? 目前に迫る GDPR の 適用開始 対応準備は 万全ですか 2

Similar documents
プライバシーポリシー EU 版 /GDPR 対応 株式会社オールアバウトライフワークス ( 以下 当社 といいます ) は 個人情報保護の重要性を認識し 個人情報保護に関する方針 規定及び運用体制を含む個人情報保護に関するマネジメントシステムを確立 運用し 適切な取扱いと継続的な改善に努めることを目

a. 氏名及び住所の詳細 b. メールアドレス c. ユーザー名及びパスワード d. IP アドレス e. 雇用に関する情報 履歴書 3.2 当社は 当社サイトを通じてパスポート情報や健康データなどのセンシティブな個人データを収 集することは 適用プライバシー法令の定める場合を除き ありません 3.

ます 運送コンシェル は会員の皆さまの IP アドレス クッキー情報 ご覧になった広告 ページ ご利用環境などの情報を会員の皆さまのブラウザから自動的に受け取り サーバ ーに記録します 取得情報の利用目的について 運送コンシェル または 運送コンシェル が認める団体( 以下 運送コンシェル 等 とい

さらに 当社は 本 Web サイト向上による正当な利益に基づき さまざまな種類の Cookie を利用して 閲覧者の記録を維持します Corning が使用する Cookie の種類 Cookie の使用方法 および Cookie の利用制限オプションの詳細については ここをクリックして Corni

拍, 血圧等 ) を, ユーザー本人または当社の提携先からと提携先などとの間でなされたユーザーの個人情報を含む取引記録や, 決済に関する情報を当社の提携先 ( 情報提供元, 広告主, 広告配信先などを含みます 以下, 提携先 といいます ) などから収集することがあります 4. 当社は, ユーザーが

プライバシーポリシー 発効日 :2017 年 12 月 本ポリシーはウルルン河口湖が所有し 運営する に適用されます 本ポリシーは ユーザーが のウェブサイトで提供する個人情報を当施設がどのように

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

個人情報の活用と越境移転に関する 2 つのトピックス 人事制度のグローバル化のためグローバル人事システムを構築 顧客の情報をグローバルに収集 分析し 事業戦略の構築や新サービスに利用 日本でシステムを構築 運用する 米国などにデータセンターを持つクラウドサービスを利用する 欧州に従業者がいる場合 E

とはありません 5. 個人情報の利用目的 (1) 当社は お客様よりご提供いただいた個人情報を次の目的のために利用いたします 第二種金融商品取引業および当該業務に関連 付随する業務を行うため 金融商品 ( ファンド ) 第二種金融商品取引業に関する情報を提供するため 取引時確認を行うため お客様との

ホームページ・ビルダー サービス「ライトプラン」

【PDF】MyJCB利用者規定(セブン銀行用)

ホームページ・ビルダー サービス「ライトプラン」

プライバシーポリシー ( 個人情報保護に関する基本方針 ) 株式会社ビットポイントジャパン ( 以下 当社 といいます ) は 個人情報の保護とその適正な管理が重要であることを認識し 個人情報の保護に関する法律 ( 以下 個人情報保護法 といいます ) 関連法令 ガイドラインその他の規範を遵守すると

modere.co.jpをご利用いただきありがとうございます 当社では オンライン利用時におけるお客様のプライバシーの重要性を理解しております お客様のプライバシーを保護するための取り組みとして 当社では当プライバシーポリシー ( 以下 当ポリシー ) を採用しております なお 当ポリシー内で使われ

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

プライバシーポリシー

2-3. 上記 2-2 以外の利用目的は以下の通りです 利用目的対応する利用者情報の項目 (1) 当社のサービスに関連して 個人を識別できない 端末情報形式に加工した統計データを作成するため ログ情報 Cookie 及び匿名 ID 位置情報 (2) 当社又は第三者の広告の配信又は表示のため 端末情報

人類の誕生と進化

privacy policy

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

個人情報の取り扱いについて TaoTao 株式会社 ( 以下 当社 という ) は お客様が安心して当社のサービスをご利用いただけるよう 個人情報保護方針に基づき お客様の個人情報 個人番号 特定個人情報 ( 以下 ここではすべてを総称し 個人情報 といいます ) のお取扱いに細心の注意を払っており

