十分性認定取得後のGDPR対応

〜個人情報保護委員会のガイドラインに基づく
個人情報取扱規程の改訂案、
GDPRに基づくプライバシー・ノーティス対応など
具体例を示して解説〜


日時: 平成30年7月6日(金)午前9時30分〜12時30分
会場: 金融財務研究会本社 グリンヒルビル セミナールーム
(東京都中央区日本橋茅場町1-10-8)
受講費: 34,100円(お二人目から29,000円)
(消費税、参考資料を含む)

講師 渡邉雅之(わたなべまさゆき) 氏
弁護士法人 三宅法律事務所
シニアパートナー弁護士

 2018年5月25日に、EUのGeneral Data Protection Regulations(GDPR:EU一般データ保護規則)が施行されました。これにより、@EUに拠点(現地法人・支店・駐在員事務所)のある事業者は同拠点において管理者(Controller)としての対応、AEUの拠点のために日本で個人データの処理を行う事業者は処理者(Processor)としての対応、BEUに拠点はないもののGDPRの域外適用を受ける事業者は管理者としての対応を、日本の個人情報保護法とのGAP分析を行った上で進めました。
 GDPRの施行に伴い、プライバシー・ノーティスにどのような事項を記載すればよいか、適法な処理の根拠として同意と契約のどちらを利用すべきか、データ保護影響評価の必要な場合、データ保護オフィサー(DPO)の設置の仕方など、GDPRの対応の実務が明らかになってきました。
 また、EUから個人データの移転を受ける事業者は、(拘束的企業準則を適用している楽天グループを除き、)@標準契約条項(Standard Contractual Clauses:SCC)による対応、あるいは、A特例的に認められる根拠(「越境移転のリスク情報を提供した上でのデータ主体の同意」あるいは「契約履行のために必要」)に基づくことに対応をしています。もっとも、全くGDPR対応をしていない企業も多くあります。ここにきて、2018年上半期にも日本が欧州委員会から十分性認定を受けることになり、個人情報保護委員会からはその対応のためのガイドラインが公表されたところです。
 本講演では、日本が十分性認定取得後に、日本企業としてGDPR対応をどのようにすべきかについて分かりやすく解説いたします。



第1 十分性認定と個人情報保護委員会の十分性認定ガイドライン
1.十分性認定の意味合い…十分性認定は越境データ移転が認められるだけで、管理者・処理者としての義務を負う者については、GDPR全体の対応が必要。

2.標準契約条項(SCC)の対応をしていた企業はそのままで、十分性認定対応に切り替えない方がよいか?

3.特例対応(データ主体の同意・契約履行に必要)によっていた事業者は、十分性認定対応に切り替えるのはマスト?

4.個人情報保護委員会の十分性認定ガイドラインへの対応
(1) 上乗せ措置に対応した個人情報取扱規程・匿名加工情報取扱規程の雛型を提示
(2) EUからの移転に関する「取得の経緯」の記録義務は、確認・記録義務編のガイドラインで解釈上、確認・記録が不要とされている場合も必要か。
(3) 匿名加工情報に関して、加工方法等情報も削除する対応は本当に可能か?実務的にどのような対応をすべきか。

5.十分性認定と同時に行われる個人情報保護法の「外国の第三者への個人データの提供」に関するEU加盟国の告示指定。


第2 GDPRの管理者・処理者となる場合の実務対応
(1) 十分性認定を取得しても管理者・処理者に該当する場合は対応が必要
(2) 処理の原則・適法な処理
〜「同意」と「契約」は両立しないことに注意が必要。
〜 従業員については「同意」を根拠にすることは困難。
(3) プライバシー・ノーティスやCookie対応を具体的実例(Google、Amazon、Facebookほか)を収集し、ガイドラインに基づき解説。
(4) データ主体の権利
〜 データポータビリティ権についてガイドラインに基づき詳細解説
(5) 技術的・組織的安全管理措置…個人情報保護法とそれほど違いなし。
(6) データ保護オフィサー(DPO)の設置に関する具体的対応・・・ガイドラインに基づく対応



【講師紹介】
東京大学法学部卒。個人情報保護法をはじめとするプライバシー法制を専門とする。


                ※録音・ビデオ撮影はご遠慮下さい。
主催 経営調査研究会
新しい個人情報保護関連セミナーへはこちら

Copyright © KINYUZAIMU KENKYUKAI Co.,Ltd. All Rights Reserved.