に関する相談や質問が増えてきた印象があります。もっとも、米国の企業からは出た直後から活発に質問があったので、個人的には少し時間がかかったな、という印象も持っています。

 

少しおさらいですが、中国法についてはデータの越境移転を適法化する方法として大きく3つの方法があります。一つ目は当局が規定する「セキュリティ評価」に合格すること、二つ目は「越境移転についての認証」を取得すること、三つめは「標準契約」を締結することです。いずれについても個人からの「単独同意」の取得する必要があります。今年の9月1日に出たのはこのうちの「セキュリティ評価」に該当し、管理者は2023年3月1日までに対応することが要求されています。

 

対象者は以下です。

1. 重要データを国外(境外)に提供するデータ処理を行う場合
2. 重要情報インフラ事業者及び100万人以上の個人情報についてデータ処理を行う者が国外(境外)に個人情報を提供する場合
3. データ処理を行う者が、前年の1月1日から累計で10万人分の個人情報または1万人分のセンシティブな個人情報を国外(境外)に提供する場合
4. その他、国家インターネット情報局が規定する、データ越境セキュリティ評価の申告を必要とする場合

 

比較的現実的な適用範囲が設定されているため、B2Bでビジネスをされている場合は該当しないケースが多いと考えられます。対消費者でサービスを提供しているeコマースについては適用の可能性があるため対応を進めてください。

 

ちなみに、データの越境移転とは次の行為を指しています。GDPRでは越境移転とみなされていない2つ目のケースについてもセキュリティ評価の対象となるため、この点も注意が必要です。

1. データ処理を行う者が国内(境内)業務を通じて収集、及び生成したデータを国外(境外)に転送、保管する場合
2. データ処理を行う者が収集、及び生成したデータを国内(境内)に保存し、国外(境外)の機関、組織または個人が照会、検索、ダウンロードもしくはエクスポートできる場合
3. その他、国家インターネット情報局がデータ越境移転と定める行為

 

セキュリティ評価自体は特に難しいものではないといってよいでしょう。ただ、この評価はセルフアセスメントにとどまらず現地当局の承認を得る必要があるため、慣れていない企業の場合現地コンサルタントとの連携が必要となります。また、中国はMLPS(等級保護)を通じて日本の一般的な(暗黙の)水準よりも高い水準でのセキュリティ対策を要求しているため、本当に対応を行うつもりであればセキュリティソリューションを備えたコンサルティング会社やパートナーと連携する必要もあるでしょう。

 

データプライバシー対策は、今では法律の原文を解釈するだけでは十分といえない時代になっています。プライバシーとセキュリティをセットで対応するようにしていただければと存じます。

 

▼「数据出境安全评估申报指南」への対応

http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm

2022年10月7日　大統領令全文訳

本日、バイデン大統領は、2022年3月にバイデン大統領とフォン・デル・ライエン欧州委員会委員長が発表した欧州連合・米国データプライバシー枠組み（EU-U.S. DPF）に基づく米国の約束を実行するために米国が取るべき措置を指示する「米国のシグナル情報活動のためのセーフガードを強化する大統領令（E.O.）」に署名を行った。

大西洋を横断するデータフローは、7兆1千億ドルのEUと米国の経済関係を可能にするために不可欠である。 EU-U.S. DPFは、欧州連合司法裁判所が、EU法の下で有効なデータ移転メカニズムであるEU-U.S. Privacy Shieldの先行フレームワークを打ち消した際に提起した懸念に対処し、大西洋横断のデータフローにとって重要な法的根拠を回復するものだ」と述べている。

米国のシグナルインテリジェンス活動に対するプライバシーと市民的自由の保護措置をすでに厳格に適用しているが、この大統領令は、これを強化するものである。また、E.O.に基づいて指定された、適格国家および地域経済統合機関に属する個人が、米国のシグナルインテリジェンスを通じて、米国の適用法に違反する形で個人データが収集されたと考える場合に、救済を求めることができる独立した拘束力のあるメカニズムも創設されている。

米国およびEUの企業は、経済のあらゆる部門において、デジタル経済への参加と経済機会の拡大のために、国境を越えたデータの流れに依存している。EU-U.S. DPFは、大西洋を越えるデータの流れに信頼と安定を取り戻すための米国と欧州委員会の共同努力の集大成であり、共通の価値観に基づく永続的なEU-米国関係の強さを反映するものである。