Microsoft Word - TechStarsプライバシーポリシー.docx

Juniper パートナーアドバンテージプログラムについて a. 概要 Juniper パートナーアドバンテージプログラムは ジュニパーネットワークスが 弊社製品を販売いただくパートナーの皆様に参加頂くために用意した世界共通のプログラムです パートナーとしてご登録頂きますと 弊社から各種情報をご提供

ホームページ・ビルダー サービス「ライトプラン」

<4D F736F F D E518D6C C A95CA93595F8CC2906C8FEE95F182CC8EE688B595FB906A816982D082C88C60816A2E646F6378>

特定個人情報の取扱いの対応について

privacy.pdf

リージャスグループの個人情報保護方針

特定個人情報の取扱いの対応について

まもりすまいオンラインサービス 基本編

点で 本規約の内容とおりに成立するものとします 3. 当社は OCN ID( メールアドレス ) でログインする機能 の利用申込みがあった場合でも 任意の判断により OCN ID( メールアドレス ) でログインする機能 の利用をお断りする場合があります この場合 申込者と当社の間に利用契約は成立し

マイナBANK|コールセンターよくある質問集-従業員編-2016年3月

Microsoft PowerPoint - interfax_jirei7.ppt [互換モード]

Webエムアイカード会員規約

スタートガイド〈サービス利用準備編〉

Microsoft Word - Outlook 2003 Senario.doc

1

ユーザー一覧をファイル出力する ユーザーを検索する 登録したユーザー数を確認する

内容 第 1 章 - 貴社の情報を必要となる理由? 第 2 章 - サプライヤ安全管理ツールから送信される電子メール通知 電子メールが迷惑メールフォルダに入る場合の処理方法 第 3 章 - サプライヤ安全管理ツール (SVAT) へのアクセス 第 4 章 - サプライヤー更新フォームの記入 サプライ

記 1. 適用対象本通知は 製造販売業者等が GPSP 省令第 2 条第 3 項に規定する DB 事業者が提供する同条第 2 項に規定する医療情報データベースを用いて同条第 1 項第 2 号に規定する製造販売後データベース調査を実施し 医薬品の再審査等の申請資料を作成する場合に適用する GPSP 省

B リーグは この方針を実行し個人情報を適切に取り扱うため 個人情報保護規程その 他の規程を策定 改訂し それらの規程に基づいて個人情報を取り扱います 公表事項 1. 取得する個人情報の利用目的 ( 法 18 条第 1 項 ) B リーグの活動範囲内において保存 活用 分析を行うためお客様から請求さ

個人データの安全管理に係る基本方針

metis ami サービス仕様書

個人情報保護方針の例

プライバシーポリシー

業務委託基本契約書

6 ログオンパスワード なお 契約者は端末からの操作により ログオンパスワード を随時変更することができます (2) 利用口座のキャッシュカードの暗証番号を当行所定の回数以上誤ってキャッシュカードが利用不可となっている場合およびキャッシュカード喪失が当行に届出られている場合 利用登録はできません (

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

Privacy Policy Code of Ethics - JP

個人情報分析表 類型 K1: 履歴書 職務経歴書 社員基礎情報 各種申請書 誓約書 同意書 入退室記録 教育受講者名簿 理解度確認テスト 本人から直接取得 社員管理に利用する 保管庫に保管する 廃棄する 残存 1. 同意を得ないで取得する 1. 目的外利用する 1. 紛失する 1. 廃棄物から情報漏

対イラン制裁解除合意履行日以降に非米国企業 が留意すべきコンプライアンス要件 2016 年 11 月 日本貿易振興機構 ( ジェトロ ) ドバイ事務所 ビジネス展開支援部ビジネス展開支援課

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

はじめに パスワードセキュリティは 今日の情報セキュリティが直面している最も重要な問題の1つです 2017 Verizon Data Breach Reportによると 情報漏えいの81% はパスワードの脆弱さや盗難がきっかけで発生しています これらの問題を解決するため 多くの組織が多要素認証 (M

