SC:法制度 - GDPR
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:法制度 - 個人情報、マイナンバー(法律と制度)]]
*目次 [#o5d563a9]
#contents
*概要 [#e06e6691]
-GDPRは「General Data Protection Regulation」の略。
-2016年4月に制定され、2018年5月に施行される。
-現行法(1995年に適用)であるデータ保護指令(Directive 95...
--ルールの統一
--「指令」から「規則」に格上げ(欧州法として加盟国に直接...
-「一般データ保護規則」とも呼ばれる個人情報保護の法律。
-内容は、端的に言えば「個人データ」の「[[処理>#e2af16fd]]...
*登場人物 [#h608528e]
**データ主体(本人) [#m0e6690c]
個人データに関連する当該個人
**データ保護機関 [#da410ec3]
EU加盟国が設置した、データ保護に関する調査・是正権限を持...
**コントローラー(管理者) [#e62bd5f8]
-個人データ処理の目的と手段を決定する。
-GDPR違反の責任を負う。
-データ保護機関との協力義務がある。
**プロセッサー(処理者) [#g976c2ce]
-個人データの処理を行う当該個人・法人
-データ保護機関との協力義務がある。
*対象 [#t6a8e834]
**対象データ [#ya22b6f1]
具体的なガイドラインは第29条作業部会(Article 29 Working ...
定義の詳細や業種業態ごとの管理手法について不明点がまだ多...
***個人データ [#r1561a5f]
自然人(データ主体)に関するあらゆる情報
もしくは複数の要素を参照することによって、~
直接的にまたは間接的に、識別され得る者
-氏名
-識別番号
--クレジットカード番号
--メールアドレス
--技術的な情報~
オンライン識別子
---IPアドレス
---クッキー
---位置データ(GPS)
-パスポート情報
-固有性に関する要因~
当該自然人に関する、社会的アイデンティティに特有な情報
--物理的
---身体的
--生理的
---生理学的
---遺伝子的
--精神的
--経済的
--文化的
--社会的
***法人データ [#m2da9ef5]
企業などの法人データ
***死者のデータ [#xbe05775]
・・・
***対象外 [#p43760eb]
完全に匿名化されたデータは対象外。
**適用対象 [#c304032e]
組織の規模、公的機関、非営利団体等関係なく対象となる~
(中小零細企業でも対象だが一部例外措置あり)
***域内 [#p55b9410]
EU内(欧州経済領域EAA)に拠点を置く、
-データの主体(個人)
-データ管理者(EU居住者からデータを収集する組織)
-データ処理者(データ管理者の委託先としてデータを処理する...
***域外 [#uec50a07]
EU内(欧州経済領域EAA)に
-データ管理者(EU居住者からデータを収集する組織)
-データ処理者(データ管理者の委託先としてデータを処理する...
がなくても、
-EU居住者に商品やサービスを提供する場合
-個人データを処理、または監視する管理者(Controller)、処...
には適用される。
***域外でも適用されるケース [#j7ed41cf]
域外でも、以下のようなケースには適用される。
-人が日本 -> EEAへ移動
--短期出張や短期旅行でEEA内に所在する日本人の個人データを...
--日本企業から EEA内に出向した従業員の個人データ(元は日...
-データの日本 ⇔ EEA間の行き来
--日本から EEA 内に個人データを送付する場合(基準に沿って...
--日本から EEA 内に個人データが送付され、EEA内で処理され...
*義務 [#v0596e85]
**処理 [#e2af16fd]
処理には、収集・保管・変更・開示・閲覧・削除など、~
個人データに対して行われるほぼすべての行為が該当する
***処理過程の特定 [#ube5dde5]
処理対象の個人データおよびその処理過程を特定しなければな...
-個人データの収集および利用目的について、有効な同意が明示...
-個人データの処理および保管に当たり、適切な安全管理措置を...
-個人データの処理を行う目的の達成に必要な期間を超えて、個...
-個人データの侵害(情報漏えい)が発生した場合、企業はその...
72時間以内に通知しなければならない。また、データ主体にも...
***データ主体の権利の尊重 [#j9690cb1]
(第13条~22条)
管理者は次のデータ主体の権利を尊重しその行使を円滑にする...
-情報権(情報の通知を受ける権利)(第13条、14条)~
管理者はデータ主体から個人データを収集する場合、~
個人データ入手時に、データ主体に一定の情報を提供しなけれ...
-アクセス権(第15条)~
管理者はデータ主体から個人データへのアクセスの請求があれ...
-訂正権(第16条)~
不正確な自己の個人データに関する訂正を管理者に求める権利...
-削除権(忘れられる権利)(第17条)~
一定の場合、データ主体は自分に関する個人データの削除を遅...
-制限権(処理を制限する権利)
-携行権(データ携行の権利)
-異議権(処理に対して異議を述べる権利)
-自動処理による決定の対象とならない権利。
***データ保護責任者 [#xf63e3db]
定期的に大量の個人データを取扱う組織は、~
データ保護責任者や欧州における代理人を任命しなければなら...
-データ保護影響評価(DPIAs)~
データ処理が個人の権利および自由に高い危険を生じさせるお...
処理を行う前に、処理操作がデータ保護に対して及ぼす影響の...
