金融財務研究会TOP > セミナー一覧 > 個人情報保護関連セミナー > GDPRはじめ各国の最新個人情報規制への実際対応

GDPRはじめ各国の
最新個人情報規制への実際対応

〜中国サイバーセキュリティ法、
カリフォルニア消費者プライバシー法まで〜

日時: 2019年4月17日(水)午前9時30分〜12時30分
会場: 金融財務研究会本社 グリンヒルビル セミナールーム
(東京都中央区日本橋茅場町1-10-8)
受講費: 34,800円(お二人目から29,000円)
(消費税、参考資料を含む)

講師 渡邉雅之(わたなべまさゆき)氏
弁護士法人 三宅法律事務所
シニアパートナー弁護士

 2018年5月25日に、EUのGeneral Data Protection Regulations(GDPR:EU一般データ保護規則)が施行されました。これにより、@EUに拠点(現地法人・支店・駐在員事務所)のある事業者は同拠点において管理者(Controller)としての対応、AEUの拠点のために日本で個人データの処理を行う事業者は処理者(Processor)としての対応、BEUに拠点はないもののGDPRの域外適用を受ける事業者は管理者としての対応を、日本の個人情報保護法とのGAP分析を行った上で進めていかなければなりません。
 GDPRの施行に伴い、プライバシー・ノーティスにどのような事項を記載すればよいか、適法な処理の根拠として同意と契約のどちらを利用すべきか、データ保護影響評価の必要な場合データ保護オフィサー(DPO)の設置の仕方など、GDPRの対応の実務も明らかになってきています。
 また、EUから個人データの移転を受ける事業者は、(拘束的企業準則を適用している楽天グループを除き)@標準契約条項(Standard Contractual Clauses:SCC)による対応、あるいはA特例的に認められる根拠(「越境移転のリスク情報を提供した上でのデータ主体の同意」あるいは「契約履行のために必要」)に基づくことにも対応が必要となっています。
 もっとも全くGDPR対応をしていない企業も多くありますけれども、ここにきて、2019年1月23日には日本が欧州委員会から十分性認定を取得し、個人情報保護委員会からはその対応のための補完的ルールが公布されています。
 本講演では、日本が十分性認定取得後に、日本企業としてGDPR対応をどのようにすべきかについて分かりやすく解説いたします。
 また、中国サイバーセキュリティ法やカリフォルニア消費者プライバシー法など、世界の個人情報保護法制について最新の情報とその対応方法についてお伝えいたします。

1.十分性認定と個人情報保護委員会の補完的ルール
(1) 十分性認定の意味合い…十分性認定は越境データ移転が認められるだけで、管理者・処理者としての義務を負う者についてはGDPR全体の対応が必要
(2) 標準契約条項(SCC)の対応をしていた企業はそのままで、十分性認定対応に切り替えない方がよいか?
(3) 特例対応(データ主体の同意・契約履行に必要)によっていた事業者は、十分性認定対応に切り替えるのはマスト?
(4) 個人情報保護委員会の補完的ルールへの対応
 @ 上乗せ措置に対応した個人情報取扱規程・匿名加工情報取扱規程の雛型を提示
 A EUからの移転に関する「取得の経緯」の記録義務は、確認・記録義務編のガイドラインで解釈上、確認・記録が不要とされている場合も必要か
 B 匿名加工情報に関して、加工方法等情報も削除する対応は本当に可能か? 実務的にどのような対応をすべきか
(5) 十分性認定と同時に行われる個人情報保護法の「外国の第三者への個人データの提供」に関するEU加盟国の告示指定

2.GDPRの管理者・処理者となる場合の実務対応
(1) 十分性認定を取得しても管理者・処理者に該当する場合は対応が必要、地理的適用範囲に関するガイドラインを分析
(2) 処理の原則・適法な処理
 〜「同意」と「契約」は両立しないことに注意が必要
 〜 従業員については「同意」を根拠にすることは困難
(3) プライバシー・ノーティスやCookie対応を具体的実例(Google、Amazon、Facebookほか)を収集し、ガイドラインに基づき解説
(4) データ主体の権利〜 データポータビリティ権についてガイドラインに基づき詳細解説
(5) 技術的・組織的安全管理措置…個人情報保護法とそれほど違いなし
(6) データ保護オフィサー(DPO)の設置に関する具体的対応…ガイドラインに基づく対応

3.中国サイバーセキュリティ法への対応ネットワーク、ネットワーク運営者、重要情報インフラ運営者の意義
→特に、中国国内でデータ保管が求められる重要情報インフラ運営者の範囲が実務上問題に

4.カリフォルニア消費者プライバシー法への対応
(1) オプトアウト権…事業者に個人情報の売買をしないように求める権利
(2) 開示請求権、消去請求権
(3) プライバシーポリシーでの説明

〜質疑応答〜

【講師紹介】
東京大学法学部卒。個人情報関連の規制を専門。
 関連書籍:「GDPR − EU一般データ保護規則−法的リスク対策と個人情報・匿名加工情報取扱規程」(日本法令)

※録音・ビデオ撮影はご遠慮下さい。
主催 経営調査研究会
印刷用PDF 一覧に戻る

Copyright © KINYUZAIMU KENKYUKAI Co.,Ltd. All Rights Reserved.