アルファメール 移行設定の手引き Outlook2016

2015 年 2 月 ボリュームライセンスサービスセンターで Online Service をアクティブ化する Open プログラムのお客様は VLSC の新しい [Online Service のアクティブ化 ] セクションのシンプルなプロセスに従って マイクロソフトボリュームライセンスサービスセ

個人情報保護規定

V-CUBE One

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

<4D F736F F D F8E598BC6906C834E D8DDA B837C815B838B95D233817A2E646F63>

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

HP Touchpoint Manager Windows 10 Mobile 登録手順

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

他者から収集した情報 弊社はお客様から直接収集した個人識別情報の他に 第三者から個人の情報を入手するこ ともあります 弊社は 取得した情報を自ら収集した情報と同じように取り扱い このプ ライバシーポリシーで許諾される場合を除いて かかる情報を第三者と共有しません 個人情報の利用目的 ご購入 ご登録い

パワーポイントの品質と生産性を向上させるデザイン・テンプレート

プライバシーポリシー Robert Bosch GmbH ( 以下 Bosch または ボッシュ または " 当社 ") の基本方針 当社は 顧客の個人情報を取り扱う際は細心の注意を払い プライバシーおよび取引情報の保護のために 最善を尽くします 当社は 個人情報を法令に従って取り扱い 紛失および漏

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

Cisco ViewMail for Microsoft Outlook クイックスタートガイド (リリース 8.5 以降)

Microsoft Word Aプレスリリース案_METI修正_.doc

agenewsプライバシーポリシー_0628_テキスト形式

システム管理マニュアル

Microsoft Word - XOOPS インストールマニュアルv12.doc

法第 20 条は, 有期契約労働者の労働条件が期間の定めがあることにより無期契約労働者の労働条件と相違する場合, その相違は, 職務の内容 ( 労働者の業務の内容及び当該業務に伴う責任の程度をいう 以下同じ ), 当該職務の内容及び配置の変更の範囲その他の事情を考慮して, 有期契約労働者にとって不合

2014 年 11 月 ボリュームライセンスサービスセンターで Online Service をアクティブ化する Open プログラムのお客様は VLSC の新しい [Online Service のアクティブ化 ] セクションのシンプルなプロセスに従って マイクロソフトボリュームライセンスサービス

目次 1. 教育ネットひむかファイル転送サービスについて ファイル転送サービスの利用方法 ファイル転送サービスを利用する ( ひむか内 ) ファイル転送サービスへのログイン ひむか内 PCでファイルを送受信する

Microsoft Word - ○指針改正版(101111).doc

日商PC検定用マイナンバー_参考資料

TPT859057

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

Microsoft Word _3.docx

LCV-Net セットアップガイド Windows 8

Apresentação do PowerPoint

PowerPoint Presentation

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

スライド 1

(Microsoft Word - \201iAL\201jAG-Link\227\230\227p\213K\222\350.doc)

Office 365監査ログ連携機能アクティブ化手順書

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

( 注 ) 役務の提供を受ける者の本店又は主たる事務所が日本にあれば課税 ということですので 国内に本店がある法人の海外支店に対して インターネットを介してソフトウェア等を提供した場合は 提供者が国内 国外いずれの事業者であっても国内取引に該当し消費税が課税されます ( 国税庁作成の 国境を越えた役

変更履歴 日付 Document ver. 変更箇所 変更内容 06/7/.00 - 新規作成 06/8/9.0 管理プロファイルを登録する Web フィルタリング の記載を追加 07//6.0 全体 連絡先ポリシーを共有アドレス帳に変更 全体 参照 以下 等に係る記載揺れの統一 07/0/.03

< F2D8EE888F882AB C8CC2906C>

事故前提社会における           企業を支えるシステム操作統制とは

Edyメールマガジン利用規約

FUJITSU Cloud Service ヘルプデスクサービス仕様書

新規パートナー登録手順書 ヴイエムウェア株式会社年月

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

(GDPR 第 9 条および第 10 条 ) に従って 労働組合の加入状況 宗教的見解 健康状態といった機微 情報を処理します 当社は 正当な利益を追求し お客様に適切なサービスと製品を提供するために必要な 以下に詳 述する目的でお客様の個人情報を収集し 処理することがあります 当社サイトのコンテン