-データ保護byデザイン・byデフォルト~
データ処理のシステムを設計し、このシステムをデータ処理に...
--データ主体の権利を保護する、技術的・組織的措置を講じる...
--初期設定で、データ処理行為が処理目的に必要な最小限に限...
**移転 [#f1e1f24b]
個人情報の移転
-EU(欧州経済領域EAA)から域外(第三国)への個人データの...
-域外移転が可能なのは、データの保護措置が「十分なレベル」...
-例えば、日本のように欧州委員会によって、適切な個人情報保...
と認められていない国への情報移転は、以下のいずれかの要件...
--本人同意を得る
--拘束的企業準則(binding corporate rules)を策定する
--標準契約条項(SCC:Standard Contractual Clauses)を締結...
>※ 殆どの日本企業は、標準契約条項(SCC)で対応。
*制裁 [#p411d531]
**1 [#q900d99f]
-違反行為の種類
--管理者および処理者の義務違反
--認証機関の義務違反
--監視機関の義務違反
-以下の高い方が制裁金として課される。
--企業の全世界年間売上高(グループ連結)の2%以下
--または1000万ユーロ(1ユーロ125円とすると25億円)
**2 [#cd70161e]
-違反行為の種類
--処理の基本原理の違反
--データ主体の権利の侵害
--個人データの[[移転>#f1e1f24b]]に関する違反
--構成国法に基づく義務の違反
--監督機関の命令または制限の不遵守
--監督機関の命令の不遵守
-以下の高い方が制裁金として課される。
--企業の全世界年間売上高(グループ連結)の4%以下、
--または2000万ユーロ(1ユーロ125円とすると25億円)
*ポイント [#x120a0b4]
今後とも、動向をウォッチする必要がある。
**リスク [#zeb8be9b]
以下のケースはリスクが大
EAA内の個人データを直接使用するサービス
-モニタリング、プロファイリングに個人データを利用
-当該組織のコア・ビジネスに関わる個人データ利用
**留意点 [#ned96ebb]
-明確な同意取得
-機能提供
--プライバシー・ポリシー
--削除権(忘れられる権利)
--携行権(データ携行の権利)
-[[データ保護責任者>#xf63e3db]]
--データ保護責任者や欧州における代理人を任命
--下記の導入・実施の義務
---データ保護 by デザイン・by デフォルト
---データ保護影響評価(DPIAs)
**侵害対応 [#f4b45724]
-72時間以内の報告
-通知内容・通知方法の検討
--データ保護機関
--データ主体
-救済実施
--データ主体の救済
--データ保護機関への対応
*参考 [#sec81c4c]
-GDPR(EU一般データ保護規則)で抑えておくべきポイント|マ...
https://jp.marketo.com/content/gdpr.html
-日本企業も大きな影響を受ける「GDPR」--まずは「対象か」の...
https://japan.zdnet.com/article/35110326/
-EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先...
http://www.intellilink.co.jp/article/column/security-gdpr...
-GDPRのポイントはユーザーの同意管理、~
ティーリアムが対応強化:EnterpriseZine(エンタープライズ...
https://enterprisezine.jp/article/detail/10753
**スラド [#i7b25d27]
-EUの一般データ保護規則、今月下旬にスタート | YRO~
https://yro.srad.jp/story/18/05/10/0712220/
-5ちゃんねる、GDPRに対応するためEUからのアクセスを遮断 | ...
https://it.srad.jp/story/18/05/22/0455238/
-EUのGDPR罰金を回避するにはEU全ユーザーをブロックすればよ...
https://it.srad.jp/submission/76711/
**@IT [#t7e467b9]
-EUの「GDPR」は日本企業にも影響、対応すべき5つの優先課題...
http://www.atmarkit.co.jp/ait/articles/1710/13/news011.html
-世界中の企業が、自社のGDPR(EU一般データ保護規則)対策を...
──Veritas調査:「対策済み」と回答した企業のうち、万全だっ...
http://www.atmarkit.co.jp/ait/articles/1707/27/news052.html
-GDPR初歩の初歩
--(1):GDPR施行は、日本のITエキスパートにとってよそごと...
http://www.atmarkit.co.jp/ait/articles/1712/07/news003.html
--(2):GDPR対策は個人情報の暗号化からGDPR初歩の初歩~
http://www.atmarkit.co.jp/ait/articles/1712/14/news001.html
**InfoQ [#sef80885]
-GDPRについてソフトウェアエンジニアは何を知るべきか?~
https://www.infoq.com/jp/articles/gdpr-for-software-devs
***理解すべき重要点 [#s3f14b28]
-データ主体に対する透明性
-データ保護 by デザイン・by デフォルト
***個人識別情報(PII)を認識する [#r70a0ea0]
-個人を一意的に識別するために使われるデータ
-別々であれば固有情報でなくても、組み合わせることで、個人...
***プライバシのための設計 [#r557ebca]
-GDPRに準拠させるもっとも安価な方法は、要求を正しく実装す...
-徹底の度合いはシステムのリスクの程度による。
-監査証跡
--最小の要求(データ保護機関に報告する必要がある)
--管理だけでなく侵害の被害を抑える(デジタル・フォレンジ...
