◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～ワシントンDCでのGlobal Privacy Summitについて～

この4月2日から4月5日にかけてアメリカのワシントンDCでGlobal Privacy Summitが開催されます。
SummitはIAPPが開催するプライバシーの国際会議で最も大きな会議で、
基調パネルにはEDPBの委員長であるAndrea Jelinek氏とSchrems裁判で有名なnoybのMax Schrems氏も登場します。
プライバシー専門家によるセッションは85セッション以上、
会場に出展しているプライバシーに関するサービスプロバイダーのブースの数は125以上とその規模の大きさがうかがえます。

私はこのGlobal Privacy Summitで提供されるアジアにおけるプライバシーコンプライアンスについてのセッションに参加させていただきます。
パネリストは韓国の個人情報保護委員長であるHaksoo Ko氏、
フィリピンの前個人情報保護委員会委員長であるRaymond Liboro氏、
オーストラリアで20年以上プライバシーの専門家として活躍してきたカナダ出身のNicole Stephensen氏と、
超がつく一流の専門家が並んでおり、そこに何故か私も加えていただいています。
このような多様な背景をもったパネリストによるパネルディスカッションは、プライバシーに関する問題の複雑な側面を浮かび上がらせてくれることでしょう。
モデレーターであるフィリピン人弁護士のJon Bello氏の人柄が実現したセッションです。

先日、このセッションに向けての事前ミーティングが開催されました。
ミーティングではアジアにもプライバシーの概念が根付いていることをどう伝えればいいのか、
アジアの多様性をどうしたらわかってもらえるのか、
GDPRに似せた法律が数多くあるにも関わらず欧米と視点が異なることをハイライトするにはどうすればよいのか、
とパネリストからはセッションに対する意見が活発に出てとても面白い時間となりました。
4月4日当日のセッションは当局の見方と民間部門で仕事をする専門家の両方の視点を得られると同時に、
アジアにおけるプライバシーの専門家の温度感を知ることができるような気がします。
日本企業にとってもアジア市場は大切な市場です。
DCに足を運ばれる方はぜひ聞きに来ていただければ幸いです。

実はRaymond氏からは5月に彼が開催するフィリピンでの国際会議にもお招きいただいています。
Raymond氏はプライバシー・バイ・デザインをアジアに根付かせようと本気で取り組んでいます。
気さくな方で、彼のプライバシーに対するパッションにはいつも刺激をいただきます。
こちらの会議についても話の内容が固まり次第お知らせします。

プライバシーの世界は横のつながりが強くフレンドリーな雰囲気があります。
IAPPのメンバーである日本の専門家のみなさんにも気さくで対等にお話をしていただける方が多い気がします。
プライバシー業界が生まれて間もないというのがその理由なでしょう。
私の感覚では、私たちプライバシーの専門家はまるで学友のようにプライバシーについて対等な立場で議論しています。
フラットなつながりは多様性を育み知識を深めてくれます。
プライバシーの問題は多岐にわたっているため、健全な社会の発展のためにもこの時間がもうしばらく続いてくれると良いと思っています。

▼IAPP Global Privacy Summit 2023
2023年4月2～5日の4日間
https://iapp.org/conference/global-privacy-summit/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜認証試験の勉強の仕方＞

テクニカ・ゼン株式会社は日本で唯一のIAPPオフィシャル・トレーニングパートナーとして、

CIPP/Eトレーニング、CIPMトレーニング、CIPTトレーニング、Foundationトレーニングを日本語で提供しています。

IAPPの認証はグローバルで活躍したいプライバシープロフェッショナルにとっては不可欠の認証です。

トレーニングの費用自体は決して安くないですが、それでも継続的にお申し込みをいただいています。

IAPPの認証を取得することは、それだけの価値があるものなのです。

 

当社もIAPPトレーニングを提供する事業者として、受講者の方が確実に認証試験に合格することをお手伝いしています。

当社はIAPPトレーニングの提供にとどまらず、IAPPトレーニングの受講後フォローアップ講習を行う他、認証試験準備講座も提供させていただいています。

(認証試験準備講座の詳細はこちら→　https://technica-zen.com/exam-preparation/　)