また 営業秘密の取扱いについても 社内の規程を整備することが秘密情報の流出時に法的保護を受ける上で重要であることから 今回の職務発明規程の整備に併せて 同期間 IN PITでは 営業秘密管理規程を含む企業の秘密情報管理体制の構築に関する情報提供や周知活動も積極的に行っていきます ( 本発表資料のお問


インターネットのご案内

3. 第三者への提供 ご提出いただいた個人情報は 以下掲げる場合に限って第三者に提供させていただくこと があります 個人情報の類型当社グループのサービスをご利用の方の個人情報当社グループへ入社を希望される方の個人情報上記以外で 当社グループへお問い合わせされた方の個人情報 第三者に提供する場合 1.

Transcription:

いち早く 先手必勝! 基礎から学ぶ GDPR 早分かりガイドブック GDPR って何? うちは 対応しなければ ならないの? INDEX はじめに P2 GDPR とは P4 対象となる企業 P8 適用範囲 P9 Q & A 一覧 P10 GDPR 対応 P11 GDPR ( General Data Protection Regulation ): EU 一般データ保護規則 全体監修 : ギブソン ダン クラッチャー法律事務所ブリュッセルオフィスオブ カウンセル弁護士杉本武重氏

? 目前に迫る GDPR の 適用開始 対応準備は 万全ですか 2

はじめに 本冊子は GDPR の基本的な内容と対応が 必要となる主なケースについて 分かりやすく解説したガイドブックです 2018 年 5 月 25 日より 欧州連合 ( EU ) における 新しい個人データ保護法である GDPR ( General Data Protection Regulation:EU 一般データ保護規則 ) が適用開始となります GDPR は対象となる個人データの取り扱い場面が広く またビジネス規模や企業規模に関わらず適用の対象となるため 大企業だけでなく中小企業の皆様もその内容を正しく理解し 適用対象となる場合には 適切な対策を講じておく必要があります GDPR の対象となる企業が対応を怠った場合 気付かないうちに GDPR 違反を起こし 制裁金が課せられる恐れがあります 本冊子は 先手必勝でいち早く GDPR を基礎から学ぶ ために 基本的な GDPR の内容と対応方法について分かりやすく解説したもので 日本国内全ての企業経営者 / 管理者 / 従業員の皆様のお役に立つガイドブックです 注意事項 本冊子は 2017 年 11 月現在のものです 本書は一般的な情報提供の目的で作成されたものであり 法的アドバイスの提供を目的とするものではありません 3

GDPR とは? そもそも GDPR って何 GDPR は 2018 年 5 月 25 日に適用開始となる欧州連合 (EU) の新しい個人データ保護法です 組織の所在地に関係なく適用され 日本企業の多くも適用対象になることが予想されます GDPR は 欧州経済領域 (European Economic Area:EEA) における 個人データの扱いに関する新たなルールで その内容は 個人の個人データ保護に対する権利を 基本的人権の 1 つ であると位置づけ これを保護することに主眼を置いたものとなっています また GDPR では に事業所を持つ企業だけでなく EEA 所在者に商品 サービスを提供する企業 ( 受託業務も含めて )EEA 所在者に結び付くデータの収集 分析を行う企業も対象なり その組織の所在地に関係なく適用されることになります GDPR では個人の個人データ保護に対する権利は 基本的人権 法律も厳しく解釈され 適用される!? 今 なぜ GDPR EEA 全体で個人データ保護に関する取り組みを さらに強化するためです EEA にはいわゆる個人情報保護法として 1995 年から適用開始された EU データ保護指令がありますが 国内法の策定は EEA 各国に委ねられ 法律の内容も国によって異なるという問題点があると言われていました そこで 2016 年 4 月 14 日 個人データ保護に関する EEA 全体での取り組みを強化するために欧州議会で正式に採択されたのが GDPR で 2018 年 5 月 25 日からの適用開始が決定されました EEA 内の組織だけでなく 日本企業の多くも適用対象になる! P8 へ 注意点! GDPR への移行で で個人データを取り扱う組織には 新たな義務が多々発生する! EU データ保護指令から GDPR への移行に際して 最も特筆すべき変更点は GDPR では 個人が自分の個人データをより強力に制御できるようになるため 個人データを収集 処理 または分析する組織に 新たに多くの義務が課せられるようになることです また GDPR では EEA 加盟国のデータ保護監督当局に 法律に違反した組織に多額の制裁金を科する より強力な権限が付与されることになり GDPR に違反した企業 組織には 非常に高い制裁金が科せられる可能性があります 4