--システム・アドミニストレータの否認防止の特徴
-データ露出の制限~
最善の方法は、収集するデータと保存する期間を制限
--本当に必要なデータだけ収集・アクセスするように制限
--データのライフサイクルを明確に定義し、それを記述する~
(ある種のアーカイブと削除の仕組みを導入する。)
-移動データ保護の仕組み
--暗号化
--匿名化と仮名化
---匿名化~
フィールドを削除するか、隠すことで、識別可能な情報を取り...
---仮名化~
識別可能な情報を仮名で置き換え、データ内で識別情報を分離。
--ロギングの規格・ガイドライン~
ログにPIIが含まれていないことを確認する。
***システムをチェックする [#e2e8ae52]
簡単なチェックリスト。
-収集するデータと目的
-データの保存期間~
収集したデータのライフサイクルを記録する。
-データを処理する基準~
データを収集する基準を記録する。
-データフロー図
--関係者
--階層
--プロトコル
-[[ユーザの権利>#l760ce24]]~
データ主体に権利を知らせ、その権利をどのように行使するか...
***拡大したユーザの権利をサポートする [#l760ce24]
-自動化したリアルタイムの運用を必要としない。~
(実際に必要なのは、30日以内に要求に回答するだけ)
-しかし、セルフサービスのユーザインタフェースを実装したほ...
-情報を削除することで、削除は達成できるが、~
部分的にそれを上書きし、事実上、それを匿名化した方が簡単。
***データ処理者かどうか? [#p90515ef]
-データ処理者は、制裁の責を負う。
-責任を避けるには、単にどのような状況下でも、
--PIIデータにアクセスしない、
--また、できないようにすること。
--そのことがどの契約にも明確に述べられているようにする。
-PIIデータの処理を避けるのは難しい場合、
--ログファイル、テスト環境、製品環境への緊急パッチにPIIデ...
--PIIデータベースに絶対にアクセスする必要がある場合、デー...
***GDPRの神話を壊す [#t2dab034]
-ユーザのデータを収集して処理することを止めるものではない。
-「クラウドサービスをやってはいけない。」ということではな...
-エクスポート時に、
--身元と結びつく全てを手に入れる訳ではない。
--直接収集された情報のみ含まれているべき。
-対策
--データ保護~
停止中や転送中に2048ビットキーですべてを暗号化することを...
--監査ログ、侵入検出など。~
すべて監査ログをとり、侵入検出とテストデータ管理のツール...
-制裁(罰金)
--制裁は、データ・プライバシについて何かし始めるための主...
--その時が来たら、罰金の範囲を決めるために使う多数の質問...
-[[ユーザの権利>#l760ce24]]
--必ずしも、自動的に行使する必要はない。
--しかし、その場合は、ユーザの身元と要求の正当性を確認す...
***結論 [#g7c30d5e]
-データ保護規則は、建設的で、
--透明性とプライバシを改善は、ユーザの信頼に繋がる。
--新しいシステムは、GDPRと互換性があるように構築すべき。
-解釈は進化し続け、
--データ侵害、監査、制裁が将来起きる。
--グレーゾーンには、常識が役に立つ。
**Information Law 情報法 > EUデータ保護規則(GDPR) [#ib3...
http://informationlaw.jp/category/world-data-protection/e...
-制定の経緯と手続~
http://informationlaw.jp/2016/09/06/eu-personal-data-prot...
-どのような場合に日本企業に適用されるのか~
http://informationlaw.jp/2016/09/13/eugdpr-jurisdiction-a...
-用語の定義:本人の同意がより厳しくなっています!~
http://informationlaw.jp/2016/09/26/eugdpr-definitions/
-規則の執行と罰則の強化・不服申立てと司法的救済~
http://informationlaw.jp/2016/09/28/eugdpr-enforcement-sa...
-データ保護byデザイン・デフォルト&データ保護影響評価~
http://informationlaw.jp/2016/11/02/eugdpr-data-protectio...
-匿名化と仮名化(Anonymisation & Pseudonymisation~
http://informationlaw.jp/2016/11/02/eugdpr-anonymisation-...
-監督機関とデータ保護評議会~
http://informationlaw.jp/2016/11/09/eugdpr-sa-edpb-consis...
-統一がなされない分野~
http://informationlaw.jp/2016/11/09/eugdpr-unharmonized-a...
-データ侵害の監督機関への通知とデータ主体への連絡~
(Data Breach Notification & Communication)~
http://informationlaw.jp/category/world-data-protection/e...
-EUのデータ保護改革の総仕上げ?~
-欧州委員会は電子通信における私生活の尊重と個人データの...
http://informationlaw.jp/category/world-data-protection/e...
-【便利帳】EUデータ保護規則とEUデータ保護指令の条文に関す...
http://informationlaw.jp/2016/10/24/eugdpr-eupdpd-website...
-【リスト】EUデータ保護規則本サイトページ一覧~
http://informationlaw.jp/2016/11/06/eugdpr-website-page-l...
***個人データの処理に関する7つの原則 [#cb1f6f65]
http://informationlaw.jp/2016/09/28/eugdpr-principles/
+合法性、公正性および透明性
+目的制限
+データ最小限性
+正確性
+保管制限
+完全性および機密性保持
+責任
***EU域外への個人データ移転 [#la39fe7b]
-①:概観&十分性の決定~
http://informationlaw.jp/2016/09/29/eugdpr-cross-border-d...