希望される方にはアドホックで学習をサポートし、受講生の方が確実にIAPPの認証試験に合格できるまでお手伝いさせていただいています。

昨年4月にトレーニング提供を開始してから9か月が経過しましたが、その間に3名の方が認証試験に一度目の挑戦で合格しました。

受講生の合格の報告があれば、スタッフ一同自分たちのことのように喜んでいます。

今も6名の方の認証試験の勉強をお手伝いしています。

 

IAPPトレーニングは認証試験のBody of Knowledge(知識体系)に合致した内容となっているのですが、

残念ながらIAPPトレーニングを受講するだけでは認証試験に合格できるわけではありません。

受講後、問題演習やテキストを通じてポイントを自分なりに整理し、調査し、ようやく合格できます。

仕事をしながらだと、これがなかなか大変です。

家庭もあり、仕事も忙しいなか勉強を続けられている受講生の皆さんには本当に頭が下がる思いです。

 

当社が受講生にお勧めしている認証試験の勉強は、各認証試験の問題演習を行うことです。

IAPPの試験は公開されていないことになっているのですが、なぜかオンラインでIAPPの試験対策問題集が発売されています。

こういった問題集に掲載している問題は解答が怪しいことも多く鵜呑みできないのですが、学習のムラをなくすためには有用です。

当社もこういった問題集から問題をキュレーションし、必要に応じて手直しをしながら受講生の方に解いていただいています。

CIPP/Eに合格された方の一人は「問題演習と法律の原文を読むことにつきる」と言っていましたが、私もその通りだと思います。

テキストを最初から最後まで読んで理解を深めるということは正攻法ではありますが、

400ページ近い英語のテキストを頭に入れることはなかなかできることではないと思います。

 

IAPPトレーニングをしていて思うことは、

認証を取得するということはあくまでもプライバシープロフェッショナルとしてキャリアを積み上げるためのワンステップでしかないということです。

認証とは本来対外的に自分の能力を示すための仕組みでしかないので、その証明を得た後にどんな仕事をするかがより大切です。

IAPPトレーニングの良いところは、グローバルスタンダードであることと実務で役に立つことです。

受講生の方はほとんど全員「仕事に役に立ちます」と伝えてくれます。

アメリカの認証らしく、プラグマティックなトレーニングだということなのでしょう。

受講生はIAPPトレーニングを学ぶことによって、即席ではない原理原則に基づいた基礎が身につきます。

そして、これこそがIAPPや当社がトレーニングを通じて達成したいことのような気がします。

 

2023年もプライバシーにとっては重要な年になるでしょう。

当社では今年後半にCIPP/USトレーニングの開講も予定しています。

少々思い切った投資とはなりますが、ぜひIAPPトレーニングの受講を検討していただければと思います。

 

▼IAPP公式トレーニングについてはこちら

https://technica-zen.com/iapp-official/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜子供のスマホ＞

今年は私の子の一人が中学生になります。
私の家ではこれを機にスマートフォンを持たせようと考えています。
もちろんノートや筆箱を渡すように渡せるものではありません。
今回のメルマガでは、一人の親として、子どもにスマートフォンを渡す前に考えたことを紹介したいと思います。
プライバシーの専門家の端くれで、オンラインセーフティーにかかわる中、
多くの残念な現状を知る一人がどんな思考をするかは、読者の皆さんもきっと興味があると思います。

スマートフォンを渡すタイミングは以前から中学生からと考えていました。
中学生になる年齢は、子どもから大人へと育つ節目と感じるからです。
もちろん子どもの成長の度合いは一人ひとり違うので、目安としてそう考えているということです。
自分の将来が今の自分の選択で決まり、自分の時間をどう使うべきかと、
その使い方によってどんな未来を期待できるかについて話し合う用意が整い始める時が、渡しても良いタイミングのように感じます。

子どもにとって時間は無限です。
これは子どもの特権といってもいいことで、だからこそあらゆる可能性を試すことができます。
没頭するというのは、時間や生活という感覚を持つようになるとなかなかできないものです。
スマートフォンを渡すうえで私が一番気にかけたのは、
スマートフォンが子どもから可能性を試す時間を奪わないということです。
大人の私たちがよく知っている通り、スマートフォンを通じて提供されるサービスの多くは、
広い意味で「時間つぶし」のためのサービスといえないこともありません。
それ自体は決して悪いことではありませんが、
「時間つぶし」にかまけて可能性を試す子どもの特権を制限してしまうのは、あまりにも勿体ないと思います。

