GDPR対策 のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• GDPR対策 へ行く。
  • 1 (2018-05-21 (月) 09:46:04)
  • 2 (2018-05-21 (月) 10:36:24)
  • 3 (2018-05-21 (月) 18:37:11)
  • 4 (2018-05-22 (火) 21:43:21)
  • 5 (2018-05-23 (水) 09:17:13)
  • 6 (2018-05-24 (木) 15:39:45)
  • 7 (2018-05-29 (火) 18:12:40)
  • 8 (2018-06-25 (月) 11:49:48)
  • 9 (2018-06-26 (火) 09:15:47)
  • 10 (2019-12-05 (木) 20:49:19)
  • 11 (2019-12-11 (水) 19:43:19)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• 欧州では2018年5月に「GDPR」が施行される。
• GDPRは「General Data Protection Regulation」の略。
• 現行法であるデータ保護指令（Directive 95/46/EC）のルールの統一
• 「一般データ保護規則」とも呼ばれる個人情報保護の法律。
• 内容は、端的に言えば「個人データ」の「処理」と「移転」に関する法律。

対象 †

対象データ †

具体的なガイドラインは第29条作業部会（Article 29 Working Party）が作成中であり、
定義の詳細や業種業態ごとの管理手法について不明点がまだ多い段階

個人データ †

自然人（データ主体）に関するあらゆる情報

もしくは複数の要素を参照することによって、
直接的にまたは間接的に、識別され得る者

• 氏名

• 識別番号
  • クレジットカード番号
  • メールアドレス
  • オンライン識別子
    • IPアドレス
    • クッキー

• 位置データ
• パスポート情報

• 固有性に関する要因
  当該自然人に関する、社会的アイデンティティに特有な情報
  • 物理的
    • 身体的
  • 生理的
    • 生理学的
    • 遺伝子的
  • 精神的
  • 経済的
  • 文化的
  • 社会的

法人データ †

企業などの法人データ

死者のデータ †

対象外 †

完全に匿名化されたデータは対象外。

適用対象 †

組織の規模、公的機関、非営利団体等関係なく対象となる
（中小零細企業でも対象だが一部例外措置あり）

域内 †

EU内（欧州経済領域EAA）に拠点を置く、

• データの主体（個人）
• データ管理者（EU居住者からデータを収集する組織）
• データ処理者（データ管理者の委託先としてデータを処理する組織）

域外 †

EU内（欧州経済領域EAA）に

• データ管理者（EU居住者からデータを収集する組織）
• データ処理者（データ管理者の委託先としてデータを処理する組織）

がなくても、

• EU居住者に商品やサービスを提供する場合
• 個人データを処理、または監視する管理者（Controller）、処理者（Processor）する場合

には適用される。

• 域外適用の規制
  • プライバシー・バイ・デザイン
  • オプトイン原則
  • 個人情報漏えい時の通知義務
  • データ持ち運びの権利
  • 忘れられる権利
  • 罰則の強化

追加 †

• 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
• 日本企業から EEA内に出向した従業員の個人データ（元は日本から EEA内に移転した情報）
• 日本から EEA 内に個人データを送付する場合（基準に沿って EEA内において処理されなければならない）
• 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

義務 †

処理 †

• 処理には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当する

• 処理対象の個人データおよびその処理過程を特定しなければならない
  • 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
  • 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
  • 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
  • 個人データの侵害（情報漏えい）が発生した場合、企業はその旨を監督機関に対し、
    72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。

• 定期的に大量の個人データを取扱う組織は、データ保護責任者や欧州における代理人を任命しなければならない。

移転 †

個人情報の移転

• EU（欧州経済領域EAA）から域外（第三国）への個人データの移転は原則として禁止。

• 域外移転が可能なのは、データの保護措置が「十分なレベル」にあると認められる国のみ。

• 例えば、日本のように欧州委員会によって、適切な個人情報保護制度を有している
  と認められていない国への情報移転は、以下のいずれかの要件を満たしに行く必要がある。
  • 本人同意を得る
  • 拘束的企業準則（binding corporate rules）を策定する
  • 標準契約条項（SCC：Standard Contractual Clauses）を締結する

制裁 †

１ †

• • 義務があるのにEU代表者を選任しない場合
  • 責任に基づいて処理行為の記録を保持しない場合

• 以下の高い方が制裁金として課される。
  • 企業の全世界年間売上高（グループ連結）の2％以下
  • または1000万ユーロ（1ユーロ125円とすると25億円）

２ †

• • 適法に個人データを処理しなかった場合
  • 個人データ移転の条件に従わなかった場合

• 以下の高い方が制裁金として課される。
  • 企業の全世界年間売上高（グループ連結）の4％以下、
  • または2000万ユーロ（1ユーロ125円とすると25億円）

参考 †

• GDPR（EU一般データ保護規則）で抑えておくべきポイント｜マルケト
  https://jp.marketo.com/content/gdpr.html

• 日本企業も大きな影響を受ける「GDPR」--まずは「対象か」の確認を - ZDNet Japan
  https://japan.zdnet.com/article/35110326/

• GDPRについてソフトウェアエンジニアは何を知るべきか?
  https://www.infoq.com/jp/articles/gdpr-for-software-devs

• EU一般データ保護規則（GDPR）の概要（前編） | NTTデータ先端技術株式会社
  http://www.intellilink.co.jp/article/column/security-gdpr01.html

＠IT †

• EUの「GDPR」は日本企業にも影響、対応すべき5つの優先課題：Gartner Insights Pickup（35）
  http://www.atmarkit.co.jp/ait/articles/1710/13/news011.html

• 世界中の企業が、自社のGDPR（EU一般データ保護規則）対策を「勘違い」している
  ──Veritas調査：「対策済み」と回答した企業のうち、万全だったのはたった2％
  http://www.atmarkit.co.jp/ait/articles/1707/27/news052.html

• GDPR初歩の初歩
  • （1）：GDPR施行は、日本のITエキスパートにとってよそごとなのか？
    http://www.atmarkit.co.jp/ait/articles/1712/07/news003.html
  • （2）：GDPR対策は個人情報の暗号化からGDPR初歩の初歩
    http://www.atmarkit.co.jp/ait/articles/1712/14/news001.html

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.026 sec.