? GDPR では 具体的に何を定めているの GDPR では で行う個人データの 処理 と EEA 域外の第三国に個人データを 移転 するために 順守すべき法的要件を定めています GDPR でいう個人データの 処理 とは 個人データまたは個人データの集合に対して行われる単一もしくは一連の作業を指し 移転 については特に規定されていませんが 実際には EEA 域外の第三者に個人データの閲覧を可能にする行為だと言うことができます GDPR は における個人データの 処理 と 移転 に関する法的要件を定めたもの? GDPR における 個人データ って どんなもの 識別された自然人 (= データ主体 ) または 識別可能な自然人 に関連する あらゆるデータが該当します 端的に言えば 個人の特定に繋がるデータは全て 個人データ として見なされる ということです 個人データ は非常に広義に解釈できるため 一見個人的な情報には見えない情報も含まれる場合があります 例えば人物を含まない風景写真であっても その情報が識別可能な個人の口座番号や一意のコードと関連付けられている場合には 個人データと見なされます また個人の人種的または民族的出身 あるいは健康状態や性的指向などが明らかになるデータは 特別カテゴリの個人データとして 通常の個人データを処理する場合よりもさらに厳格な規則の対象となるので注意が必要です 個人の特定に繋がるデータは全て 個人データ として見なされる! GDPR における 個人データ の例 名前 識別番号 メールアドレス オンライン識別子(IP アドレスなど ) 従業員情報 販売データベース 顧客サービスデータ 顧客フィードバックフォーム 位置データ 生体認証データ CCTV 映像 ロイヤルティスキームの記録 健康診断の結果 個人の銀行口座の情報など 5

GDPR とは 個人データの 処理 って? 個人データの 移転? どういうこと についても 教えて 個人データ または 個人データの集合 に対して行われる 単一もしくは一連の作業 を指します GDPR での明確な定義はありませんが EEA 域外の第三国の第三者 に 個人データの閲覧を可能にする行為 だと言えます GDPR における個人データの 処理 の例 GDPR における個人データの 移転 の例 クレジットカード情報の保存 メールアドレスの収集 顧客の連絡先詳細の変更 顧客の氏名の開示 上司の従業員業務評価の閲覧 データ主体のオンライン識別子の削除 全従業員の氏名や社内での職務 事業所の住所 写真を含むリストの作成など 個人データを含んだ電子形式の文書を電子メールで EEA 域外に送付することなど GDPR における 個人 (= データ主体 ) 管理者 処理者 の関係 個人データ収集 処理契約 情報通知 個人データ開示 データ主体管理者処理者 管理者 : 個人データの処理の目的 手段を決める者 処理者 : 管理者の委託に基づき 管理者が決定した処理の目的 手段に従って個人データを処理する者 管理者自らが処理行為を行い 管理者と処理者が一致する場合もある 注意点! GDPR に違反した企業は 様々なリスクに直面することになる! GDPR の深刻な違反に対しては 多額の制裁金が科せられることになる可能性があり また GDPR に違反した組織に対しては 消費者および消費者の代表組織が損害賠償請求訴訟をまとめて提起できる権利が新たに与えられることになります 自社が GDPR の対象となるのか 対象となる場合にはどんな取り組みが必要なのかを十分に理解して 対応準備を進める必要があります GDPR 適用対象の詳細は P7 ~ 9 へ 6