もう一つ子どもにスマートフォンを渡す際に伝えたいことは、実世界での体験を優先するということです。
人と人との関係の基礎は、言葉だけではない、視覚、聴覚、嗅覚、触覚、味覚といった五感の他、第六感にも依存しています。
スマートフォンを通じて得られるのは限定的な世界の体験です。
限定的な世界の体験が、子どもの体験のすべてとならないように注意を払う必要があると思います。
オンラインの先にいるのはリアルな人です。
そのリアルな人に対する想像性は、実世界での体験を通じて育まれる部分が多いように感じます。
相手を尊重する、信頼できる相手を見分けるという能力を育むことが必要です。

プライバシーの観点からは、写真や動画の共有を原則禁止することにしています。
写真や動画には、イメージの他にもGPSデータや撮影時のタイムスタンプ等豊富な情報が含まれています。
写真や動画の送信は、個人とその画像に写る人々の詳細情報を拡散する行為ともいえるため、
自分だけでなく友人や家族をも危険にさらす可能性のある行為といえます。
一度外部に送信されたデータを元に戻すことはできません。
悪意のある人々や利益のみを追求する企業によって画像データを解析される、加工される、意図せぬ拡散をされる、といったことは日常的に行われています。
わざわざ自分や大切な人を脆弱な立場に追い込む必要はありません。

最後に、いじめや嫌な体験、怖い体験があったらすぐに親に相談することを約束させることにもしています。
オンラインのいじめで子どもが自殺に追い込まれるのは、相談相手がいないことが原因です。
人生経験がまだ十分でない中、One more choice(選択肢)がなくなってしまうと、
極端な手段が唯一の解決策に思えるものです。
問題があれば、問題を見つめる視点を広げる必要があります。
親や良識のある大人は子どもたちの支えとなり、One more choiceを与えられる存在である可能性があります。

注意したいのは、極限状況での相談は本当に信頼できる相手にしかできないということです。
私たち親も、子どもに何かあった時に話してもらえるような存在でなければ相談してもらえません。
信頼してほしいのであれば信頼できる存在にならなければいけないのです。
これは簡単なことではありません。
良い親でありたいのであれば、日ごろから良い親であるために努力を重ねる必要があるように感じます。
親は子どもに育てられる部分もあるのです。

日本は子どもを守る法律が諸外国に比べると手薄に感じます。
オンラインの安全性を担保するための仕組みも一部の心ある人にゆだねられ、
取り締まる側にある立場の人間による犯罪までもが生じているありさまです。
親として子どものオンラインでの安全は、親が守るという認識がまだまだ必要です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜AIの時代へ＞

あけましておめでとうございます。
テクニカ・ゼン株式会社の寺川です。

今年の年末年始は比較的ゆっくり過ごすことができました。
普段なかなか読むことができない本を読み、映画を見て過ごすことができたので、
充実した休みだったと思います。
今年は大学での講義に始まり、ワシントン、シンガポールでの発表と
対外的にお話しさせていただく機会がいくつかあります。
こういった貴重な機会に充実した内容のお話を提供できるよう準備を進めています。
ホームページ等で周知していますので、読者の皆さんも機会がありましたら是非ご来場ください。

2023年は新年早々にMeta社に対するDPCの重要な判断があり、
引き続き多くのイベントがある年になることを示唆するようです。
今年の話題の中心の一つは、昨年に引き続き越境移転に関するトピックでしょう。
EU-USデータプライバシーフレームワークの十分性認定も高い確率で発効する他、
日本政府が推進してきたDFFTもグローバルCBPRの実現と共に大きな一歩を踏み出すのではないかと思います。
欧州ではクラウド事業者のための第三国移転に関する行動規範の認定に向けてScope Europeが動いています。
こちらも今年中に実現し、欧州初の越境移転の適法性の根拠となる行動規範となるか可能性があります。
中国ではデータ移転の安全性評価や標準契約についてガイダンスの最終化されたものが出てくることが期待されます。

もう一つの話題の軸は、欧州でのAI法の制定でしょう。
欧州では今月からスウェーデンがEU理事会の議長国となります。
スウェーデンはこれに先立ち公表した政策優先事項で、AI法の導入を推進していくことに言及しています。
AI法に関しては、今年第二四半期頃にはトリローグに入ることができるのではないかというのが専門家の見解です。
欧州のデータ関連法は林立しており、スケジュールが見えにくい状況となっています。
参考までに、AI法に先んじて可決されているデータガバナンス法は2023年9月に、
デジタルサービス法は2024年2月に、デジタル市場法は2023年5月に施行されます。
関係する企業の方はそろそろ準備を進める必要があります。