-②:十分な保護措置と拘束的企業準則~
http://informationlaw.jp/2016/10/05/eugdpr-cross-border-d...
-③:標準データ保護条項と契約条項~
http://informationlaw.jp/2016/10/06/eugdpr-cross-border-d...
-④:行動規範と認証~
http://informationlaw.jp/2016/10/07/eugdpr-cross-border-d...
--行動規範と認証/コンプライアンスの仕組みの強化~
http://informationlaw.jp/2016/10/07/eugdpr-certifications...
-⑤:特例による移転~
http://informationlaw.jp/2016/10/07/eugdpr-cross-border-d...
***データ主体の8つの権利 [#m2ca6c3f]
-ざっと概観しましょう~
http://informationlaw.jp/2016/10/20/eugdpr-data-subject-r...
-8つの権利
--①:情報の通知を受ける権利~
http://informationlaw.jp/2016/10/20/eugdpr-data-subject-r...
--②:アクセス権~
http://informationlaw.jp/2016/10/20/eugdpr-data-subject-r...
--③:訂正権(Right to rectification)~
http://informationlaw.jp/2016/10/21/eugdpr-data-subject-r...
--④:削除権(忘れられる権利)~
http://informationlaw.jp/2016/09/10/eugdpr-right-to-erasu...
---忘れられる権利――Google v. Spain~
http://informationlaw.jp/2016/10/19/right-to-be-forgotten...
--⑤:処理を制限する権利~
http://informationlaw.jp/2016/10/21/eugdpr-data-subject-r...
--⑥:データ携行の権利(Data Portability)~
http://informationlaw.jp/2016/10/25/eugdpr-data-subject-r...
--⑦:処理に対して異議を述べる権利(Right to object)~
http://informationlaw.jp/2016/10/25/eugdpr-data-subject-r...
--⑧:自動処理による決定の対象とならない権利/プロファイリ...
http://informationlaw.jp/2016/10/27/eugdpr-data-subject-r...
-⑨:データ主体の権利の範囲は制限されることがあります(Res...
http://informationlaw.jp/2016/10/27/eugdpr-data-subject-r...
***管理者 [#y42ce696]
-管理者の義務:情報の通知(Information Notices)~
http://informationlaw.jp/2016/10/20/eugdpr-controller-obl...
-管理者の責任と義務:ざっと見てみました~
http://informationlaw.jp/2016/10/28/eugdpr-controller-acc...
***処理者 [#o5b62107]
-処理者の選定、処理者との契約、処理者の義務~
http://informationlaw.jp/2016/11/04/eugdpr-content-of-dat...
***データ保護担当者 [#e72a5c19]
-データ保護担当者の指名・地位・役割~
http://informationlaw.jp/2016/11/06/eugdpr-designation-po...
**フジイユウジ::ドットネット [#w77cca97]
-今日からGDPR施行だけど実は何もしてなかったぜというWEB担...
http://fujii-yuji.net/2018/05/starting-gdpr-today.html
++欧州圏からアクセスできるとかユーザー1人いるとGDPR対象事...
++プライバシーポリシー更新してるだけで対応済みとしている...
***欧州連合に向けてのサービス提供の意思が明白か。 [#l0668...
-99.9%日本向けサービスだけど
>「何か間違って欧州にいるユーザーが混ざる可能性が微粒子レ...
>くらいなら対象外と考えても良さそう。
-以下のような条件を全て満たすなど、
--客観的に見ても明らかに日本国内向けのサービス
--日本語のみでサービス提供している~
(英語版もあるサービスは判断が難しくなります。)
--決済手段が日本向け(日本円のみなど)であることがわかる
--欧州へのサービスの提供について特段の記載がない
--実態としても欧州ユーザーがほぼいない(例外レベルの数はい...
***簡易なGDPR対応は難しくはない。 [#r3ec46a7]
-プライバシーポリシーにGDPRの権利を実行するときの窓口を書...
-できるだけ使ってるサード・パーティー・サービスを書く。
**清水誠メモ [#i68a1d50]
-GDPRの対策としてWebアナリストがすべきこと~
https://makoto-shimizu.com/news/gdpr-for-analysts/
***データ管理者 (Controller) [#e4515f25]
Webの運営者(事業会社・団体)
-事業に必要なデータの用途と処理過程を定義する
-それを訪問者へ分かりやすく説明する~
(プライバシーポリシーやCookieポリシー、入力フォーム掲載...
-GDPRに対応できる体制やルール、機能を持ったツールや委託先...
-データ取得と用途について、訪問者から事前の明示的な同意を...
-訪問者からデータの確認や削除要求を受けた場合は対応する
-目的達成に必要な保管期間を過ぎたデータは削除する
***データ処理者 (Processor) [#o5c1090e]
Google:Google Analytics, Adobe:Adobe Analytics
-データをセキュアに保管・処理する
-GDPR対応に必要な機能を実装する
-指定IDのデータを表示・エクスポート・削除できる機能
-用途に不要なデータの匿名(仮名)化
-保管期限を過ぎたデータの自動削除機能
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:法制度 - 個人情報、マイナンバー(法律と制度)]]
*目次 [#o5d563a9]
#contents
*概要 [#e06e6691]
-GDPRは「General Data Protection Regulation」の略。
-2016年4月に制定され、2018年5月に施行される。
-現行法(1995年に適用)であるデータ保護指令(Directive 95...