特に、この大統領令は

• 米国のシグナルインテリジェンス活動に対する安全保護措置をさらに強化する。このような活動は、定義された国家安全保障上の目的を追求する場合にのみ実施し、国籍や居住国にかかわらず、すべての人のプライバシーと市民的自由を考慮し、有効な情報優先事項を進めるために必要な場合にのみ、その優先事項に見合った程度と方法で実施することを義務付けるなどである。

 

• シグナルインテリジェンス活動を通じて取得された個人情報の取り扱いに関する要件を定め、法律、監督、コンプライアンス担当者の責任を拡大し、コンプライアンス違反の事例を是正するために適切な措置が取られることを確保する。

 

• 米国のインテリジェンスコミュニティの一部に対し、O.に含まれる新しいプライバシーおよび市民的自由の保護措置を反映させるために、そのポリシーおよび手続きを更新することを要求している。

 

• O.に従って指定された、適格国家および地域経済統合機構の個人が、米国のシグナルインテリジェンスを通じて取得された個人情報が、E.O.の強化された保護措置を含む米国の適用法に違反して米国によって収集または取り扱われたという主張について、独立した拘束力のある審査と救済を受けるための多層のメカニズムを構築する。

 

• 第一階層では、国家情報長官室（CLPO）の自由権保護官が、受け取った適格な苦情について最初の調査を行い、O.の強化された保護措置または他の適用可能な米国法に違反したかどうかを判断し、違反した場合は適切な是正措置を決定する。E.O. は、CLPO の決定が、第二段階の審査を経て、インテリジェンスコミュニティに対して拘束力を持つこと、および CLPO の調査および決定の独立性を確保するための保護を提供することによって、既存の法定 CLPO 機能を構築している。

 

• 第二段階の審査として、O.は司法長官にデータ保護審査裁判所（”DPRC”）を設立し、個人またはインテリジェンスコミュニティの一部からの申請により、CLPOの決定に対して独立し拘束力のある審査を行うことを許可し指示する。DPRCの裁判官は米国政府外から任命され、データプライバシーと国家安全保障の分野で関連した経験を持ち、独立して事件を審査し、罷免に対する保護を受けることになる。適用される米国の法律に違反があったかどうか、違反があった場合はどのような是正措置を取るべきかに関するDPRCの判断は拘束力を持つ。DPRCの審査をさらに強化するため、E.O.はDPRCが案件ごとに特別弁護人を選出することを定めている。この弁護人は、申立人の関心事について弁護し、DPRCが案件に関する問題点や法律を十分に理解していることを確認する役割を担う。司法長官は本日、DPRCの設置に関する付随規則を発表した。

 

• プライバシーおよび自由権監視委員会（Privacy and Civil Liberties Oversight Board）に対し、インテリジェンスコミュニティの方針および手続きを見直し、それらが大統領令に合致していることを確認するとともに、インテリジェンスコミュニティがCLPOおよびDPRCによる決定を完全に遵守しているかどうかを含め、救済処理の年次審査を行うよう要請する。

これらの措置は、欧州委員会に新たな十分性認定の判断を採用する根拠を与え、EU法の下で重要かつアクセス可能で安価なデータ移転の仕組みを回復させることになる。また、標準契約条項(Standard Contractual Clauses)と拘束力のある企業ルール(Binding Corporate Rules)を用いてEUの個人データを米国に移転する企業にとって、より大きな法的確実性を提供することになるであろう。

2022年8月4日

今週の寺川が注目するニュースはこちら・・・

2022年7月8日

 

新着情報

2022年6月23日

≪開催日時≫

2022年7月7日（木）　13：00-14：00

 

≪形式≫

オンライン（ZOOMウェビナーを使用）

 

≪セミナー概要≫

▼こんな方へおすすめ

●中国サイバーセキュリティ法、中国個人情報保護法をより詳しく知りたい方
●今後中国に進出予定の企業のご担当者様
●日中間でのSalesforceやJootoの利用を検討の方

 

▼本セミナー内容

昨今、多くの日系企業様が中国進出されているとともに、SalesforceやJooto等のSaaSサービスへの需要も増加しています。 その一方で、中国サイバーセキュリティ法（网络安全法）は中国で事業を行っている＆進出を検討している企業様にとっては無視することができない重要な法律です。さらに昨年には中国個人情報保護法も新たに施行され、顧客データ等の取り扱いに対する対策が各企業様へ求められてきている状況です。実際、中国では2021年で17件の営業停止命令を含む580件の執行措置が執られており、喫緊に対応が必要な法律となっています。 本セミナーでは、SalesforceやJootoをご利用されている、及びご検討中の企業様に対して、法的な内容はもちろん、具体的にどのように対応を行うのかをPR TIMES社、Alibaba Cloud社にてご紹介致します。

