プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: プライバシー

UBER
(画像は日経新聞社ニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

米国ライドシェア大手の「Uber」社は、2016年に発生した大規模な個人情報流出事件を1年間隠ぺいしていた事件に関して、全米50州と総額1億4800万ドル(約170億円)の和解金を払うことで合意したとのことです。情報流出に関連する和解金としては米国で過去最大規模とのこと。

Uber社に関しては、当時から不祥事が相次いでおり、本件は経営陣が交代した後に発覚したもののようです。

https://www.nikkei.com/article/DGXMZO35808780X20C18A9TJ2000/

(私のコメント)
個人情報の取り扱いにおける違法行為に関して、今回のように多額の制裁が課せられることは、すでに米国や欧州では当たり前のこととなっています。欧州でのGDPR全面施行も話題になりましたが、海外にもビジネス展開されている場合には、より一層、しっかりした個人情報保護対策が求められることを意識していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




2018-09-13 12.59.46
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

以前から、何回も記事にしている「EUと日本の間の十分性認定」の件ですが、動きがあったようですので、情報共有しておきます。

(おさらい)
日本の新しい個人情報保護法、EUの新しいGDPRは、いずれも域外に個人情報を持ち出す際に厳しい制限を設けていますが、自国と同水準の保護法制を整備している場合には国単位で「十分性」を認定することで制限を緩和する規定を備えています。日本とEUは何年もかけて相互に十分性を認定するための作業を進めてきており、それが遂に実ることになります。


個人情報保護委員会は、9月6日付でプレスリリースを発表しました。その中で、欧州委員会が9月5日に日本に対する十分性認定手続きを開始すると閣議決定したこと、日本もEU側の十分性認定の決定に合わせて逆向きの十分性認定を行うこととしています。

また、これに先立ち、個人情報保護委員会は「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」 を発表しており、このルールを施行することがEUから十分性認定を受ける条件となっています。

※この補完的ルールは、もともと「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)」という名称で今年4月25日からパブリックコメントが募集されていたものでした。パブリックコメントの後、主にEU側からの要望に基づいてタイトルが変更されたものです。

個人情報保護委員会による報道発表
https://www.ppc.go.jp/news/press/2018/20180906/
個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

(関連記事)
GDPRに関して不安をお持ちの日本のビジネスマンの皆様へ
http://www.pmarknews.info/kojin_joho_hogo_ho/52077513.html
日本とEU、双方向で個人情報の取扱いに関する「十分性認定」を行うことで基本合意
http://www.pmarknews.info/kojin_joho_hogo_ho/52076413.html
GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に。
http://www.pmarknews.info/kojin_joho_hogo_ho/52073729.html
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
この手のものは何段階にもステップを踏んで進んでいきますので、どこで決定と認識するか難しいのですが、もうここまでくれば、十分性認定は決定と考えてよいと思います。ただし、十分性認定されたからと言ってGDPR対応は何もしなくていいということでもありません。EU居住者の個人情報を取り扱う企業としては一定の対応が必要ですので、そこは勘違いされないようにしてください。

また、何か情報が入りましたら、皆様にシェアいたしますね。








皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける新しい個人情報保護法制「GDPR(一般データ保護規則)」が5月25日から施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることについて、メディアでも多く報道されており、関心が高まっていると思います。

本来、これは国際法務、しかも個人情報保護という絞り込まれた分野の話になりますので、全貌を把握することがかなり困難な領域です。

その割には、有象無象の様々なところから、危機感をあおる情報ばかりが出てきておりますので、日本のビジネス界として過剰反応している部分があると思います。

これじゃいかん!

ということで、わたくしプライバシーザムライが、分かる限りの情報を分析し、日本のビジネスマンの皆さんとしてどのように動くべきか、取りまとめてみましたので、是非参考にしていただければと思います。

一言でいうと、過剰に反応する必要はないということと、全く新しい法律なので、誰も正解を分かっていないということです。

本当に助けてもらいたければ、国際法務に詳しい弁護士さんにお願いするしかないというのが私としての結論です。

https://www.slideshare.net/kojinaka55/gdpr-103532229
(全画面表示にしてスライド1枚目から順番に見ていってください)

また、何か情報が入りましたら、皆様にシェアいたしますね。





EU_JP
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

つい先日、「GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に」という記事を掲載したばかりですが、日本とEUの間での話し合いに大きな進展が出てきたようです。

5月31日に、個人情報保護委員会の熊澤委員と欧州委員会のヨウロバー委員が日本で会談し、日EU間の個人データ移転に関して、可能な限り早期に、日本とEUの双方が、互いに個人情報の取扱いに関する「十分性認定」を行うことで、基本的な合意に達したとのことです。

EU側が、新しい個人情報保護法制「GDPR」において「十分性認定」という考え方を採用しており、EUと同様の個人情報保護法制を取っている場合に限り国単位で十分性を認定し、EU居住者の個人情報を持ち出す場合に、本人の同意がなくても可能としていることを前回の記事で書きました。

一方で、日本も2017年に施行された改正個人情報保護法において、同様の「十分性認定」の考え方を採用しており、日本居住者の個人情報を持ちだす場合には同様の規制があります。