個人的には、今AIに注目しています。

私たちの生活にはClearview AI社を通じて有名になった画像認識技術、
Amazon社によるアレクサ、Alphabet社によるGoogleスピーカー、
Apple社によるシリに代表される音声認識技術、採用の現場や保険の査定、
ローンの査定といった現場で活用されている自動化した意思決定、
翻訳ソフトで広く普及している言語翻訳と、すでに様々な形でAIが入り込んでいます。

例えば、自動化した意思決定で私たちが目にする情報を取捨選択されるようになっているとしましょう。
ウェブサイトで表示される記事もスマートテレビで流れるニュースも、
AI技術を活用して読み手の嗜好に合わせたものとなるかもしれません。
これは、ある意味合理的な情報収集法かもしれませんが、同時に情報の偏りと狭まりを意味します。
ある調査によると、Youtubeの広まりと共に地球が平らだと信じる人の数や陰謀論を信じる人の数が、
かつてないほど増えたといわれています。

情報は個人の関心の輪の外側にあることから補われることが多くありますし、
クリエイティブな仕事をしようと思う人は専門外の専門家との交流が欠かせません。
多様性は健全な生態系を維持するための基本条件の一つです。
AIの広まりと共に人々の間にOne more choiceがなくなると、
これは社会の崩壊を加速させるきっかけとなりかねません。
現在アメリカやブラジルで起きている出来事、そして日本でも増えつつある悲惨な犯罪を見ていると、
すでに社会に大きな影響を及ぼしているように感じます。

社会のインフラとなったデータにまつわる仕事は重要性を増しています。
私たちもデータに関わる会社の一つとして、
データの専門家の育成や、バランスの取れたデータ利活用の推進といった形で、
引き続き貢献していくことができればと考えています。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜2022年データプライバシー総括＞

当社から皆さんにお送りする情報も2022年の最終号となりました。

2022年は2月に始まったウクライナに始まり、安倍元首相の暗殺が発生する等

社会的に決して明るい年とは言えませんでした。

一方で、３年続いたCOVID-19パンデミックは終息に向けて各国が舵を切り始め、人の移動も少しずつ戻ってきました。

私も今年は２度シンガポールへの出張をしています。

燃料費の高騰や円安の進行等不確実な要素が多い状況は変わりませんが、

2023年に向けてビジネスの正常化が促進することを期待したいところです。

 

2022年もデータプライバシーにとってはイベントの多い一年でした。

日本では改正個人情報保護法が４月に施行されました。

中国、タイ、インドネシア、韓国、ベトナム、インドと日本と関係の深い国々では

データ保護に関する新たなルールの施行、法律の発効、成立、改正、廃止と活発な動きがありました。

欧州ではデジタル経済を推進するためにデータ市場法やデジタルサービス法といったデータ関連規制の整備が推進されています。

アメリカでは州法が引き続き制定されたほか、包括法の議論が深まりつつあるとともに

EU-US間での新たな越境移転メカニズムとしてEU-USデータプライバシーフレームワークが導入され、十分性認定の付与を待つ状況となっています。

セキュリティ対応で多く用いられるISO 27001とISO 27002も2022年に改訂されています。

ISMS認証を受けている組織や企業は対応が求められます。

 

こういった一連の動きからもわかるように、今は社会のデジタル化に向けて移行が急速に進んでいる時代と言えます。

基礎的な原理原則やデータ保護法、プライバシー保護法の整備を終え、

応用分野となるAI、IoT、BoT、Web3の分野での議論が盛んにおこなわれるようになってきました。

同時に、オンラインにおけるDigital well beingについての議論も2022年は活発に行われた年でした。

OECDのonline safetyのグループが積極的に各国のリーダーにインプットを行った結果です。

日本でも2023年4月に子ども・家庭庁が設立されます。当社としても何らかの形でこの分野に貢献したいと思っています。

 