? どんな企業が GDPR の適用対象となるの 規模 / 業種 / 所在地に関係なく の個人データを処理 / 移転しようとする企業は全て GDPR の適用対象となります GDPR は非常に広範囲にわたって適用されます EEA 域内に事業所を持つ企業に加え EEA 所在者に商品 サービスを提供する企業 EEA 所在者に結び付くデータの収集 分析を行う企業 ( 受託業務を行う企業も含む ) など の個人データを処理 / 移転しようとする企業は全て GDPR の適用対象となります に子会社や支店を持たない場合でも EEA 所在者に商品 サービスを提供する際に個人データを処理する日本国内の企業は GDPR の適用対象になる! GDPR の適用対象となる日本企業の例 GDPR の適用対象となる処理内容の例 に現地拠点 ( 子会社 支店駐在員事務所など ) を設置している企業 に現地拠点は設置していないが 域内で収集した個人データを日本で処理しようとする企業 の現地拠点の有無に関わらず 域内に個人データ処理用のサーバーやストレージなどの機器を設置している企業 の現地拠点の有無に関わらず 域内の個人に対して日本から直接 商品やサービスを提供している企業など メールマガジン配信用のデータベースに の個人が含まれる場合 の従業員に記名式アンケート調査を実施して個人データを取得した場合 で開催するセミナーの参加者に日本のサーバーを介して受講票を配信した場合 の販売代理店と個人データが関連する事項について契約した場合 の現地従業員が作成した提案書 のクラウドサービスを契約している場合など ユーザ企業からの委託を受けて個人データの処理を行う IT 企業も GDPR の適用対象になる! 7

あなたの会社は大丈夫? 例えばこんな日本企業が GDPR の適用対象になる! CASE 1 日本国内のサーバーを使って 世界に向けた EC サイトを運営している日本企業 日本 日本国内のデータセンタのサーバーで あるいは日本国内おいて取得される ことになります のサーバーを使って提供されるクラウドサービスを利用し今では大企業だけでなく中小規模の企業も 販路拡大のて 英語でも注文できる EC サイトを運営している場合 ために海外市場をターゲットとした EC サイトを立ち EEA 所在者が日本国内のサーバ (EC サイト ) に EEA 所在者の EEA 所在者からも注文を受ける可能性があります アクセスして個人データを入力上げて 商品やサービスを販売するケースが増えてきて個人データを取得その際に EEA 所在者は 品物を届けてもらうためにいますが うちは に子会社や支店が全く無いか EC サイトデータセンター自分の氏名や住所などを入力することになりますが ら大丈夫 とはならないことを十分に理解しておく必要この場合には EEA 所在者の個人データが EEA 域外にがあります ここが GDPR では 企業所在地 は本社関係ない! EEA 所在者 商品の発送 日本 倉庫 個人データの伝達 EEA 所在者が日本国内のサーバ (EC サイト ) にアクセスして個人データを入力 EEA 所在者の個人データを取得 EC サイト データセンター 本社 日本 EEA 所在者 商品の発送 倉庫閲覧 個人データの伝達 従業員 従業員 従業員 データ CASE データ データ 2A 国拠点 B 国拠点 C 国拠点 本社 の各国で収集した GDPR では 適用対象となる企業の規模に一切の制限を設けていません 現地法人ではなく 仮に駐在員が 1 名だけの現地事務所を設置している場合でも その駐在員が現地で情報収集などの活動を行い その一環として EEA 所在者と名刺交換し 名刺に記載されている会社名や住所 氏名などを現地でデータ化して保存 管理する 場合には GDPR を日本国内から閲覧の適用対象となります (= 個人データの処理に相当 ) CASE 1 の例も含めて GDPR では の個人データを処理 / 移転しようとする企業全てが適用対象となり 企業の規模や業種 所在地は一切関係ないという点が重要な留意ポイントです に駐在員 1 名の現地事務所を設置して 情報収集を行っている日本企業 ここが GDPR では 企業規模 も関係ない! 名刺交換 帰社後に個人データを保存 管理 EEA 所在者駐在者 (1 名のみ ) 現地事務所 GDPR への対応は優先順位を付けて制裁リスクの大きいところから! ここで紹介しているケースはあくまで一例です 本来ならあらゆるケースを想定して網羅的に GDPR 対応を進めることが理想的ですが そのためには膨大なコストとマンパワーが必要です 社外の法律事務所やコンサルティング会社の知恵も借りるなどして 自社が GDPR の適用対象となる場合でも 各国のデータ保護監督当局 (Data Protection Supervisory Authority) の制裁リスクの大小を踏まえた上で より優先順位の高いところから対応を進めて いくことが現実的です 日本 加工 閲覧 8 日本国内で一元管理