 

▼中国サイバーセキュリティ法について

中国においてインターネットを含む通信、データ保護、セキュリティ対策などの情報セキュリティ分野に関する法令や実施規則が制定されている基準法です。「個人の権利保護・組織のセキュリティ保護」だけではなく「中国国家の安全や公共の利益を保護」を目的としている点が特徴です。中国国外おけるデータ処理や、中国国内でビジネスを行う外資企業に対しても法律の順守が求められます。

 

—————————————————————————

▼セミナーお申込みはこちらから

—————————————————————————

 

2022年5月19日

この度、BSIグループジャパン株式会社様にて、日本企業のプライバシーガバナンスのさらなる強化に向け、当社が提供しているIAPP公式CIPMトレーニングを、「グローバル認定のプライバシー・プログラム・マネジメント認証資格研修」として、提供を開始しましたことお知らせいたします。

グローバル認定のプライバシー・プログラム・マネジメント認証資格研修（＝IAPP公式CIPMトレーニング）は、世界各国で提供されておりますが、日本においてIAPPの公式トレーニングパートナーとして日本語で提供しているのは、昨年より提供を開始した当社と今回提供を開始するBSIグループジャパン株式会社のみとなります。

近年、社会全体のデジタルトランスフォーメーション(DX)が進む中、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請も高まっており、今後は、プライバシーに関わる課題対応を、商品・サービスの品質向上や消費者からの信頼獲得のための経営戦略として能動的に取り組み、企業価値向上につなげていく事が肝要と言えます。

こうした状況をふまえ、当社とBSIグループが協力し、プライバシーの専門家を育成するための研修を提供することにより、日本企業におけるプライバシーガバナンスのさらなる強化をご支援してまいります。

—————————————————————————

▼グローバル認定のプライバシー・プログラム・マネジメント認証資格研修（＝IAPP公式CIPMトレーニング）とは

企業において、プライバシー、情報セキュリティ、コンプライアンスコーポレート・ガバナンス等の業務に携わる方、あるいは、グローバルで求められているプライバシーの専門家を目指す方を対象に、グローバルレベルの専門知識や最新動向を、ビジネス面、リーガル面、テクノロジー面から学んでいただける内容となっています。また、本研修受講後に認証試験に合格すると、プライバシーの専門家としてグローバルに通用するCIPM(R)が資格として認定されます。

—————————————————————————

▼プレスリリース（発表元企業：JCN  配信日時: 2022-05-10 ）

https://www.atpress.ne.jp/news/308473

—————————————————————————

 

■テクニカ・ゼン株式会社について

テクニカ・ゼン株式会社は、プライバシー、セキュリティ、ガバナンスを支援するコンサルティング会社です。

若い会社でありながらIAPPをはじめとする世界各国の専門組織や専門家からの信頼が厚く、グローバルトップ企業をはじめ、大手企業を中心に支援を提供しています。

本業となるコンサルティング事業と併せて、デジタル市民教育に関する活動であるCyberSafetyも実施しており、地域社会や大学への助言やアウェアネス向上活動も行っています。

URL： https://technica-zen.com/

 

■BSI(英国規格協会)とBSI Professional Services Japan株式会社について

BSI(British Standards Institution：英国規格協会)は、1901年の設立以来、世界初の国家規格協会として、また、ISOの設立メンバーとして活動する規格策定のプロフェッショナルです。

現在、193カ国で84,000組織以上のお客様の活動に貢献しています。BSIグループジャパンは、1999年に設立されたBSIの日本法人です。

マネジメントシステム、情報セキュリティサービス、医療機器の認証サービス、製品試験・製品認証サービス及びトレーニングコースの提供をメインとし、規格開発のサポートを含め規格に関する幅広いサービスを提供しています。

URL： https://www.bsigroup.com/ja-JP/

 

2022年2月15日

組織のPrivacy by Designを支援し、IAPP(※1)のオフィシャル・トレーニング・パートナーの当社では、プライバシー情報マネジメントにおける国際規格「ISO/IEC 27701（ISMS-PIMS）(※2)」認証取得支援を行っておりますが、この度当社が支援した、働き方改革プラットフォーム「TeamSpirit」シリーズを開発・提供する株式会社チームスピリット様（荻島 浩司代表取締役、 以下 チームスピリット）が2021年12月24日付で「ISO/IEC 27701（ISMS-PIMS）」認証を取得しました。本認証取得は日本国内においては先進的な取組みであり、ERPのフロントウェア市場で初の本認証取得となりました。

