十分性認定取得後の『GDPR』対応
開催日 |
13:00 ~ 17:00 締めきりました |
---|---|
主催者 | 一般社団法人企業研究会 |
キーワード | 企業法務 |
開催エリア | 東京都 |
開催場所 | 【千代田区】企業研究会セミナールーム |
交通 | 【地下鉄】麹町駅・赤坂見附駅 【JR・地下鉄】四ツ谷駅 |
【受講対象】
法務部門、総務部門、情報システム部門、人事部門、監査部門など関連部門のご担当者
【講師】
弁護士法人 三宅法律事務所 弁護士 公認不正検査士(CFE)パートナー 渡邉 雅之氏
【受講料】
会員:34,560円(本体 32,000円)/一般:37,800円(本体 35,000円)
※会員価格適用については、企業研究会会員が対象となります。
(ご所属の企業様の会員登録有無がご不明な場合は、
すぐにお調べ可能ですのでお気軽にお問い合わせください。)
※最少催行人数に満たない場合には、開催を中止させて頂く場合がございます。
※お申込後のキャンセルは原則としてお受けしかねます。
お申込者がご出席いただけない際は、代理の方のご出席をお願い申し上げます。
【プログラム】
開催にあたって
2018年5月25日に、EUのGeneral Data Protection Regulations(GDPR:EU一般データ保護規則)が施行されました。
これにより、
①EUに拠点(現地法人・支店・駐在員事務所)のある事業者は同拠点において管理者(Controller)としての
対応、
②EUの拠点のために日本で個人データの処理を行う事業者は処理者(Processor)としての
対応、
③EUに拠点はないもののGDPRの域外適用を受ける事業者は管理者としての対応を、日本の個人情報保護法との
GAP分析を行った上で進めました。
GDPRの施行に伴い、プライバシー・ノーティスにどのような事項を記載すればよいか、適法な処理の根拠として同意と契約のどちらを利用すべきか、データ保護影響評価の必要な場合データ保護オフィサー(DPO)の設置の仕方など、GDPRの対応の実務が明らかになってきました。
また、EUから個人データの移転を受ける事業者は、(拘束的企業準則を適用している楽天グループを除き)
①標準契約条項(Standard Contractual Clauses:SCC)による対応、あるいは
②特例的に認められる根拠(「越境移転のリスク情報を提供した上でのデータ主体の同意」あるいは「契約履行
ために必要」)に基づくことに対応をしています。
もっとも全くGDPR対応をしていない企業も多くあります。ここにきて、2019年1月23日に日本は欧州委員会から十分性認定を取得し、個人情報保護委員会からはその対応のための補完的ルールを公布されました。
本講演では、日本が十分性認定取得後に、日本企業としてGDPR対応をどのようにすべきかについて分かりやすく解説いたします。
1.十分性認定と個人情報保護委員会の十補完的ルール
(1)十分性認定の意味合い十分性認定は越境データ移転が認められるだけで、管理者・処理者としての義務を
負う者についてはGDPR全体の対応が必要
(2)標準契約条項(SCC)の対応をしていた企業はそのままで、十分性認定対応に切り替えない方がよいか?
(3)特例対応(データ主体の同意・契約履行に必要)によっていた事業者は、十分性認定対応に切り替えるの
はマスト?
(4)個人情報保護委員会の補完的ルールへの対応
1)上乗せ措置に対応した個人情報取扱規程・匿名加工情報取扱規程の雛型を提示
2)EUからの移転に関する「取得の経緯」の記録義務は、確認・記録義務編のガイドラインで解釈上、
確認・記録が不要とされている場合も必要か
3)匿名加工情報に関して、加工方法等情報も削除する対応は本当に可能か?実務的にどのような対応
をすべきか
(5)十分性認定と同時に行われる個人情報保護法の「外国の第三者への個人データの提供」に関するEU加盟国
の告示指定
2.GDPRの管理者・処理者となる場合の実務対応
(1)十分性認定を取得しても管理者・処理者に該当する場合は対応が必要地理的適用範囲に関するガイドライ
ンを分析
(2)処理の原則・適法な処理
~「同意」と「契約」は両立しないことに注意が必要
~ 従業員については「同意」を根拠にすることは困難
(3)プライバシー・ノーティスやCookie対応を具体的実例(Google、Amazon、Facebookほか)を収集し、
ガイドラインに基づき解説
(4)データ主体の権利
~ データポータビリティ権についてガイドラインに基づき詳細解説
(5)技術的・組織的安全管理措置…個人情報保護法とそれほど違いなし
(6)データ保護オフィサー(DPO)の設置に関する具体的対応・・・ガイドラインに基づく対応
3.中国、米国、ロシア等の個人情報保護法制について横断的に解説