私個人の話をしますと、今年は実りの多い年でした。

翔泳社から中国法に関する書籍を出す、オンラインの情報サイトへの寄稿を行うといった執筆面でのあらたな展開を迎えることができた他、

IAPPのグローバルカンファレンスでの発表や海外のハイレベルなインフォーマティブミーティングに

講師として参加させていただくといった貴重な経験をすることもできました。

また、欧州の行動規範やAPEC CBPR/PRP認証、シンガポールの認証、プライバシーシールド等、

世界中の重要な認証の取得についても実際に関与する機会を得ることができた年でもありました。

ローカルな活動ではオンラインセーフティについての会を始めて開催する等、より地に足を付けた活動も始まっています。

2023年に向けては、こういった活動を私個人やテクニカ・ゼンという会社のレベルからスケーリングして、

より多くの方が大切な問題にかかわり恩恵を得られる状況を生み出していきたいと考えています。

 

2023年1月にはアメリカからインターンとして若い方が加入してくれ、当社ビジネスのグローバル化に向けて第一歩を歩みます。

また、当社スタッフからもようやくIAPPの認証取得者が生まれましたので、

経験を積んでもらいながらより多くのお客様のお手伝いができるように会社の体力を底上げしようと計画しています。

 

こういった計画を建てていてあらためて確認するのは、当社がこうして意義のある仕事を続けることができているのは、

すべて仕事として関与する機会を与えてくださったお客様や応援してくださる方々のおかげだということです。

感謝の気持ちと謙虚さを忘れることなく、2023年も仕事に励んでいきたいと思っています。

2023年も引き続き当社をご愛顧いただけますようよろしくお願いいたします。

 

末筆となりましたが、読者の皆様におかれても、年末年始が皆様にとって心休まる時となることを願っています。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜法執行および国家安全保障のデータアクセスにおけるプライバシー保護措置に関する画期的な協定をOECDが採択＞

年末にかけて大きなニュースが続いています。

12月14日OECDのデジタル経済閣僚会議で
「法執行および国家安全保障のデータアクセスにおけるプライバシー保護措置に関する画期的な協定」が採択されました。
これは、国家安全保障や法執行の目的で個人データにアクセスする際に、
プライバシーやその他の人権および自由を保護するための共通のアプローチが政府間で合意されたことを意味します。
移転先の政府によるデータへのアクセスは、越境移転の際の大きな障壁として認識されてきました。
今回の協定には法的拘束力はないものの、OECD加盟国38カ国と欧州連合による大きな政治的コミットメントが達成された意味は大きいといえます。

12月13日に欧州委員会が”EU-U.S. Data Privacy Framework”への十分性認定の決定に向けた提案を行いました。
無効化されたプライバシーシールドに代わるものとして採択に向けて欧州域内でのプロセスが開始しました。
このプロセスでは第一段階として、欧州委員会はその決定草案を欧州データ保護委員会(EDPB)に提出します。
その後、欧州委員会はEU加盟国の代理人で構成される委員会の承認を得ます。
欧州議会は十分性認定を精査する権利を持っています。
欧州委員会は欧州議会からのコメントにもこたえなければなりません。
このプロシージャーが完了してはじめて、欧州委員会は最終的な十分性認定の採択に進むことができるので、
十分性認定の決定にはまだ数か月時間がかかる見込みです。

https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631

DFFT(Data Free Flow with Trust)の実現に向けて、世界は着実に前進しています。
来年5月広島で開催されるG7ではGlobal CBPRの実施等日本からさらに一歩踏み込んだ政策が発表されることを期待したいところです。

国際的なデータ移転や欧州のデータ保護について理解を深めるには、IAPPのCIPP/Eトレーニングが役に立ちます。
CIPP/E認証保有者となって、ぜひプライバシーの専門家のグローバルコミュニティに加わってください。
当社トレーニング受講生からも資格合格者が生まれています。

▼当社のiapp公式トレーニング
https://technica-zen.com/iapp-official/

▼関連サイト
https://www.oecd.org/newsroom/landmark-agreement-adopted-on-safeguarding-privacy-in-law-enforcement-and-national-security-data-access.htm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜Meta社の事例が教えてくれること　～個人データ保護対応は中身を問われる時代に～＞

寒さがすっかり増してきました。気が付けば12月に入り、今年も残すところわずか一か月です。
2022年もいろいろな出来事があり、あっという間に過ぎていった気がします。例年通り大変なことも良かったこともありました。
こうして仕事を続けさせていただいているお客様、そしてメルマガの読者の皆様には心から感謝しています。

