Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

公開用EU一般データ保護規則への実務対応

GDPR
EU一般データ保護規則

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

  • Be the first to like this

公開用EU一般データ保護規則への実務対応

  1. 1. 0 EU一般データ保護規則への実務対応 TMI総合法律事務所 弁護士 大井哲也
  2. 2. 1 目 次 パーソナル・データ移転規制の適用場面 (日本企業の海外における拠点設立、インターネットでの海外向けのサービス提供)
  3. 3. 2 システム面での視点 1. 社内基幹システム(特に、人事情報を管理するシステム)の グローバル統合化案件 2. 各海外拠点のサーバを東京に一括集約する案件 3. クラウド・サービス導入案件 サービス面での視点 1. リアルの海外拠点設立 2. インターネットを利用した海外でのサービス提供の開始 3. クラウド・サービスを利用した海外でのサービス提供 世界各国に拠点やサービス提供している事業者
  4. 4. 3 1.ユーザ情報の保有事例 ① ソーシャル・サービスのグローバル展開 中国・台湾・韓国でのソーシャルサービスのユーザ情報を 日本(サーバは日本国内)で管理できるか? ② 日本のクラウド事業者のグローバル展開 日本のクラウド事業者が、日本以外の国でクラウドサービスを 提供する際に、日本以外の国の Personal data を日本又は、 米国のサーバで管理できるか? 案件事例紹介(1)
  5. 5. 4 2.社員情報の保有事例 グローバルに拠点を持つ日本の商社の基幹システム統合。 世界 60カ国に拠点を持つ商社の人事管理システムをシステム統合し、 日本(サーバは日本国内)で一括管理できるか? 基幹システムに商社のユーザ情報(パーソナル・データを含む)場合は、 システム統合できるか? どのような手段で、パーソナル・データ移転規制をクリアできるか? 案件事例紹介(2)
  6. 6. 5 EU データ 保護指令(規則)の解説 大きな誤解の例: × 2018年までにEU一般データ保護規則の対応を ○ 現時点でも、EUデータ保護指令に基づいて制定された 「EU各国の個人情報保護法」対応完了
  7. 7. 6 パーソナル・データの国外移転規制とは
  8. 8. 7 EU および英国ではデータ保護指令により、EU 内の住民のパーソナル・データに 関して、十分なデータ保護レベルを確保していない第三国への パーソナル・データの移動を禁止。 アルゼンチン、カナダ、スイスなどの限定された国での 個人情報保護法・プライバシー保護法は EU の基準をクリアしている。 “十分なデータ保護レベルを確保していない第三国”とは? • 日本の個人情報保護法 N G • 米国には、個人情報保護の包括法無し NG • その他の国のプライバシー保護法も EU の基準に見合ってない NG EU データ保護指令を含む各国の個人情報保護法対応
  9. 9. 8 指令:EU 各国に対して、指令に従った法令の制定を求めるにとどまる。 指令それ自体は、直接の法的効力がない。 ※ EU 内で、共通する項目が多いが、EU 内でも、統一されていないことに注意。 EU 各国の個人情報保護法をチェックし、クリアランスのためのアクションを 実行する必要がある。 規則:EU 各国に対して、直接の法的効力を持つ。 ※ EU加盟国内で、共通の規制となる。 2016年4月14日、欧州議会本会議で、General Data Protection Regulationが 正式可決し、2018年5月に効力発生。 EUデータ保護規則制定
  10. 10. 9 データの域外移転規制 ① 例外事由:データ主体の明確な同意 ② 例外事由:データの移転が公共の利益に基づく ③ 例外事由:データの移転が生存に不可欠な利益の保護に資する。 ④ 十分な保護措置:Standard Contractual Clause ⑤ 十分な保護措置:Binding Corporate Rules (BCR) ⑥ 十分な保護措置:EU-US間のプライバシーシールド 規則効力発生の影響(※指令から継続)
