2018年7月30日 GDPRを勉強してきました。
ブログ管理者より
情報漏洩の約50%が紙ベース。
また一方で、情報漏洩の約80%が管理ミスなどの内部要因。
要は、『紙ベースの情報』 を 『キッチリ管理』 することにより
機密情報漏洩の可能性をかなり下げる事ができるのではないでしょうか??
このブログでは情報漏洩の事例を紹介することにより、
『事例のようなことが無くなれば問題が起きない』 という事に
観点を持ってもらえたら・・・
このような思いでお伝えしています。
GDPRを勉強してきました。
こんにちは。アリビオの寺元です。
週末の台風は何も問題なかったでしょうか。
地震、豪雨、台風とここ数か月
西日本は災難が続いています。
自然災害なのでどうしようもないのですが、
本当に人間の無力さを感じます。
さて、今回のお話は先月のメルマガと同じ、
『GDPR』のお話です。
関係ない方も多いかもしれないですが、
どういった内容か知っておくのは必要と思い
ご案内しております。
先月のお話では罰則規定のお話をしました。
マスコミ等の案内で多く取り上げられる内容でした。
まだまだどういった法律か知られていない状態で、
罰則規定などが一人歩きする傾向にあるようですが、
先日、三井住友海上さんのセミナーに参加をし、
より詳しく勉強してまいりました。
余談ですが、
改正個人情報保護法の解説セミナーの時と同じ講師である
『牛島法律総合事務所 影島広泰先生』のお話でした。
この先生のお話は本当に分かり易いお話で、
日本経済新聞社「企業が選ぶ弁護士ランキング」(2016年)の
情報管理部門で、「企業が選ぶランキング」2位に輝く。
このような先生のようです。
3時間に及ぶセミナーでしたので内容は非常に濃いものでしたが、
大事なこと2点だけお伝えしたいと思います。
最初にEUの弁護士に確認すべき点
<適用についてのルール>
自社がGDPRの適用を受けるのか受けないのか
取扱われる個人データがEU域内で処理されるか否かを問わず
GDPRが適用されるようです。
(法人格の有無も問わない)
EU域内に拠点がある場合、その拠点がどのような立ち位置にあるか。
これが重要なようです。
一つ
EUの拠点が現地で全ての事項を決定し動いている場合。
(独立した管理者である)
二つ
EUの拠点はあくまで出先で、行動における全ての決定権は
日本の本社の場合。
(独立した管理者ではない)
独立した管理者であることで適用を受けるようで、
一つ目の場合は「現地の出先」
二つ目の場合は「日本法人」
これらが適用となるそうです。
しかし、EUの弁護士に現状を伝えて判断を仰ぐことが大事だと。
自社では独立した管理者と思っていても、
実際には違うケースもあるのだと思います。
EUに拠点がなかっても適用されるケース
一つ
EUの方々向けに商品やサービスの「提供」をする場合。
(実際に提供できてなくても、オファーしているかどうか)
二つ
EUの方々の行動を監視する場合
(インターネットの行動を追跡しているかどうか)
こういった場合は現地に拠点がなくてもGDPRの適用となるそうです。
一つ目は例えばホテルなんかがそうではないでしょうか。
現地にホテルがなくても、現在は日本に来られる旅行客が多いです。
「ホームページが英語表記で見れる」
こんな場合はEUの方々に「オファー」している。
このように判断される可能性が高い。
従って、GDPRの適用となる。
ネットショップなどの場合、
決済がEUの通貨で決済ができるなども
考えられるようです。
二つ目の「EUの方々の行動を監視する場合」ですが、
これはインターネットの広告を思い出してください。
ネット検索をしたものが「広告」として画面にでますよね。
ご存知の通り、趣味趣向を追跡してその方が好むような
広告を画面表示する仕組みです。
これが適用されるようです。
大きくはこれら二つの状態が判断材料となるそうです。
しかし、この判断はあくまでEUの法律なので
EUの弁護士に聞かないと分からないそうです。
しかるべき弁護士ルートがなければ、動きようがない感じがします。
法律のことなのでリスクとなります。
もし、可能性があるようでしたら
弁護士さんに相談が必要と思われます。
今回一部のご案内をさせて頂きました。
また違った形ででも、ご案内をさせて頂ければと思います。
今後とも宜しくお願い致します。