--ルールの統一
--「指令」から「規則」に格上げ(欧州法として加盟国に直接...
-「一般データ保護規則」とも呼ばれる個人情報保護の法律。
-内容は、端的に言えば「個人データ」の「[[処理>#e2af16fd]]...
*登場人物 [#h608528e]
**データ主体(本人) [#m0e6690c]
個人データに関連する当該個人
**データ保護機関 [#da410ec3]
EU加盟国が設置した、データ保護に関する調査・是正権限を持...
**コントローラー(管理者) [#e62bd5f8]
-個人データ処理の目的と手段を決定する。
-GDPR違反の責任を負う。
-データ保護機関との協力義務がある。
**プロセッサー(処理者) [#g976c2ce]
-個人データの処理を行う当該個人・法人
-データ保護機関との協力義務がある。
*対象 [#t6a8e834]
**対象データ [#ya22b6f1]
具体的なガイドラインは第29条作業部会(Article 29 Working ...
定義の詳細や業種業態ごとの管理手法について不明点がまだ多...
***個人データ [#r1561a5f]
自然人(データ主体)に関するあらゆる情報
もしくは複数の要素を参照することによって、~
直接的にまたは間接的に、識別され得る者
-氏名
-識別番号
--クレジットカード番号
--メールアドレス
--技術的な情報~
オンライン識別子
---IPアドレス
---クッキー
---位置データ(GPS)
-パスポート情報
-固有性に関する要因~
当該自然人に関する、社会的アイデンティティに特有な情報
--物理的
---身体的
--生理的
---生理学的
---遺伝子的
--精神的
--経済的
--文化的
--社会的
***法人データ [#m2da9ef5]
企業などの法人データ
***死者のデータ [#xbe05775]
・・・
***対象外 [#p43760eb]
完全に匿名化されたデータは対象外。
**適用対象 [#c304032e]
組織の規模、公的機関、非営利団体等関係なく対象となる~
(中小零細企業でも対象だが一部例外措置あり)
***域内 [#p55b9410]
EU内(欧州経済領域EAA)に拠点を置く、
-データの主体(個人)
-データ管理者(EU居住者からデータを収集する組織)
-データ処理者(データ管理者の委託先としてデータを処理する...
***域外 [#uec50a07]
EU内(欧州経済領域EAA)に
-データ管理者(EU居住者からデータを収集する組織)
-データ処理者(データ管理者の委託先としてデータを処理する...
がなくても、
-EU居住者に商品やサービスを提供する場合
-個人データを処理、または監視する管理者(Controller)、処...
には適用される。
***域外でも適用されるケース [#j7ed41cf]
域外でも、以下のようなケースには適用される。
-人が日本 -> EEAへ移動
--短期出張や短期旅行でEEA内に所在する日本人の個人データを...
--日本企業から EEA内に出向した従業員の個人データ(元は日...
-データの日本 ⇔ EEA間の行き来
--日本から EEA 内に個人データを送付する場合(基準に沿って...
--日本から EEA 内に個人データが送付され、EEA内で処理され...
*義務 [#v0596e85]
**処理 [#e2af16fd]
処理には、収集・保管・変更・開示・閲覧・削除など、~
個人データに対して行われるほぼすべての行為が該当する
***処理過程の特定 [#ube5dde5]
処理対象の個人データおよびその処理過程を特定しなければな...
-個人データの収集および利用目的について、有効な同意が明示...
-個人データの処理および保管に当たり、適切な安全管理措置を...
-個人データの処理を行う目的の達成に必要な期間を超えて、個...
-個人データの侵害(情報漏えい)が発生した場合、企業はその...
72時間以内に通知しなければならない。また、データ主体にも...
***データ主体の権利の尊重 [#j9690cb1]
(第13条~22条)
管理者は次のデータ主体の権利を尊重しその行使を円滑にする...
-情報権(情報の通知を受ける権利)(第13条、14条)~
管理者はデータ主体から個人データを収集する場合、~
個人データ入手時に、データ主体に一定の情報を提供しなけれ...
-アクセス権(第15条)~
管理者はデータ主体から個人データへのアクセスの請求があれ...
-訂正権(第16条)~
不正確な自己の個人データに関する訂正を管理者に求める権利...
-削除権(忘れられる権利)(第17条)~
一定の場合、データ主体は自分に関する個人データの削除を遅...
-制限権(処理を制限する権利)
-携行権(データ携行の権利)
-異議権(処理に対して異議を述べる権利)
-自動処理による決定の対象とならない権利。
***データ保護責任者 [#xf63e3db]
定期的に大量の個人データを取扱う組織は、~
データ保護責任者や欧州における代理人を任命しなければなら...
-データ保護影響評価(DPIAs)~
データ処理が個人の権利および自由に高い危険を生じさせるお...
処理を行う前に、処理操作がデータ保護に対して及ぼす影響の...