  11. 11. 10 EU データ保護指令の例外事由 ① 例外事由:データ主体の明確な同意 ②例外事由:データの移転が公共の利益に基づく ③例外事由:データの移転が生存に不可欠な利益の保護に資する。 その該当性を厳格に解釈すべき 「十分な保護措置」がとれない場合に限り、「例外事由」を検討する 。 EUデータ保護指令でのEU域外移転規制
  12. 12. 11 移転元と移転先との契約 EU データ保護指令が指定する標準ひな形を使用 ※実務的には、この保護措置を採用すべき Standard Contractual Clauses (processors) - Definitions - Liability - Details of the transfer - Cooperation with supervisory authorities - Third-party beneficiary clause - Governing Law - Obligations of the data exporter - Variation of the contract - Obligations of the data importer - Sub processing Standard Contractual Clause
  13. 13. 12 1. EU 域外への適用(日本所在の日本企業に適用される要件の拡大) [EU一般データ保護規則] ① 物理的施設(現地法人・支店・代理店・サーバなど) ② EU 域内に居住する個人に商品や、サービスを提供する場合 (例:インターネット・アプリによるオンライン・サービスの提供) ③ EU 域内に居住する個人の行動を監視する場合 (例:人事データ監視・アプリ・アドテク事業者のライフログのモニタリング) 規則効力発生への影響(1)
  14. 14. 13 1. EU 域外への適用(日本所在の日本企業に適用される要件の拡大) 例:日本企業がECサイトを構築して、直接EU居住者にサービスの提供をしている場合が該当す るが、EUに拠点などが設置されてなくとも、日本企業にEU一般データ保護規則が適用される。 インターネットサービスの事実認定 ← 世界のどこからでもアクセスし、発注することが可能な サービス形態 「EU域内いる情報主体(個人)に商品やサービスを提供する場合」に該当するか? 単に、Webサイトにアクセスできることや、メールアドレスや連絡先を記載し、 コンタクトできる状態にあるというだけでは不十分。 サイトの言語(例:英語、フランス語など)、 決済通貨(例:ユーロ建て)、 EU居住者向け顧客へのサービス(例:コールセンタ、物流網) 規則効力発生への影響(1)
  15. 15. 14 2. 消費者が自身のデータ削除を事業者に求めることができる 「削除権(忘れられる権利)」 - データの利用目的との関係で必要ない個人データを削除させる権利 - 個人データのリンク先、コピーについて削除要請を伝える義務 規則効力発生への影響(2)
  16. 16. 15 3. 越境適用されるケースにおいて規則違反の場合の巨額の制裁金 ・パーソナル・データの取扱いにおける同意取得などパーソナル・データ取扱いに 関する基本原則違反 ・データ主体たる個人に認められた権利を侵害 ・パーソナル・データのEU域外移転規制に違反した場合 2000万ユーロ又は世界での年間総売上金額の 4% のいずれか高い金額が上限の 制裁金が課される。 規則効力発生の影響(3)
  17. 17. 16 3. 越境適用されるケースにおいて規則違反の場合の巨額の制裁金 (i) から (iii) のような客観的な損害の大きさ、(iv) から (vi) のような違反者の事後的な対応 を総合的考慮して制裁金が決定される。 (i) 権利侵害を受けたパーソナル・データの性質・数、その損害の程度 (ii) 違反の性質・違反の重大性・違反事実の継続期間 (iii) 違反に対しての故意・過失の有無 (iv) 権利侵害後の個人が被る損害を軽減するための事後的措置 (v) 違反者が行った監督機関への協力の程度 (vi) 技術的・組織的安全管理措置に対する関与責任の程度 ⇒ 個人情報を保護するための安全管理措置の強化、EUの監督機関へのレポーティングライン を含む情報漏えいインシデント対応マニュアルの策定、その予行演習 規則効力発生の影響(3)