先日当社の会員サイトでMeta社に対するDPC(アイルランドの監督機関)の制裁事例を紹介しました。
過去の12件のデータ侵害に対する罰金として1700万ユーロという巨額の制裁金が科されたという事例です。
私たちが制裁事例に目を通すのは、制裁金の大きさで企業を驚かせるためではなく、事例を通じて当局の考え方や姿勢を知ることができるからです。

今回のMeta社の事例は個人データ保護対策の「実証」(demonstration)が着目された事例でした。
DPCは決定の中で、繰り返しMeta社の実装している仕組みやアプローチ、対策の水準の高さを認めつつも、
「技術的・組織的セキュリティ措置の実施状況について、効果的に実証するための十分な情報が提供されていない」と指摘しています。
結果的に12件のデータ侵害を起こしてしまう欠陥のある対応だったと暗に指摘しているわけです。
個人的には、Meta社のような先進的な取り組みを進めている会社の場合、未知の問題に遭遇することも多く、完全を期することはできないと考えています。
これを厳しく取り締まると、企業にとっては委縮効果となってしまわないか少し心配です。規制は時に技術の発展を過度に減速させます。
ブレーキを踏むのは重要ですが、踏み続けると組織にとっても社会にとってもリスクをもたらします。

ともあれ、Meta社のように社会的に大きな影響力のある企業が取り締まりの対象となるのは、
それをもって当局としての明確なメッセージを伝えるという意図もあるはずです。
GDPRが施行されたばかりの2018年は、まず「体制整備」を行っていればよいという空気がありましたが、
今回の決定はそこからさらに一歩進んだものと言ってよさそうです。
今後は「実証」できることがより要求されるようになるのではないかと感じています。

実は、当社が今関わっているいる案件でも同様に「実証」について取り組んでいる事例があります。
何をしていれば「実証」していることになるのか、というのはなかなか難しい課題です。
Meta社の決定を見る限りは、きめの細かいマネジメントを要求されていることがうかがえます。
これをきっかけにプライバシーマネジメントソフトの導入が進むかもしれません。
同時に、作業が膨大となる中、コンプライアンス対応の効率化も重要なテーマとなるような気がします。

これは来年の話になりますが、当社のかかわるプロジェクトで中国やWeb3の分野でのコンプライアンス対応についてのウェビナーが予定されています。
また、4月にはワシントンDCでグローバルコンプライアンスをテーマに話をする機会をいただいています。
こういった機会を通じ、今後のコンプライアンスの在り方を少しでも紹介していければと準備をしています。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜DPOサービスについて＞

私たちの会社はコンサルティングサービスを行っているので「これ」と決まったサービスがあるわけではありません。
会社が専門とするトピック、私たちの場合はデータプライバシー、データセキュリティ、データガバナンスといった分野に関連してお客様の課題をお伺いし、
その解決のための取り組みをご一緒させていただくという仕事をしています。
お客様のお話を伺っているとその時々の関心が伝わってきます。
興味深いのは、お客様の関心事は同じ時期に同じ方面に向かっているケースが多いように感じることです。
最近多く相談を受けるのは、DPO(データ保護責任者)についてです。

DPOは欧州GDPRの施行と共に大きな関心を集めました。今では欧州以外でも数多くの地域でDPO任命が要求されています。
GDPRではDPOは次のような能力の持ち主であるべきだとしています。

・GDPRに対する深い理解と国内および欧州のデータ保護法と慣行に関する専門知識
・組織が個人データをどのように処理するかについての深い理解
・情報技術とデータセキュリティの理解
・組織と組織が運営する事業部門に関する十分な知識
・組織内でデータ保護文化を促進する能力

DPOは法規制のみならず情報セキュリティや組織運営についての知識をもち、かつビジネスの内容を正しく理解して当該組織にとって最適なデータ保護体制を実現できることが求められます。
また、高い独立性を持ち、正当な業務の結果行った判断を理由に解雇することができないという、護られた存在でもあります。

企業や組織にとっての悩みは、このような人材をどのように確保するのか、そしてこのような特権的な従業員をどう扱うべきか、といった点に収斂します。
欧州や北米では法律の知識が重視され弁護士資格を持った人がDPOとなることが多いようです。
ただ、彼らは技術的な理解が足りないという批判の対象ともなっています。セキュリティ担当者がDPOの役割を兼務するというケースもしばしばあります。
この場合は技術的なソリューションに拠りすぎる傾向があり、データ保護の精神が抜けてしまっているという批判の対象になっていることがあります。
データ保護/プライバシーの専門家というのは、従来の専門家の枠組みだけでは網羅できない独立した新しい専門職といってよいでしょう。

