GDPRとは?
GDPRでは、データ処理活動の管理における根本的な視点の変化があります。
日本企業がGDPRの適用がある場合とは?
- EU域内の拠点の活動に関連してなされる個人データの処理
EU域内の子会社や支社、関連会社は日本法人の「拠点」ですか? - EU域内にいるデータ主体(本人)に対する商品やサービスの「提供」をする
EU域内のデータ主体に明示的に商品やサービスをオファーしていますか?(有償・無償問わず) - EU域内のデータ主体(本人)の行動の監視
リターゲティング広告やユーザのページ閲覧履歴に基づくダイナミック広告、
GPSを使用したゲームや、アプリケーションの提供が、該当し得ます
(IPアドレス Cookie 位置情報など)
GDPRが日本とAPACのビジネスに及ぼす影響
GDPRが、EU外のプロバイダやコントラクタには適用されないと考えることは間違いです。 グローバリーゼーションは、企業とサービスがいくつもの国境を越えて活動することを可能にしました。 つまり、GDPRはEU域内よりも広範囲に影響をもっているのです。この新しい規則の下では、データフロー、 転送及およびプロセスを管理するすべての組織が明確な文書化を行い、ビジネス慣行を新しい規則に適合されることが期待されています。
GDPRの新しい要件の多くは、PIPEDAおよびCASLと連携しています。コンプライアンスを実践している組織であれば、 既に適切なプラクティスとポリシーが準備できているかもしれません。 しかし、制裁金や手数料が非常に高いため、組織は以下の事を確実に行うべきです。
- EU向けの同意フォームをレビューする
- データプロセッサとの全ての契約をレビューする
- チーフプロテクションオフィサー(CPO)がいない場合は採用し、方針をGDPRの要件に合わせる
- EUの個人データに適用されるプライバシーおよびデータ保護ポリシーをレビューする
- 内部ポリシーを見直し、修正が必要かどうかを検討する
- 義務を知り理解するために弁護士に相談する
義務の概要
GDPR下における義務の概要
個人データの取扱いに関する原則(5条)
処理の適法性(6条)
センシティブデータの処理の適法性(9条)
透明性及び提供すべき情報(12条~14条)
データ主体の権利の尊重(15条~22条)
管理者の責任(24条~27条、35条~36条)
処理者の責任(28条・82条)
処理の適法性(6条)
センシティブデータの処理の適法性(9条)
透明性及び提供すべき情報(12条~14条)
データ主体の権利の尊重(15条~22条)
管理者の責任(24条~27条、35条~36条)
処理者の責任(28条・82条)
記録保持義務(30条)
取扱いの安全性に関する義務(32条)
個人データ侵害時の通知義務(33条・34条)
データ保護責任者(DPO)の選任義務(37条~39条)
行動規範及び認証(40条~43条)
海外データ移転規制(44条~49条)
など
取扱いの安全性に関する義務(32条)
個人データ侵害時の通知義務(33条・34条)
データ保護責任者(DPO)の選任義務(37条~39条)
行動規範及び認証(40条~43条)
海外データ移転規制(44条~49条)
など
弊社は、お客様のこのような課題解決をご支援いたします。
お問い合わせ事例
どうしてGDPRが必要になったか?お問い合わせのお客様事例
EUの個人データを
扱っていて、
現実に対応が必要
扱っていて、
現実に対応が必要
機会損失を防ぐため、
取引先からの要求のため
取引先からの要求のため
取引先やサプライチェーン
からの除外の可能性
からの除外の可能性
グローバル企業で、
企業の個人データ保護の
統一基準として
GDPRに準拠するため
企業の個人データ保護の
統一基準として
GDPRに準拠するため
コンサルティング内容
GDPR Assessment and Gap Analysis
- GDPRの要求事項と現在状況を評価
- GDPRの要求事項とのGap分析、推奨対応策ご提示
質問箱の送付やヒアリング、プライバシーポリシーなどのドキュメントをレビューします。
GDPRの要求事項についての現状を調査し、課題を明確化するとともに必要な改善策を提案します。