-データ保護byデザイン・byデフォルト~
データ処理のシステムを設計し、このシステムをデータ処理に...
--データ主体の権利を保護する、技術的・組織的措置を講じる...
--初期設定で、データ処理行為が処理目的に必要な最小限に限...
**移転 [#f1e1f24b]
個人情報の移転
-EU(欧州経済領域EAA)から域外(第三国)への個人データの...
-域外移転が可能なのは、データの保護措置が「十分なレベル」...
-例えば、日本のように欧州委員会によって、適切な個人情報保...
と認められていない国への情報移転は、以下のいずれかの要件...
--本人同意を得る
--拘束的企業準則(binding corporate rules)を策定する
--標準契約条項(SCC:Standard Contractual Clauses)を締結...
>※ 殆どの日本企業は、標準契約条項(SCC)で対応。
*制裁 [#p411d531]
**1 [#q900d99f]
-違反行為の種類
--管理者および処理者の義務違反
--認証機関の義務違反
--監視機関の義務違反
-以下の高い方が制裁金として課される。
--企業の全世界年間売上高(グループ連結)の2%以下
--または1000万ユーロ(1ユーロ125円とすると25億円)
**2 [#cd70161e]
-違反行為の種類
--処理の基本原理の違反
--データ主体の権利の侵害
--個人データの[[移転>#f1e1f24b]]に関する違反
--構成国法に基づく義務の違反
--監督機関の命令または制限の不遵守
--監督機関の命令の不遵守
-以下の高い方が制裁金として課される。
--企業の全世界年間売上高(グループ連結)の4%以下、
--または2000万ユーロ(1ユーロ125円とすると25億円)
*ポイント [#x120a0b4]
今後とも、動向をウォッチする必要がある。
**リスク [#zeb8be9b]
以下のケースはリスクが大
EAA内の個人データを直接使用するサービス
-モニタリング、プロファイリングに個人データを利用
-当該組織のコア・ビジネスに関わる個人データ利用
**留意点 [#ned96ebb]
-明確な同意取得
-機能提供
--プライバシー・ポリシー
--削除権(忘れられる権利)
--携行権(データ携行の権利)
-[[データ保護責任者>#xf63e3db]]
--データ保護責任者や欧州における代理人を任命
--下記の導入・実施の義務
---データ保護 by デザイン・by デフォルト
---データ保護影響評価(DPIAs)
**侵害対応 [#f4b45724]
-72時間以内の報告
-通知内容・通知方法の検討
--データ保護機関
--データ主体
-救済実施
--データ主体の救済
--データ保護機関への対応
*参考 [#sec81c4c]
-GDPR(EU一般データ保護規則)で抑えておくべきポイント|マ...
https://jp.marketo.com/content/gdpr.html
-日本企業も大きな影響を受ける「GDPR」--まずは「対象か」の...
https://japan.zdnet.com/article/35110326/
-EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先...
http://www.intellilink.co.jp/article/column/security-gdpr...
-GDPRのポイントはユーザーの同意管理、~
ティーリアムが対応強化:EnterpriseZine(エンタープライズ...
https://enterprisezine.jp/article/detail/10753
**スラド [#i7b25d27]
-EUの一般データ保護規則、今月下旬にスタート | YRO~
https://yro.srad.jp/story/18/05/10/0712220/
-5ちゃんねる、GDPRに対応するためEUからのアクセスを遮断 | ...
https://it.srad.jp/story/18/05/22/0455238/
-EUのGDPR罰金を回避するにはEU全ユーザーをブロックすればよ...
https://it.srad.jp/submission/76711/
**@IT [#t7e467b9]
-EUの「GDPR」は日本企業にも影響、対応すべき5つの優先課題...
http://www.atmarkit.co.jp/ait/articles/1710/13/news011.html
-世界中の企業が、自社のGDPR(EU一般データ保護規則)対策を...
──Veritas調査:「対策済み」と回答した企業のうち、万全だっ...
http://www.atmarkit.co.jp/ait/articles/1707/27/news052.html
-GDPR初歩の初歩
--(1):GDPR施行は、日本のITエキスパートにとってよそごと...
http://www.atmarkit.co.jp/ait/articles/1712/07/news003.html
--(2):GDPR対策は個人情報の暗号化からGDPR初歩の初歩~
http://www.atmarkit.co.jp/ait/articles/1712/14/news001.html
**InfoQ [#sef80885]
-GDPRについてソフトウェアエンジニアは何を知るべきか?~
https://www.infoq.com/jp/articles/gdpr-for-software-devs
***理解すべき重要点 [#s3f14b28]
-データ主体に対する透明性
-データ保護 by デザイン・by デフォルト
***個人識別情報(PII)を認識する [#r70a0ea0]
-個人を一意的に識別するために使われるデータ
-別々であれば固有情報でなくても、組み合わせることで、個人...
***プライバシのための設計 [#r557ebca]
-GDPRに準拠させるもっとも安価な方法は、要求を正しく実装す...
-徹底の度合いはシステムのリスクの程度による。
-監査証跡
--最小の要求(データ保護機関に報告する必要がある)
--管理だけでなく侵害の被害を抑える(デジタル・フォレンジ...