国外では今DPOサービスというものが広まりつつあります。DPOをアウトソースするというサービスです。
当社でも、海外のお客様を中心に利用が広がりつつあります。
プライバシーの専門家を雇うことが難しいという現状に加え、「解雇できない」という制約を多少緩和できる点がDPOサービスのメリットです。

知識や経験をアウトソースすることで短期的に補充するという考えは合理的です。
かなうことなら、DPOをアウトソースするのと同時並行で組織内に将来の人員を組織の中で養成するとよいでしょう。
DPOは本来組織内の人間が担うのがベストだからです。
外部委託でのDPOサービスの場合、「組織と組織が運営する事業部門に関する十分な知識」という点についてはなかなか組織内部の方に追いつくことはできません。

DPOサービスのメリットは「知識」と「経験」を外部から短期的に持ち込むことです。
DPOサービスを選択する際は、サービスを提供するコンサルタントが有資格者であることも大切です。
プライバシー業界が立ち上がって５年以上が経過しています。
我流ではない、業界のgood practiceを身に着けたコンサルタントから支援を受けたいものです。

社内のプライバシー専門家の育成やDPOの養成にはIAPPの公式トレーニングが有効です。また、当社のDPOサービスではIAPPの有資格者がお客様の業務を代行します。
ご関心のある方はぜひお問い合わせください。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜中国で個人情報処理についての認証活動が開始へ＞

プライバシーの仕事をしていてよいところは、常に新しいことが起き続けることです。ニューストピックも、始めた時はそんなに書くことがあるかと心配しましたが杞憂でした。毎回いくつかのトピックの中から書くべきことを選択するという状態です。

2022年11月18日に、国家市場管理局と国家インターネット情報局が、「個人情報保護認証実施についてのルール」を公布し、中国国内での個人情報認証に号砲をならしました。今回公布されたルールによると、越境移転を行わない場合にはGB/T 35273 「情報セキュリティ技術　個人情報セキュリティについての仕様」への遵守を、越境移転を行う場合には、GB/T 35273に加えてTC 260-PG-20222A「個人情報の越境処理活動セキュリティ認証についての仕様」に準拠することを求めています。

認証は3年間有効であり、認定を受けた第三者認証機関が「技術認証」、「現地監査」、「認証取得後の監督」の3つを行うことで運用されます。「技術認証」とはいわゆる(書類等による)「審査」です。「現地監査」とは審査機関がオンサイトでの「監査」を指します。「認証取得後の監督」はサーベイランスと呼ばれるもので、継続的に認証に関する水準を組織が維持していることを確認する作業を言います。

今回公布された認証制度は、ごく簡単にいうならば、中国版プライバシーマークと理解して問題ありません。もちろん、取得も任意です。

認証への注目が集まっていた理由の一つは、PIPL第38条第1項が越境移転を許容するための手段の一つとして「認証による適法化」を掲載していることにありました。中国国外の企業がこの「認証」を取得している場合、中国国内企業が中国国外企業への個人情報の移転を自由に行うことは可能となるでしょう。ただ、中国国外の組織が中国の認証を取得することは非常に困難です。(おそらく文書も中国語であることが求められることでしょう。) 実務面から言えば、「認証」をもとに中国個人情報の越境移転を行うことは無理がありそうです。

少し脱線しますが、よく聞かれる越境移転について簡単に触れておきます。中国の個人情報越境移転の規制はすべてのデータ移転を規制しようとしているわけではなく、「規制が必要な」越境移転についてのみ考えることを覚えておいてください。2022年7月7日に国家インターネット情報局が公表したQ&Aによると、「データ輸出に関する評価についてのガイダンス」が対象としているのは次の２つのケースです。

1）データ処理を行う者(いわゆる「管理者」)が中国国内業務で取得、生成したデータを国外に送信・保存するデータ
2）データ処理を行う者(いわゆる「管理者」)が取得、生成したデータが中国国内に保存され、中国国外の組織等がアクセス、あるいは呼び出すことができるデータ

