2022年4月~改正個人情報保護法対策にも対応
そもそもGDPRとは何ですか?







日本企業がGDPRの適用がある場合とは?
- EU域内の拠点の活動に関連してなされる個人データの処理
EU域内の子会社や支社、関連会社は日本法人の「拠点」ですか? - EU域内にいるデータ主体(本人)に対する商品やサービスの「提供」をする
EU域内のデータ主体に明示的に商品やサービスをオファーしていますか?(有償・無償問わず) - EU域内のデータ主体(本人)の行動の監視
リターゲティング広告やユーザのページ閲覧履歴に基づくダイナミック広告、
GPSを使用したゲームや、アプリケーションの提供が、該当し得ます
(IPアドレス Cookie 位置情報など)
GDPRが日本とAPACのビジネスに及ぼす影響
GDPRが、EU外のプロバイダやコントラクタには適用されないと考えることは間違いです。 グローバリーゼーションは、企業とサービスがいくつもの国境を越えて活動することを可能にしました。 つまり、GDPRはEU域内よりも広範囲に影響をもっているのです。この新しい規則の下では、データフロー、 転送及びプロセスを管理するすべての組織が明確な文書化を行い、ビジネス慣行を新しい規則に適合されることが期待されています。
GDPRの新しい要件の多くは、PIPEDAおよびCASLと連携しています。コンプライアンスを実践している組織であれば、 既に適切なプラクティスとポリシーが準備できているかもしれません。 しかし、制裁金や手数料が非常に高いため、組織は以下の事を確実に行うべきです。

- EU向けの同意フォームをレビューする
- データプロセッサとの全ての契約をレビューする
- チーフプロテクションオフィサー(CPO)がいない場合は採用し、方針をGDPRの要件に合わせる
- EUの個人データに適用されるプライバシーおよびデータ保護ポリシーをレビューする
- 内部ポリシーを見直し、修正が必要かどうかを検討する
- 義務を知り理解するために弁護士に相談する
義務の概要
処理の適法性(6条)
センシティブデータの処理の適法性(9条)
透明性及び提供すべき情報(12条~14条)
データ主体の権利の尊重(15条~22条)
管理者の責任(24条~27条、35条~36条)
処理者の責任(28条・82条)
取扱いの安全性に関する義務(32条)
個人データ侵害時の通知義務(33条・34条)
データ保護責任者(DPO)の選任義務(37条~39条)
行動規範及び認証(40条~43条)
海外データ移転規制(44条~49条)
など





お問い合わせ事例
扱っていて、
現実に対応が必要
取引先からの要求のため
からの除外の可能性
企業の個人データ保護の
統一基準として
GDPRに準拠するため
コンサルティング内容
- GDPRの要求事項と現在状況を評価
- GDPRの要求事項とのGap分析、推奨対応策ご提示
質問箱の送付やヒアリング、プライバシーポリシーなどのドキュメントをレビューします。
GDPRの要求事項についての現状を調査し、課題を明確化するとともに必要な改善策を提案します。

アセスメントのステップ

コンサルティング内容
- プライバシーポリシー・既定の確認、不足要件についての指摘、助言
- 個人データ管理体制の指摘、助言
- 標準契約事項(SCC)/標準データ保護条項(SDPC)についての指摘、助言
- データ保護影響評価(DPIA)について、必要性の検討、指摘、助言
- 教育内容の確認、指摘、助言
- 監査体制の確認、指摘、助言
- インシデント発生時の体制の確認、指摘、助言
- インシデント発生時のエスカレーションフローの確認、指摘、助言
- GDPR第30条に基づく記録作成の指摘、助言
- 委任先選定基準の確認、指摘、助言
- データ主体への情報の通知方法などの確認、指摘、助言
- データ主体からの問い合わせ体制の確認、指摘、助言
- システム管理体制の確認、指摘、助言
- など
主な要件 | 対応内容 | ||
---|---|---|---|
ガバナンス構築 | 違法な取扱い | プライバシーポリシー・規定の整備 | |
責任者・管理体制の整備 | 管理責任者、DPO、代理人等の任命、 役割・責任の明確化 | ||
国際移転に関わる保護措置 | 標準契約条項(SCC)/標準データ保護条項(SDPC)に基づく契約の締結 | ||
DPIAの実施 | DPIA実施体制の整備、実施記録の作成 | ||
遵守の徹底 | 教育内容の整備、教育実施、記録の取得 | ||
遵守の証明 | 監査体制の整備、監査記録の立案、監査の実施、記録の取得 | ||
インシデント報告 | 監督機関・データ主体への通知 | インシデント発生時のエスカレーションフロー、体制の整備 | |
個人データ侵害の記録 | 記録方法の整備、記録の取得 | ||
取引先管理 | 適切な取引先の選定 | 取引先選定体制の整備、取引先選定基準の整備 | |
取引先との契約締結 | 契約確認体制の整備、標準契約書の作成、取引先アセスの実施 | ||
プロセス整備 | 適切な情報提供、同意取得 | データ主体への情報の通知、同意取得の内容・方法の整備 | |
取扱いの記録保管 | データマッピングの実施、台帳整備 | ||
データ主体の権利への対応 | 問い合わせ体制の整備、問い合わせ対応手順の整備 | ||
システム管理体制の整備 | システム管理の役割・責任の設定及び任命 | ||
システム対応 | リスクに応じた技術的措置 | リスクに応じたシステム分類と技術的措置 |
ご相談フォーム
ご質問内容に合わせて、弊社スタッフから当日中に返信させて頂きます。
お役立ちコンテンツ
会社概要(4拠点)
企業名 | 株式会社ユーピーエフ![]() |
---|---|
所在地 | 東京本部(東日本コンサルティングセンター) 在籍コンサルタント:12名〒103-0001 東京都中央区日本橋小伝馬町2-4 三報ビル5階地 図 TEL:03-6661-0846 FAX:03-6231-1132 ![]() |
![]() | |
大阪営業所(関西コンサルティングセンター) 在籍コンサルタント:5名〒532-0011 大阪府大阪市淀川区西中島3-18-21 NLC新大阪18号館2階地 図 TEL:06-6195-2742 FAX:06-6195-2743 ![]() | |
福岡営業所(九州コンサルティングセンター) 在籍コンサルタント:3名〒815-0033 福岡市南区大橋1-8-19 プロベニオ大橋3F地 図 ※お電話は本社にて一括でお受けさせて頂く形となります。 本社電話番号:03-6661-0846(福岡営業所係) ![]() | |
反社会的勢力に対する基本方針 | https://upfsecurity.co.jp/antisocial/ |
個人情報保護方針 | https://upfsecurity.co.jp/privacy/ |
URL | https://upfsecurity.co.jp/ |