  18. 18. 17 4. データのセキュリティ対策、セキュリティ対策違反 個人情報保護管理機関・データ主体である個人両者に対して通知義務 パーソナル・データの漏えいなどのインシデントが発生した場合、データ管理者は、 インシデントを発見してから、72時間以内に監督機関へ以下の事項などを報告。 パーソナル・データの漏えいにより個人の権利侵害のリスクが高い場合には、 漏洩対象となった個人にも下記の (ii)、(iii)、(iv)の事項を報告する必要がある。 (i) 漏えいしたパーソナル・データの性質・カテゴリおよび件数 (ii) データ・プロテクション・オフィサの連絡先 (iii) パーソナル・データが漏えいしたことによる想定される影響(損害の発生) (iv) パーソナル・データの漏えいによる影響(損害)の軽減策 ⇒ EUの監督機関及び個人への報告体制[情報漏えいインシデント対応マニュアル]の整備 規則効力発生の影響(4)
  19. 19. 18 5. プライバシー影響調査 プライバシー侵害の高度な危険性がある場合に、 ① どのようなリスクがあるかを洗い出し(リスクアセスメント) ② それを回避・軽減する方策を提示する(リスクヘッジ手段の提示) ⇒ 第三者たるデータ保護分野の専門弁護士+セキュリティ専門機関に委任 (参考:マイナンバー法) 特定個人情報ファイルを保有しようとする又は保有する国の行政機関や地方公共団体等が、 個人のプライバシー等の権利利益に与える影響を予測した上で特定個人情報の漏えいその他 の事態を発生させるリスクを分析し、そのようなリスクを軽減するための適切な措置を講ず ることを宣言する。 規則効力発生の影響(5)
  20. 20. 19 6. データ・プロテクション・オフィサの選任義務 (i) 大規模かつ組織的なパーソナル・データのモニタリングを行う場合 (ii) 人種・民族、政治的見解など機微情報を含む特別のカテゴリに属する情報又は 犯罪関連情報を大規模な処理を行う場合 データ・プロテクション・オフィサ=情報セキュリティ法及び実務の専門的知見を 有する者 ・連絡先を公開し、監督機関に通知 規則効力発生の影響(6)
  21. 21. 20 11. データ・プロテクション・オフィサの選任義務 [職務] EU一般データ保護規則及びその他EU各国の法令において企業に要求される義務を 告知し、アドバイス、その遵守状況のチェック ⇒ EU一般データ保護規則及びその他EU各国の法令と実務対応に知見を有する者を 社内・外(※TMIで受任も可能)から選任 データ保護に精通している弁護士・外部専門家を起用 アドバイスを受けながら、職務遂行することなる。 規則効力発生の影響(11)
  22. 22. 21 主な取扱分野 専門分野は、M&A、IPO、企業間紛争・訴訟。 ・クラウドコンピューティング、インターネット・インフラ/コンテンツ、SNS ・アプリ・システム開発におけるプロジェクト管理・紛争処理・裁判 ・アドテクノロジーと個人情報保護規制対応 ・情報セキュリティ、情報漏洩インシデント調査・対応・第三者調査委員会 などの各産業分野における実務に精通し、情報セキュリティマネジメントシステム (ISMS)認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA) 法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を 歴任する。 日本経済新聞社2015年及び2016年「活躍した弁護士ランキング」
  23. 23. 2222 ご質問がございましたら下記まで TMI 総合法律事務所 弁護士 大井哲也 〒106-6123 東京都港区六本木6-10-1 六本木ヒルズ森タワー23F Tel:03-6438-5511 Mail:toi@tmi.gr.jp URL www.tetsuyaoi.com

    Be the first to comment

    Login to see the comments

GDPR EU一般データ保護規則

Views

Total views

2,300

On Slideshare

0

From embeds

0

Number of embeds

1,128

Actions

Downloads

11

Shares

0

Comments

0

Likes

0

×