--システム・アドミニストレータの否認防止の特徴
-データ露出の制限~
最善の方法は、収集するデータと保存する期間を制限
--本当に必要なデータだけ収集・アクセスするように制限
--データのライフサイクルを明確に定義し、それを記述する~
(ある種のアーカイブと削除の仕組みを導入する。)
-移動データ保護の仕組み
--暗号化
--匿名化と仮名化
---匿名化~
フィールドを削除するか、隠すことで、識別可能な情報を取り...
---仮名化~
識別可能な情報を仮名で置き換え、データ内で識別情報を分離。
--ロギングの規格・ガイドライン~
ログにPIIが含まれていないことを確認する。
***システムをチェックする [#e2e8ae52]
簡単なチェックリスト。
-収集するデータと目的
-データの保存期間~
収集したデータのライフサイクルを記録する。
-データを処理する基準~
データを収集する基準を記録する。
-データフロー図
--関係者
--階層
--プロトコル
-[[ユーザの権利>#l760ce24]]~
データ主体に権利を知らせ、その権利をどのように行使するか...
***拡大したユーザの権利をサポートする [#l760ce24]
-自動化したリアルタイムの運用を必要としない。~
(実際に必要なのは、30日以内に要求に回答するだけ)
-しかし、セルフサービスのユーザインタフェースを実装したほ...
-情報を削除することで、削除は達成できるが、~
部分的にそれを上書きし、事実上、それを匿名化した方が簡単。
***データ処理者かどうか? [#p90515ef]
-データ処理者は、制裁の責を負う。
-責任を避けるには、単にどのような状況下でも、
--PIIデータにアクセスしない、
--また、できないようにすること。
--そのことがどの契約にも明確に述べられているようにする。
-PIIデータの処理を避けるのは難しい場合、
--ログファイル、テスト環境、製品環境への緊急パッチにPIIデ...
--PIIデータベースに絶対にアクセスする必要がある場合、デー...
***GDPRの神話を壊す [#t2dab034]
-ユーザのデータを収集して処理することを止めるものではない。
-「クラウドサービスをやってはいけない。」ということではな...
-エクスポート時に、
--身元と結びつく全てを手に入れる訳ではない。
--直接収集された情報のみ含まれているべき。
-対策
--データ保護~
停止中や転送中に2048ビットキーですべてを暗号化することを...
--監査ログ、侵入検出など。~
すべて監査ログをとり、侵入検出とテストデータ管理のツール...
-制裁(罰金)
--制裁は、データ・プライバシについて何かし始めるための主...
--その時が来たら、罰金の範囲を決めるために使う多数の質問...
-[[ユーザの権利>#l760ce24]]
--必ずしも、自動的に行使する必要はない。
--しかし、その場合は、ユーザの身元と要求の正当性を確認す...
***結論 [#g7c30d5e]
-データ保護規則は、建設的で、
--透明性とプライバシを改善は、ユーザの信頼に繋がる。
--新しいシステムは、GDPRと互換性があるように構築すべき。
-解釈は進化し続け、
--データ侵害、監査、制裁が将来起きる。
--グレーゾーンには、常識が役に立つ。
**Information Law 情報法 > EUデータ保護規則(GDPR) [#ib3...
http://informationlaw.jp/category/world-data-protection/e...
-制定の経緯と手続~
http://informationlaw.jp/2016/09/06/eu-personal-data-prot...
-どのような場合に日本企業に適用されるのか~
http://informationlaw.jp/2016/09/13/eugdpr-jurisdiction-a...
-用語の定義:本人の同意がより厳しくなっています!~
http://informationlaw.jp/2016/09/26/eugdpr-definitions/
-規則の執行と罰則の強化・不服申立てと司法的救済~
http://informationlaw.jp/2016/09/28/eugdpr-enforcement-sa...
-データ保護byデザイン・デフォルト&データ保護影響評価~
http://informationlaw.jp/2016/11/02/eugdpr-data-protectio...
-匿名化と仮名化(Anonymisation & Pseudonymisation~
http://informationlaw.jp/2016/11/02/eugdpr-anonymisation-...
-監督機関とデータ保護評議会~
http://informationlaw.jp/2016/11/09/eugdpr-sa-edpb-consis...
-統一がなされない分野~
http://informationlaw.jp/2016/11/09/eugdpr-unharmonized-a...
-データ侵害の監督機関への通知とデータ主体への連絡~
(Data Breach Notification & Communication)~
http://informationlaw.jp/category/world-data-protection/e...
-EUのデータ保護改革の総仕上げ?~
-欧州委員会は電子通信における私生活の尊重と個人データの...
http://informationlaw.jp/category/world-data-protection/e...
-【便利帳】EUデータ保護規則とEUデータ保護指令の条文に関す...
http://informationlaw.jp/2016/10/24/eugdpr-eupdpd-website...
-【リスト】EUデータ保護規則本サイトページ一覧~
http://informationlaw.jp/2016/11/06/eugdpr-website-page-l...
***個人データの処理に関する7つの原則 [#cb1f6f65]
http://informationlaw.jp/2016/09/28/eugdpr-principles/
+合法性、公正性および透明性
+目的制限
+データ最小限性
+正確性
+保管制限
+完全性および機密性保持
+責任
***EU域外への個人データ移転 [#la39fe7b]
-①:概観&十分性の決定~
http://informationlaw.jp/2016/09/29/eugdpr-cross-border-d...