今回は、日本とEUの間で、相互にこの「十分性認定」を行う方向で作業を進めていくことが合意されたということです。

https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/

(関連記事)
GDPR全面施行の一方で、日本が国レベルでEUの十分性認定を得ることが現実的に
http://www.pmarknews.info/kojin_joho_hogo_ho/52073729.html
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
前の記事を書いたその日に実は会談が行われていたということで、タイミングが良すぎたなと思いました。EUからの個人情報の移転ばかりが気にされていますが、日本からの個人情報の移転も同じく気にするべきだなと思った次第です。

また、何か情報が入りましたら、皆様にシェアいたしますね。




28
(画面はガイドライン案の表紙です)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける新しい個人情報保護法制「GDPR(一般データ保護規則)」が5月25日から施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることについて、マスコミでも多く報道されており、関心をお持ちの方も多いと思います。

これに関して、興味深い動きがありますので、情報共有したいと思います。それは、日本が国レベルでのEUから「十分性認定」を受けられることがほぼ現実的になってきたということです。

以下、もう少し詳細にご説明しますね。

EU(欧州連合)は、他地域にさきがけ、個人情報保護法制を整備してきました。その中で「EU居住者の個人情報を持ち出す時には一定の条件が必要」としてきました。

その条件を分かりやすく集約すると
(1)持ち出す先の国がEUと同程度の厳しさの個人情報保護法制を持っていること
(2)持ち出す先の外国の事業者が一定のルールに基づいて体制を整備すること
(3)本人が明確に同意していること など
となります。

上記(1)の認定を国レベルで受けることを「十分性認定」と言います。国レベルで十分性認定を受けると、その国の企業は特別な手続きをせずにEUの居住者の個人情報を持ちだせるようになります。しかし、現在まで日本はこの十分性認定を受けていなかったため、企業単位で(2)の対応を行ってきていました。

昨年施行された日本の改正個人情報保護法は、EUの十分性認定を受けることを目標としていました。一方でEU側でも改正個人情報保護法制「GDPR」の施行がありました。この両者の整合性を取るべく、日本の個人情報保護委員会とEUの欧州委員会の間で、やり取りがなされてきました。

その結果、今回のガイドラインを国内に適用することで、日本は国レベルでEUの十分性認定を受けることができることになったようです。(どこにもそのようにはっきりと書いていないので分かりにくいのですが、今回のガイドライン案の発表はそういうことを意味しているようです)

今回のガイドラインの内容を簡単にまとめると下記のようになります。

個人情報の保護に関する法律についてのガイドライン
(EU域内から十分性認定により移転を受けた個人データの取扱い編)

(1) 要配慮個人情報(法第2条第3項関係)
 →性生活 、性的指向又は労働組合に関する情報を要配慮個人情報に含めること
(2) 保有個人データ(法第2条第7項関係)
 →6か月以内に削除する場合でも保有個人データに含めること
(3) 利用目的の特定、利用目的による制限(法第15条第1項・法第16条第1項・法第26条第1項・第3項関係)
(4) 外国にある第三者への提供の制限(法第24条・規則第11条の2関係)
(5) 匿名加工情報(法第2条第9項・法第36条第1項第2項関係)
 →加工方法等情報を削除した場合のみ匿名加工情報とできる

このガイドライン案については、既にパブリックコメントの受付が終了しており、間もなく正式発表がなされるものと思われます。

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000050&Mode=0

(関連記事)
EUの新しい個人情報保護規則「GDPR」が5月25日に施行〜個人情報保護委員会によるまとめのご紹介〜
http://www.pmarknews.info/kojin_joho_hogo_ho/52073485.html

(私のコメント)
遂に長年の懸案だった「EUの十分性認定」が現実のものになるということで、うれしく思います。なお、GDPRについては、私も完全に追いかけられていないのですが、皆さんちょっと騒ぎすぎかなと思っております。十分性認定が受けられば、SDPCもBCRも不要になるわけですしね。

また、何か情報が入りましたら、皆様にシェアいたしますね。

(追記)
ちょうどタイミングよく、このようなニュースが入ってきました。
EU、GDPRに基づく個人データの域外移転で日本の「十分性認定」を検討へ
https://japan.zdnet.com/article/35120097/



GDPRについて
(画面は個人情報保護委員会の資料より)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

EUにおける個人情報保護法制が新しくなり、5月25日から「GDPR(一般データ保護規則)」が施行され、EU居住者の個人情報を取り扱う企業に対策が求められていることをご存知の方も多いと思います。

●どんな企業が何らかの対応を求められるのか?
●対象となる企業が取るべき対策は何なのか?

これらの気になる情報について、個人情報保護委員会が分かりやすく取りまとめたものをウェブサイト上で公開していますので、本Blogでも共有します。

https://www.ppc.go.jp/files/pdf/eukojindata.pdf

(私のコメント)
既に対策を完了している会社も多いと思いますが、もしかしてまだフォローしていないという方がおられるかもしれないと思いまして、記事にしておきます。

また、何か情報が入りましたら、皆様にシェアいたしますね。




↑このページのトップヘ