アセスメントのステップ
step1
step2
step3
コンサルティング内容
GDPR Measure Execution
- プライバシーポリシー・既定の確認、不足要件についての指摘、助言
- 個人データ管理体制の指摘、助言
- 標準契約事項(SCC)/標準データ保護条項(SDPC)についての指摘、助言
- データ保護影響評価(DPIA)について、必要性の検討、指摘、助言
- 教育内容の確認、指摘、助言
- 監査体制の確認、指摘、助言
- インシデント発生時の体制の確認、指摘、助言
- インシデント発生時のエスカレーションフローの確認、指摘、助言
- GDPR第30条に基づく記録作成の指摘、助言
- 委任先選定基準の確認、指摘、助言
- データ主体への情報の通知方法などの確認、指摘、助言
- データ主体からの問い合わせ体制の確認、指摘、助言
- システム管理体制の確認、指摘、助言
- など
お客様のガバナンス構築をご支援致します。
| 主な要件 | 対応内容 | ||
|---|---|---|---|
| ガバナンス構築 | 違法な取扱い | プライバシーポリシー・規定の整備 | |
| 責任者・管理体制の整備 | 管理責任者、DPO、代理人等の任命、 役割・責任の明確化 | ||
| 国際移転に関わる保護措置 | 標準契約条項(SCC)/標準データ保護条項(SDPC)に基づく契約の締結 | ||
| DPIAの実施 | DPIA実施体制の整備、実施記録の作成 | ||
| 遵守の徹底 | 教育内容の整備、教育実施、記録の取得 | ||
| 遵守の証明 | 監査体制の整備、監査記録の立案、監査の実施、記録の取得 | ||
| インシデント報告 | 監督機関・データ主体への通知 | インシデント発生時のエスカレーションフロー、体制の整備 | |
| 個人データ侵害の記録 | 記録方法の整備、記録の取得 | ||
| 取引先管理 | 適切な取引先の選定 | 取引先選定体制の整備、取引先選定基準の整備 | |
| 取引先との契約締結 | 契約確認体制の整備、標準契約書の作成、取引先アセスの実施 | ||
| プロセス整備 | 適切な情報提供、同意取得 | データ主体への情報の通知、同意取得の内容・方法の整備 | |
| 取扱いの記録保管 | データマッピングの実施、台帳整備 | ||
| データ主体の権利への対応 | 問い合わせ体制の整備、問い合わせ対応手順の整備 | ||
| システム管理体制の整備 | システム管理の役割・責任の設定及び任命 | ||
| システム対応 | リスクに応じた技術的措置 | リスクに応じたシステム分類と技術的措置 | |
ご相談フォーム
Contact form
ご質問内容に合わせて、弊社スタッフから当日中に返信させて頂きます。
株式会社ユーピーエフ個人情報保護方針に則り、一般社団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク制度の認定を受けております。
みなさまからお預かりする大切な個人情報を安全に管理し、且つ当お問い合わせのご対応のみに使用いたします。
【個人情報の取り扱い】
個人情報保護管理者兼お問い合わせ窓口 : 岡本友輝(本社) TEL:03-6240-9470
利用目的 : 本個人情報のご入力はあくまでお問合せお見積りにお応えするためのみにご利用させて頂きます。
不必要な案内行為や利用目的以外には一切使用いたしません。
任意性:個人情報をご提示(ご記載)頂きますが、必須事項のご記入がない場合は利用目的(お問合せへの回答)を達成することが出来ないことがあります。
お役立ちコンテンツ
会社概要(4拠点)
Company infomation
| 企業名 | 株式会社ユーピーエフ |
|---|---|
| 所在地 | 東京本部(東日本コンサルティングセンター) 在籍コンサルタント:12名〒101-0025 東京都千代田区神田佐久間町3-9 第三田中ビル2F地 図 TEL:03-6240-9470 FAX:03-6240-9471  |
 | |
 | |
 | |
| URL | https://upfsecurity.co.jp/ |