-②:十分な保護措置と拘束的企業準則~
http://informationlaw.jp/2016/10/05/eugdpr-cross-border-d...
-③:標準データ保護条項と契約条項~
http://informationlaw.jp/2016/10/06/eugdpr-cross-border-d...
-④:行動規範と認証~
http://informationlaw.jp/2016/10/07/eugdpr-cross-border-d...
--行動規範と認証/コンプライアンスの仕組みの強化~
http://informationlaw.jp/2016/10/07/eugdpr-certifications...
-⑤:特例による移転~
http://informationlaw.jp/2016/10/07/eugdpr-cross-border-d...
***データ主体の8つの権利 [#m2ca6c3f]
-ざっと概観しましょう~
http://informationlaw.jp/2016/10/20/eugdpr-data-subject-r...
-8つの権利
--①:情報の通知を受ける権利~
http://informationlaw.jp/2016/10/20/eugdpr-data-subject-r...
--②:アクセス権~
http://informationlaw.jp/2016/10/20/eugdpr-data-subject-r...
--③:訂正権(Right to rectification)~
http://informationlaw.jp/2016/10/21/eugdpr-data-subject-r...
--④:削除権(忘れられる権利)~
http://informationlaw.jp/2016/09/10/eugdpr-right-to-erasu...
---忘れられる権利――Google v. Spain~
http://informationlaw.jp/2016/10/19/right-to-be-forgotten...
--⑤:処理を制限する権利~
http://informationlaw.jp/2016/10/21/eugdpr-data-subject-r...
--⑥:データ携行の権利(Data Portability)~
http://informationlaw.jp/2016/10/25/eugdpr-data-subject-r...
--⑦:処理に対して異議を述べる権利(Right to object)~
http://informationlaw.jp/2016/10/25/eugdpr-data-subject-r...
--⑧:自動処理による決定の対象とならない権利/プロファイリ...
http://informationlaw.jp/2016/10/27/eugdpr-data-subject-r...
-⑨:データ主体の権利の範囲は制限されることがあります(Res...
http://informationlaw.jp/2016/10/27/eugdpr-data-subject-r...
***管理者 [#y42ce696]
-管理者の義務:情報の通知(Information Notices)~
http://informationlaw.jp/2016/10/20/eugdpr-controller-obl...
-管理者の責任と義務:ざっと見てみました~
http://informationlaw.jp/2016/10/28/eugdpr-controller-acc...
***処理者 [#o5b62107]
-処理者の選定、処理者との契約、処理者の義務~
http://informationlaw.jp/2016/11/04/eugdpr-content-of-dat...
***データ保護担当者 [#e72a5c19]
-データ保護担当者の指名・地位・役割~
http://informationlaw.jp/2016/11/06/eugdpr-designation-po...
**フジイユウジ::ドットネット [#w77cca97]
-今日からGDPR施行だけど実は何もしてなかったぜというWEB担...
http://fujii-yuji.net/2018/05/starting-gdpr-today.html
++欧州圏からアクセスできるとかユーザー1人いるとGDPR対象事...
++プライバシーポリシー更新してるだけで対応済みとしている...
***欧州連合に向けてのサービス提供の意思が明白か。 [#l0668...
-99.9%日本向けサービスだけど
>「何か間違って欧州にいるユーザーが混ざる可能性が微粒子レ...
>くらいなら対象外と考えても良さそう。
-以下のような条件を全て満たすなど、
--客観的に見ても明らかに日本国内向けのサービス
--日本語のみでサービス提供している~
(英語版もあるサービスは判断が難しくなります。)
--決済手段が日本向け(日本円のみなど)であることがわかる
--欧州へのサービスの提供について特段の記載がない
--実態としても欧州ユーザーがほぼいない(例外レベルの数はい...
***簡易なGDPR対応は難しくはない。 [#r3ec46a7]
-プライバシーポリシーにGDPRの権利を実行するときの窓口を書...
-できるだけ使ってるサード・パーティー・サービスを書く。
**清水誠メモ [#i68a1d50]
-GDPRの対策としてWebアナリストがすべきこと~
https://makoto-shimizu.com/news/gdpr-for-analysts/
***データ管理者 (Controller) [#e4515f25]
Webの運営者(事業会社・団体)
-事業に必要なデータの用途と処理過程を定義する
-それを訪問者へ分かりやすく説明する~
(プライバシーポリシーやCookieポリシー、入力フォーム掲載...
-GDPRに対応できる体制やルール、機能を持ったツールや委託先...
-データ取得と用途について、訪問者から事前の明示的な同意を...
-訪問者からデータの確認や削除要求を受けた場合は対応する
-目的達成に必要な保管期間を過ぎたデータは削除する
***データ処理者 (Processor) [#o5c1090e]
Google:Google Analytics, Adobe:Adobe Analytics
-データをセキュアに保管・処理する
-GDPR対応に必要な機能を実装する
-指定IDのデータを表示・エクスポート・削除できる機能
-用途に不要なデータの匿名(仮名)化
-保管期限を過ぎたデータの自動削除機能
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
