十分性認定取得後の『ＧＤＰＲ』対応

受講対象

法務部門、総務部門、情報システム部門、人事部門、監査部門など関連部門のご担当者

講義のねらい

2018年5月25日に、EUのGeneral Data Protection Regulations（GDPR：EU一般データ保護規則）が施行されました。

これにより、①EUに拠点（現地法人・支店・駐在員事務所）のある事業者は同拠点において管理者（Controller）としての対応、②EUの拠点のために日本で個人データの処理を行う事業者は処理者（Processor）としての対応、③EUに拠点はないもののGDPRの域外適用を受ける事業者は管理者としての対応を、日本の個人情報保護法とのGAP分析を行った上で進めました。

GDPRの施行に伴い、プライバシー・ノーティスにどのような事項を記載すればよいか、適法な処理の根拠として同意と契約のどちらを利用すべきか、データ保護影響評価の必要な場合データ保護オフィサー（DPO）の設置の仕方など、GDPRの対応の実務が明らかになってきました。

また、EUから個人データの移転を受ける事業者は、（拘束的企業準則を適用している楽天グループを除き）①標準契約条項（Standard Contractual Clauses：SCC）による対応、あるいは②特例的に認められる根拠（「越境移転のリスク情報を提供した上でのデータ主体の同意」あるいは「契約履行のために必要」）に基づくことに対応をしています。

もっとも全くGDPR対応をしていない企業も多くあります。ここにきて、2018年末頃までに日本が欧州委員会から十分性認定を受けることになり、個人情報保護委員会からはその対応のための補完的ルールを公布されました。

本講演では、日本が十分性認定取得後に、日本企業としてGDPR対応をどのようにすべきかについて分かりやすく解説いたします。

主催団体

本講義は、一般社団法人企業研究会が主催しております。

研修プログラム例

１．十分性認定と個人情報保護委員会の十補完的ルール
（１）十分性認定の意味合い
         …十分性認定は越境データ移転が認められるだけで、管理者・処理者としての義務を負う者については
          GDPR全体の対応が必要
  （２）標準契約条項（SCC）の対応をしていた企業はそのままで、十分性認定対応に切り替えない方がよいか？
  （３）特例対応（データ主体の同意・契約履行に必要）によっていた事業者は、十分性認定対応に
       切り替えるのはマスト？
  （４）個人情報保護委員会の補完的ルールへの対応
       １）上乗せ措置に対応した個人情報取扱規程・匿名加工情報取扱規程の雛型を提示
         ２）EUからの移転に関する「取得の経緯」の記録義務は、確認・記録義務編のガイドラインで解釈上、確認・記録が不要とされている場合も必要か
         ３）匿名加工情報に関して、加工方法等情報も削除する対応は本当に可能か？実務的にどのような対応をすべきか
  （５）十分性認定と同時に行われる個人情報保護法の「外国の第三者への個人データの提供」に関するEU加盟国の告示指定

２．GDPRの管理者・処理者となる場合の実務対応
  （１）十分性認定を取得しても管理者・処理者に該当する場合は対応が必要
  （２）処理の原則・適法な処理
       ～「同意」と「契約」は両立しないことに注意が必要
         ～従業員については「同意」を根拠にすることは困難
  （３）プライバシー・ノーティスやCookie対応を具体的実例（Google、Amazon、Facebookほか）を収集し、ガイドラインに基づき解説
  （４）データ主体の権利
         ～データポータビリティ権についてガイドラインに基づき詳細解説
  （５）技術的・組織的安全管理措置…個人情報保護法とそれほど違いなし
  （６）データ保護オフィサー（DPO）の設置に関する具体的対応・・・ガイドラインに基づく対応