1．十分性認定と個人情報保護委員会の補完的ルール
(1) 十分性認定の意味合い…十分性認定は越境データ移転が認められるだけで、管理者・処理者としての義務を負う者についてはGDPR全体の対応が必要
(2) 標準契約条項（SCC）の対応をしていた企業はそのままで、十分性認定対応に切り替えない方がよいか？
(3) 特例対応（データ主体の同意・契約履行に必要）によっていた事業者は、十分性認定対応に切り替えるのはマスト？
(4) 個人情報保護委員会の補完的ルールへの対応
　�@ 上乗せ措置に対応した個人情報取扱規程・匿名加工情報取扱規程の雛型を提示
　�A EUからの移転に関する「取得の経緯」の記録義務は、確認・記録義務編のガイドラインで解釈上、確認・記録が不要とされている場合も必要か
　�B 匿名加工情報に関して、加工方法等情報も削除する対応は本当に可能か？ 実務的にどのような対応をすべきか
(5) 十分性認定と同時に行われる個人情報保護法の「外国の第三者への個人データの提供」に関するEU加盟国の告示指定

2．GDPRの管理者・処理者となる場合の実務対応
(1) 十分性認定を取得しても管理者・処理者に該当する場合は対応が必要、地理的適用範囲に関するガイドラインを分析
(2) 処理の原則・適法な処理
　〜「同意」と「契約」は両立しないことに注意が必要
　〜 従業員については「同意」を根拠にすることは困難
(3) プライバシー・ノーティスやCookie対応を具体的実例（Google、Amazon、Facebookほか）を収集し、ガイドラインに基づき解説
(4) データ主体の権利〜 データポータビリティ権についてガイドラインに基づき詳細解説
(5) 技術的・組織的安全管理措置…個人情報保護法とそれほど違いなし
(6) データ保護オフィサー（DPO）の設置に関する具体的対応…ガイドラインに基づく対応

3．中国サイバーセキュリティ法への対応
ネットワーク、ネットワーク運営者、重要情報インフラ運営者の意義
→特に、中国国内でデータ保管が求められる重要情報インフラ運営者の範囲が実務上問題に

4．カリフォルニア消費者プライバシー法への対応
(1) オプトアウト権…事業者に個人情報の売買をしないように求める権利
(2) 開示請求権、消去請求権
(3) プライバシーポリシーでの説明

〜質疑応答〜