越境移転が規制される理由は、データが外国の団体や人にアクセスされ、コントロール不能となるリスクが生じる可能性があるためです。データが国外に出なければリスクがないわけでもありませんし、国外に出るからと言ってかならずリスクがあるわけでもありません。事実、TCP通信のハンドシェイク等は越境移転規制の対象外です。越境移転規制について考える際は、データが国外に出ることによって生じる特定のリスクに焦点を当てるようにしてください。

認証の話に戻ると、現在中国では、「アプリの個人情報保護認証」、「データセキュリティマネジメント認証」、「個人情報保護認証」の3種類の認証制度があります。「アプリの個人情報保護認証」は本来「個人情報保護認証」に含まれているべきなのですが、アプリの規制が喫緊の課題となっていたため先に作られています。「データセキュリティマネジメント認証」はISO27000シリーズ等をベースとしたマネジメントシステムについての認証です。

認証は客観的に個人情報保護やデータセキュリティ対策を保証してくれる仕組みでもあるので、必要に応じて賢く取得しておくとよいでしょう。

▼関連サイト
https://mp.weixin.qq.com/s/aEbmbWUf4mEqyIiUPe0lIg

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

＜NTTデータの子会社への制裁＞

前回のAIポリシーの話題で紹介しようと思って忘れていたことがあります。それは、CAIDPのトレーナーから伝えられた次の言葉です。

”Lawyers first think if it’s binding or not, but policy makers first think if it support the democratic value or not”
(法律家は「拘束力があるか」をまず考えるが、ポリシーメーカーは民主主義の価値を支持するかをまず考える)

立場によって「かぶる帽子」(マインドセット)を切り替えるということのとても分かりやすい例で、勉強になりました。私たちは、「立場」によって話し方が変わります。そして、「立場」によってふさわしい考え方があります。これをうまく使い分けたいものです。

今日の本題ですが、2022年11月10日にNTTデータのスペイン子会社がスペイン監督機関であるAEPDから64000ユーロの制裁を受けたと日経新聞が報じていました。この判決は10月9日に出たものでArt. 5 (1) f) GDPR(機密性、完全性), Art. 32 GDPR(処理のセキュリティ)への違反に対するものです。具体的には、2021年9月の調査で発覚したEVERIS社(2021年10月までの社名、現在はNTTデータスペイン)の個人データ保護に対する技術的措置への不備に対する制裁措置でした。EVERIS社は2019年にランサムウェアの被害にあっており、これに対する制裁かと思われます。データ侵害により「保険会社のユーザーの販売データに関する情報と、保険会社のスペインの顧客の個人データの記録を公開」することとなったが、それを予防するセキュリティ対策が不十分だったということです。

日本の個人データ保護対応では、日本企業が制裁を受けたら他の企業も真剣度がさらに上がるといわれてきました。実際、このニュースを機にSNSで「日本でいっしょにビジネスをしましょう」と呼びかける日本のプライバシー関連企業もあり、他人の不幸をメシの種にするコンプライアンス系のコンサルティング会社の定石を再確認した気がしました。

今回の件に関しては、ランサムウェアで流出したデータへの保護不足というのが性質のようなので、保管データの暗号化等、流出を前提としたセキュリティ対策への移行を促すものと考えていただければよいのでしょう。エンドポイントセキュリティも重要ですが、サードパーティサービスを利用する限りはセキュリティホールはふさぐことができないため、なかなか悩ましいところです。

GDPRの日本企業への制裁として今回のケースは初めてのケースでしたが、シンガポールではPDPA違反ですでに数多くの日本企業が罰金を科されています。新聞やメディアはニュースになるものを報じます。ただ、実際のオペレーションはニュース性が重要なわけではないので、実際に影響をうける法域について、満遍なく目配りをしておきたいところです。

https://www.pdpc.gov.sg/All-Commissions-Decisions

もう一点付け加えておきたいことは、データ侵害や制裁を経験することは好ましいことではないものの、その結果として得られる組織の進化にも価値を見出しておくとよいということです。データ侵害や制裁のコストは、次のステージに上がるための授業料という側面もあります。NTTデータは現在、私が知る限り、とても先進的なセキュリティ対策を導入されている企業です。スペインの事例だけではないのでしょうが、学習され前に進んだ結果なのでしょう。

▼関連資料
https://www.aepd.es/es/documento/ps-00401-2022.pdf

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