その処理内容は大丈夫? 帰社後に個人データを保存 管理 名刺交換例えばこんな処理 移転が GDPR の適用対象になる! EEA 所在者駐在者 (1 名のみ ) 現地事務所 CASE 1 のを 日本国内で一元管理する場合 グローバル展開のために世界各国に拠点を置き 併せて最適な人材活用を実現するためにタレントマネジメントを行う企業が増えています この時 のを日本国内の サーバーで保存 管理する場合にはもちろん個人データの 処理 と 移転 と見なされることになります 個人データは顧客関連のものだけではないということを再認識しておく必要があります のもまた 個人データ! 日本 加工 閲覧 日本国内で一元管理 A 国拠点 B 国拠点 C 国拠点 データセンター 本社 の各国からを収集 CASE 2 のを 日本から 閲覧 する場合 GDPR では個人の個人データ保護に対する権利を 基本的人権 と位置付けており 法律も厳しく解釈され 適用されることになります そのため のを日本国内に移転し 処理していなくても インターネット などを介して日本から域内のを 閲覧 するだけで GDPR では個人データの 移転 と見なされます この場合には現地 での GDPR 対応を考えるだけでは片手落ちになるので 十分な注意が必要です 日本から個人データを 閲覧 するだけでも 移転 になる! 日本 閲覧 A 国拠点 B 国拠点 C 国拠点 本社 の各国で収集したを日本国内から閲覧 覚えておこう! から個人データを域外移転するための SCC( 標準契約条項 ) SCC: いわゆる EU モデル契約条項 のことで EEA から移転される個人データが GDPR に準拠して転送されるように 移転元企業 - 移転先企業間の契約時に使用される標準化された契約条項 GDPR では からの個人データの移転を原則として禁止していますが 一定の法的要件を満たした場合に限り 域外への個人データの移転を認めています その方法の 1 つが 欧州委員会が策定した SCC(Standard Contractual Clauses: 標準契約条項 ) を含む個別のデータ移転契約を データ移転先の企業と締結することです データ移転を行う相手企業と SCC を含む個別のデータ移転契約を結ぶことで からの個人データの移転を合法的に行うことが可能となります また データ輸入者は SCC 上のデータ輸入者の義務に基づいて SCC で移転させる個人データを処理する社内体制を構築する必要があります 9

GDPR 早わかり Q & A 一覧 そもそも GDPR って何? ANSWE GDPR は 2018 年 5 月 25 日に適用開始となる欧州連合 (EU) の 新しいデータ保護法です 組織の所在地に関係なく適用され 日本企業の多くも適用対象になることが予想されます GDPR では個人の個人データ保護に対する権利は 基本的人権 法律も厳しく解釈され 適用される! 今 なぜ GDPR? ANSWER EEA 全体で個人データ保護に関する取り組みを さらに強化 するためです EEA 内の組織だけでなく 日本企業の多くも適用対象になる! ANSWER GDPR では 具体的に何を定めているの? GDPR では で行う個人データの 処理 と EEA 域外 の第三国に個人データを 移転 するために順守すべき法的要件を定めています GDPR は における個人データの 処理 と 移転 に関する法的要件を定めたもの ANSWER GDPR における 個人データ って どんなもの? 識別された自然人(=データ主体) または 識別可能な自然人 に関連するあらゆるデータが該当します 個人の特定に繋がるデータは全て 個人データ として見なされる! 個人データの 処理 って どういうこと? ANSWER 個人データ または 個人データの集合 に対して行われる 単一もしくは一連の作業 を指します 個人データの 移転 についても 教えて ANSWER GDPR での明確な定義はありませんが EEA 域外の第三国の第三者 に 個人データの閲覧を可能にする行為 だと言えます ANSWER どんな企業が GDPR の適用対象となるの? 規模 / 業種 / 所在地に関係なく の個人データを処理 / 移転しようとする企業は全て GDPR の適用対象となります に子会社や支店を持たない場合でも EEA 所在者に商品 サービスを提供する際に個人データを処理する日本国内の企業は GDPR の適用対象になる! 10