近年、世界各国で厳しい個人データ保護法規制の整備が加速していますが、チームスピリット社のように個人データを預かる事業を展開する事業者にとって、個人データ保護体制を世界標準レベルまで引き上げることは喫緊の課題の一つとなっています。その一方、適用される法域ごとにコンプライアンス対応を一からやり直すと、コンプライアンス・コストが増大し、事業活動に支障を及ぼす可能性もあります。

チームスピリット様は、国内エンタープライズ企業へのTeamSpiritの導入を拡大させており、長期的にはグローバルな事業展開を想定しています。このことから、国内エンタープライズ企業、及びグローバルに求められる個人データ保護基準に対応する必要があり、戦略的にその体制を整えてきました。

このような状況に鑑み、エンタープライズ市場における信頼向上、及びグローバル市場に進出する上での効果的なアプローチの一つとして、グローバル・プライバシー認証であるISO/IEC 27701(PIMS)認証を取得するまでに至りました。

(※1) International Association of Privacy Professionals (国際プライバシー専門家協会)とは　⇒８万人を超える会員数を擁する、世界で最も影響力のあるプライバシーの業界団体

(※2)ISO/IEC 27701（PIMS）認証とは　⇒ISO 27701はISMSとして知られている情報セキュリティ・マネジメント・システム(ISO/IEC 27001)のファミリー規格であり、プライバシー情報マネジメント・システム(Privacy Information Management System、略称PIMS)についての規格です。国際標準化機構（International Organization for Standardization、略称ISO）が2019年に定めた規格で、ISO/IEC 27701(PIMS)認証を取得した組織は、グローバル標準に従ってプライバシー情報を適切に保護・管理する体制を備えていることを対外的に証明することができ、世界の主要なサービス提供業者が既に取得を完了しています。

▼プレスリリース（発表元企業：JCN  配信日時: 2022-01-25 16:00）https://www.zaikei.co.jp/releases/1549671/

2022年1月14日

1月20日に行われるIAPP kNet第２回「プライバシーとデータ保護に関する世界会議 　PR!VACY ROMANIA（2022）」に当社代表の寺川が登壇します。

この分野の主要関係者を結集し、参加者間の対話を促進・奨励することを目的としています。

 

このイベントは、

ASCPD – Association of Privacy and Data Protection Specialists in Romaniaが、

IAPP – The International Association of Privacy ProfessionalsおよびIAPP Romanian KnowledgeNet Chapterと協力して開催するもので、

ルーマニア国内外から1000人以上の専門家の参加を見込んでおり、会議は連日2日間で開催されます。

 

▼内容

【１日目】2022年1月20日15：00～19：00（東ヨーロッパ標準時、GMT+2）　

１，世界各地（EU、東欧～非EU、南米、米国、カナダ、ロシア、日本、アフリカ、オーストラリア）における特定の法律の最新ニュースを学ぶためのバーチャル旅行を提案します。

※英語でのプレゼンテーション

 

【２日目】2022年1月21日15：00～19：00（東ヨーロッパ標準時、GMT+2）　※ルーマニア語でのプレゼンテーション

１，E-Privacy指令・NIS指令・GDPRなどの法改正を、AI・顔認識・マイクロターゲティングなどのテクノロジーの加速的な発展の中で紹介し議論します。

２，過去4年間のルーマニアにおけるGDPRの影響について、教育キャンペーンの効果・DPOの役割の発展・公的機関や民間事業者のコンプライアンスレベル・個人データの重要性に対する意識に焦点を当て、COVID19の流行期を中心に分析をします。

※ルーマニア語でのプレゼンテーション

 

▼イベント名

第２回プライバシーとデータ保護に関する世界会議 『PR!VACY ROMANIA（2022）』

▼日時

（１日目）2022年1月20日　15：00～　（寺川貴也登壇）

（２日目）2022年1月21日　15：00～　

▼URL

https://www.conferinte.ro/evenimente/pr-vacy_romania_2022

 

※　こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

＜お知らせ1＞

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

＜お知らせ2＞

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか？

＜お知らせ3＞

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

—

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

—

2020年7月25日の報告です。Shrems IIのケースに関連してEDPBがQ&Aを公表しました。

アメリカへのデータ移転はSCC + DPIA + DPAへのconsultationとするのが現状一番安全ではないでしょうか。

ちなみにBCRは有効ですが、ICO経由で承認されたBCRは継続的に有効とするためには再度EU域内の監督機関に依頼してアセスメントしなおさなければならないことになりました。