! 4 個人データの見える化 から GDPR 対応は先手必勝! 始めは GDPR 準拠に向けた つのステップ GDPR は データを収集 / 保存 / 処理する方法において 日本企業に大きな変革を要求する複雑な規定です 一方で GDPR が 個人データの保護に対する権利やセキュリティ コンプライアンスについて より高い基準を新たに設定するものであることは間違いありません 日本企業は今から GDPR への対応に取り組むことで 世界標準のデータ保護対策を いち早く確立することが可能となります まずは自社の 今 をチェック! 重要なデータがどこに存在し 誰がアクセスできるのかを把握できているか? リアルタイムのリスク評価に基づいたデータのアクセスコントロールができるか? 様々な場所やデバイス アプリケーション間におけるデータに対して ポリシーベースの分類や保護ができるか? データや ID の侵害を自動的に検出することが可能か? またそれらの事象が発生した場合に 適切な対応を取ることができるか? データに対する保護のポリシーや手順を 継続的に評価 / 更新しているか? 言われてみればできていない もしくは不安を感じたら次のページへ 11

GDPR 準拠に向けた 4 つのステップ 1 2 管理 検出 4報告 保有している個人データを識別し その保存場所を特定 必要な書類を保管し データ要求と侵害通知を管理 3 保護 個人データの使用方法とアクセス方法を管理脆弱性とデータ侵害の防止 検出 および対応を行うセキュリティ制御を確立 さあ始めましょう! マイクロソフトの GDPR サイト Microsoft Trust Center にアクセスして GDPR への準備状況を今すぐ評価 https://aka.ms/gdpr_ jp マイクロソフトの法人向けクラウドサービスの契約書には SCC( 標準契約条項 ) (P9 参照 ) を含んでいます またマイクロソフトは EU から米国へ転送される個人データの収集 / 使用 / 保持に関して米国商務省が定める 米国 -EU プライバシーシールドフレームワーク にも準拠しています オンラインサービス条件 https://www.microsoft.com/ja-jp/licensing/produ マイクロソフトの GDPR サイト Microsoft Trust Center GDPR E-book ct-licensing/products.aspx#ost GDPR が与える影響と準拠に向けた 4 つのステップ GDPR 準拠に向けた対応については下記パートナーまでご相談ください EY アドバイザリー アンド コンサルティング株式会社 EY の弁護士 IT 等の専門家が GDPR へのグローバルな支援をワンストップでご提供いたします URL https://www.eyadvisory.co.jp/ お問い合わせ先 AS-Markets@jp.ey.com ( または Web のお問い合わせフォームより ) KPMG コンサルティング株式会社 152 ヵ国のグローバルネットワークにより 個人データ保護法制への対応をご支援します URL kpmg.com/jp/cyber お問い合わせ先 cybersecurity@jp.kpmg.com PwC コンサルティング合同会社 PwC Global Network で培った GDPR のナレッジおよびメソドロジーを活用した対応策のご支援を提供します URL https://www.pwc.com/jp/ja.html お問い合わせ先 pwckk.microsoft.team@jp.pwc.com ( 掲載順 : 五十音順 ) Microsoft 365 に関する最新情報は https://www.microsoft.com/ja-jp/microsoft-365 をご覧ください 記載されている会社および 製品名は 各社の商標または登録商標です 記載されている情報は 2017 年 11 月現在のものです 製品の仕様は 予告なく変更する場合があります あらかじめご了承ください 製品に関するお問い合わせは 次のインフォメーションをご利用ください インターネットホームページ http://www.microsoft.com/ja-jp/ 日本マイクロソフト株式会社 0120-166-400 営業時間 : 月曜日 ~ 金曜日 9:00 ~ 17:30( 祝日除く ) 電話番号のおかけ間違いにご注意ください 108-0075 東京都港区港南 2-16-3 品川グランドセントラルタワー

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック