[2018/12/15]グローバル内部通報制度の導入解説

グローバル内部通報制度の導入解説を致します。

こちらは#legalACイベントの投稿になります。


海外子会社の管理の1つの手法として海外子会社の社員を対象とする内部通報制度を導入したいですが、そもそも、どこに、どのような依頼をすればよいのか、どのような手順で導入を進めるべきかが分からない、というご相談があります。 そこで、実際にグローバル内部通報制度を設計し、外部窓口を受任し、通報を受付け、内部不正の調査を行っている法律事務所の見地からグローバル内部通報制度の制度設計から導入・運用までを解説します。 
このような解説は、とかく抽象的・概念的になりがちですので、なるべく、具体的なサービスの固有名詞やコスト感のお話しもしたいと思います。

1  グローバル内部通報制の制度設計

Q  グローバル内部通報制度とは、どのような制度でしょうか?

その定義はどのようなものでしょうか?

A  まず、グローバル内部通報制度という制度は、法律上の制度でも、企業の方々に一般に共通認識のある制度でもありません。

その意味するところは、【スライドP2】の右手にあるレポーティングラインが示しているように海外子会社の社員が所属する子会社が設置する内部通報窓口に通報するルートとは別に、子会社・親会社の垣根を超えて、子会社の社員が、ダイレクトに親会社が設置する内部通報窓口に内部通報するレポーティングラインを指しています。

これに対し、スライドの左手にある図は、各海外子会社の社員が所属する子会社の窓口に通報し、その内、子会社が特に重要なインシデントだけをスクリーニングし、親会社に対しレポーティングする、エスカレーションする通常の内部通報制度の設計を示しています。

グローバルに展開する日本企業は、通常、このスライド左手の設計(これをローカル内部通報制度と呼びます)を導入しています。

2 グローバル内部通報制度とローカル内部通報制度

Q ローカル内部通報制度の欠点は何でしようか?グローバル内部通報制度を導入する意図はどのようなものでしようか?

A  グローバルにビジネスを展開する日本企業にとって、目の行き届く国内企業よりも、海外子会社の不祥事がリスクが大きく、近時の大きな会計不正や、不祥事は海外で発生しているという事実は看過できません。

そして、内部通報が各海外子会社が設置する窓口だけであると、海外子会社の社長や幹部が主導する海外子会社ぐるみの不正行為に対しては無力です。

なぜなら、仮に海外子会社の社員が内部通報をしたとしても、それは、海外子会社内部でもみ消されることになり、日本本社へエスカレーションすることなく、日本本社が対応する機会を逸してしまうからです。

そこで、グローバル内部通報制度を導入することにより、日本本社が主導し、不正調査チームの組成を行い、海外子会社ぐるみの不正とその隠蔽行為を調査することが可能となります。

3 グローバル内部通報制度の外部窓口を誰に依頼すべきか?

Q 通報窓口業務担うプレーヤーにはどのような形態が存在するでしょうか?

A  通報窓口業務担うプレーヤーには以下のようなプレーヤーが存在します。

(1)多言語対応の通報受付け受託会社

以下の2社に対するご相談が最も高い頻度で私のところに来ています。

NAVEX Global

https://www.navexglobal.com/

ディー・クエスト

https://www.d-quest.co.jp/

(2)世界各国のローカル法律事務所

(3)監査法人系コンサルティング

デロイトトーマツさんが積極的です。https://www2.deloitte.com/jp/ja/pages/risk/solutions/cm/hl.html?gclid=Cj0KCQiAxs3gBRDGARIsAO4tqq1S47AJ4Joi3ORvCaz5Fi8UQIuJ87TA_-DCNVrWaiikswLMlNUNsZ4aAm-fEALw_wcB

(4) グローバルネットワークを有する法律事務所

内部通報窓口を企業の内部者のみならず、外部に置く場合には、上記のような通報窓口業務担うプレーヤーにどのような機能を期待できるのかを考慮に入れながら選択することになります。

①多言語対応、日本語への翻訳が可能か、

②通報を受け付けた後、実際に調査が必要な事案であると発覚した場合に、速やかに海外の現地にて調査チームや調査委員会を組成して、現地での事実調査に開始することが可能か、

③各国の法制度や内部通報制度に対する法的規制を踏まえた内部通報の受付けと事後処理が可能か(この点については、次の項目で解説します。)

が重要となります。

この点、まずは、通報を受付けて日本語に翻訳をして企業に伝達するだけの機能で足りるのか、通報を受付けてから実際の調査を依頼することもあり得るのかで、通報受付け受託会社なのか、不正調査可能な法律事務所なのかを決定することになります。

そして、各国の法律事務所に個々的に窓口を依頼する場合と、1つのグローバル展開をしている事務所に窓口を包括的に依頼する場合があり得ます。

いずれも、依頼可能な業務・機能とそれに要するコストを勘案し、企業の内部的なリソースを踏まえて決定することになるでしょう。

4 グローバル内部通報制度の導入手順

Q グローバル内部通報制度の導入手順はどのように進めればよいでしょうか?

A まずは、どの現地法人・支店を対象にするかを決定する必要があります。海外子会社には、様々な形態や機能(購買機能、R&D機能、生産機能、営業機能)を持ち、また社員の規模もまちまちです。 

そこで、私の場合は、グローバル内部通報制度の導入および運用の負荷も考慮して、

「内部不正の起こり得る発生確率×社員規模」の相関でリスク度の高い現地法人・支店を優先的に導入しましょう、というアドバイスをしています。

例えば、タイの現地法人の社員数は、1000人いたとしても、タイ現地法人には、工場の作業員のみしかおらず生産機能のみを担っている、逆に購買機能や営業機能がなく不正が起きにくい環境であれば、その国の内部通報制度の導入の優先順位は、相対的に下げても良いですし、逆に、シンガポール現法では、社員数は、100人ですが、営業機能・購買機能を有しており、内部不正が起きやすい条件がそろっている、さらには、カンボジア現法では、公務員との癒着が起きやすい文化的背景がある、などの定性的な事情も含めて判断していきます。

そして、導入対象の現地法人・支店が決まると、次に当該現地法人・支店に適用される各国の内部通報法制などにしたがった内部通報制度設計の要求事項を抽出していきます。

Q 各国の内部通報法制などにしたがった内部通報制度設計の要求事項は具体的にどのようなものがあるでしょうか?

(1) 内部通報規制などの要求事項

【スライドP3】をご覧ください。各国の内部通報規制には、以下の制度設計についての要求事項があります。日本では、公益通報者保護法が存在しますが、海外でも日本同様、内部通報制度の制度設計の際に配慮する必要がある法規制があります。

適用法令要求事項

内部通報規制
・通報者の範囲は?
・通報内容の範囲は?
・匿名通報が許される?顕名が必要?
・フィードバック義務がある?
・内部通報制度の設置に届出義務ある?

労働法・通報者の保護策は?

個人情報保護法
・通報者・被通報者の個人情報の国外移転が許容される?
・国外移転の正当な利益が認められる?

(2) 要求事項を踏まえた内部通報制度の制度設計

上記の表のように主として3つの領域の要求事項がありますので、まずは、これらの適用法令のリサーチを行い、その要求事項に抵触しない範囲で、内部通報制度の制度設計をデザインしていきます。

5 内部通報規制からの制度設計に対する制約

Q 内部通報規制は制度設計にどのように影響するでしょうか?どのような内部通報規制があるのでしょうか?

A  第一に、最も重要なのが、各国の内部通報規制です。

全ての国がこの規制を課しているわけではありませんが、日本企業の海外拠点があるような欧米・アジアの主要先進国には、置かれていることが多いこと、また、この規制の存在を知らずに通報受付窓口業務だけを通報受付け受託会社に委託している企業が多いことに留意が必要です。

すなわち、各国の内部通報規制に照らして、その枠内で設計することが必要です。例えば、ある国の内部通報規制で、匿名での通報者も法律上保護されなければならないのに、企業の制度設計として顕名通報のみを受付けるといった制度設計は、現地の法令に抵触するリスクが発生するわけです。

同様に、通報内容の範囲として、企業内の不正には、不正会計、品質検査不正、セクハラ、パワハラ、取引先企業との癒着・価格協定・キックバック、公務員に対する贈賄、機密情報の持ち出しなど様々な不正類型がありますが、どこまでの通報内容を制度として保護するか、を決定する必要があります。

そのほか、通報者に対して、通報後になされた社内調査の結果および再発防止策の実行などについて通報者にフィードバックをする義務があるか、など

さらには、国よっては、内部通報制度の設置に届出義務があるケースもあります。

6 労働法上の通報者の保護

第二に、通報者の労働法上の保護です。【スライドP4】をご覧ください。

通報者が社員である場合、通報したことによる不利益的取扱いを行ってはならないことは、世界共通の労働法の要求事項でありますが、企業に対する禁止の仕方は様々です。

例えば、内部通報制度によって企業不正を抑止・検知すべきだとするUSのSOX法は、内部通報に対する企業の報復措置に対しては、刑事罰が課されるなど通報者の保護を徹底しています。

7 個人情報保護法からの制約

第三に、個人情報保護法です。【スライドP5】をご覧ください。

社員が子会社・親会社の国を超えて、日本の窓口に通報する場合、通報者および被通報者の個人情報が現地国から日本所在の日本本社に移転する事象が発生します。

特に、被通報者の個人情報は、不正行為や当人の人事情報、過去の懲戒履歴など機微にわたる個人情報が日本本社に国外移転・第三者提供されることになるわけです。

何らかの不正行為が発生してから事後的に個人情報保護法の国外移転・第三者提供のクリアランスを行うわけにはいきません。

すなわち、不正行為者(被通報者)に対して「あなたの不正行為の疑いのある事実とあなたに関する個人情報を親会社に対して提供し、あなたを親会社で組成した調査チームで調査しますが、個人情報の国外移転と第三者提供に関して同意してもらえますか?」と問うのは現実的ではありません。

したがって、グローバル内部通報制度の導入する当初にこのような個人情報のフローを包括的にカバーするクリアランスを実行しておくことが必要になるわけです。

例えば、EUの個人情報保護法であるGDPRでは、EU域外移転規制のクリアランスは、SCCの締結であり、子会社から親会社間の第三者提供のクリアランスは、同意や正当な利益を正当化根拠として使うことがありますが、これらクリアランスの実装をグローバル内部制度の導入時点で、完了しておく必要があります。

8 各適用法令を踏まえた制度設計と内部通報規程への落とし込み

Q 各適用法令を踏まえた制度設計が決まったら、どのようなドキュメントが必要になりますか?

A  上記で見ました各適用法令を踏まえた制度設計を行うことができましたら、これを社内規程化、すなわち各国現地法人・支店で策定される「内部通報規程」へ落とし込みを行います。 

さらには、通報を受付ける窓口の連絡先メール・電話番号を決定し、内部通報規程の概要と説明文を付した社員や外部取引先に対して周知する文書の作成や、ウェブサイトを構築して導入手続きは完成です。

9 導入のための作業期間・コストと運用のためのコスト

Q 導入のための作業期間・コストと運用のためのコストはどのくらい見込んでおけばよいですか?

A  企業の皆様が気になると思われる内部通報制度の設計の初期費用と運用のための費用についてなるべく具体的に解説します。

わたしが行っているケース限定でのお話しですが、グローバル内部通報制度の設定に必要な「各国規制のリサーチ」については、おおむね100万円/国(法域)前後となるケースが多いです。これは、日本の弁護士費用と現地の弁護士費用(下請け費用を含みます。)を合算した費用です。期間にして、1か月間ほどかかることが通常です。 

そして、これらを踏まえて各国において策定される「内部通報規程および社員に対する説明文の作成」について、企業のご担当者の皆様と採り得る選択肢の中から最適な設計を会議セットの中でご相談して作り込み、それを規程化、さらには、ローカライズ(現地語への翻訳)を行っていきますが、50万円(英語)から75万円(英語以外)/国(法域)前後となるケースが多いです。

次に、わたし大井とその他4、5名の日本人弁護士を中心に、事案に応じて5名程度の国内外の外国法弁護士の体制で外部窓口を受任するケースでは、会社規模や国数に応じて、固定コストにつき10万円から20万円/月とメールによる通報受付作業、通報者との連絡、通報者に対する質問、通報者の要望聴取、簡易な調査作業についてタイムチャージベースでコストを算出しています。

対応している国(法域)は、日本、米国、中国、韓国、イギリス、ドイツ、フランス、シンガポール、カンボジア、ミャンマー、タイとなります。

(補足)  応用事例としてのGDPRに基づくEU代理人の設置

最後に内部通報窓口とは異なりますが、その応用事例としてGDPRに基づくEU代理人の設置についても触れておきます。

日本企業にGDPRが適用され、かつEUに拠点を有していないGDPR3条2項aが適用される場合で、EUに代理人を設置する必要があるケースで、EU代理人を依頼したいというご相談をよく受けます。

このようなEU代理人を受任するサービスは極めて少ないと言いますか、わたしは、他社さんがEU代理人業務をサービスメニューとして提供しているケースに未だ出会ったことがないのですが、当事務所の在東京のGDPR対応チームと、在イギリス、ドイツ弁護士と業務連携して、EU代理人業務(EU在住の個人の方からの問い合わせ受付け、EU当局からの問い合わせ受付け)も行っています。

長くなりましたので、こちらの詳細は、またの機会にお話したいと思います。


[2019/01/21] 世界各国の個人情報保護法への対応 ~ポストGDPR のアメリカ・アジアなど各国規制対応~

講師:大井 哲也
日時:2019年01月21日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 GDPRの施行日である2018年5月25日に照準を合わせて、グローバルでビジネス展開する日本企業はGDPR対応を行ってきました。一方で、GDPRは、EU地域にユニークな厳しい個人情報保護規制であるという誤解から、EU地域以外のアメリカ、アジアなど各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられています。
 アメリカのカリフォルニア州では、カリフォルニア州個人情報保護法が成立するなど、個人情報保護の潮流は、世界に広がってきています。日本企業にとって商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱われる個人データ数が大きいアメリカ及びアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況になっています。なぜなら、規制内容によっては、GDPRよりも、さらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく、経済産業政策として個人データを国内に囲い込むべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきかを解説し、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用手法とマーケット・スケールの分析
(3)各国ローカル規制対応とグローバル方針策定の手順

4.世界主要国の個人情報保護規制の解説
(1)インド 
(2)シンガポール 
(3)韓国 
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ(カリフォルニア州個人情報保護法)
(9)ロシア 
(10)中国

[2019/01/17] 新 GDPR 十分性認定移転補完的ルールへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべ…

講師:大井 哲也
日時:2019年01月17日(木)14:00~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 2018年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 また、8月24日、個人情報保護委員会事務局から「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」がリリースされました。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答

[2018/12/08] 「システム開発プロジェクトの中止」レジュメ公開

情報ネットワーク法学会 第18回研究大会 システム開発プロジェクトの中止
〜その手法とタイミングの見極め〜
のレジュメを公開します。

お申込み未了の方は、下記リンクまで。
http://www.in-law.jp/bn/2018/20181116.html

第3分科会【システム開発プロジェクトの中止〜その手法とタイミングの見極め〜】
講師:伊藤雅浩弁護士(シティライツ法律事務所)
   影島広泰弁護士(牛島総合法律事務所)
   杦岡充宏氏
   大井哲也
日時:2018年12月08日(土)15:10~16:40
会場:立正大学品川キャンパス 9B21
   東京都品川区大崎4-2-16
主催:情報ネットワーク法学会

[2018/12/17] 新 GDPR 十分性認定移転補完的ルールへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべ…

講師:大井 哲也
日時:2018年12月17日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 また、本年8月24日、個人情報保護委員会事務局から「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」がリリースされました。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答

[2018/12/17] 個人情報を企業で活用するための法務・倫理講座

講師:一般財団法人日本情報経済社会推進協会・坂下 哲也 氏、
   KPMGコンサルティング株式会社・大洞 健治郎 氏、
   大井 哲也
日時:2018年12月17日(月) 10:00~17:20
会場:宣伝会議 表参道セミナールーム 
   東京都港区南青山3-11-13 新青山東急ビル8階
主催:株式会社宣伝会議
問い合わせ先:株式会社宣伝会議
Tel:03-3475-3030
セミナーの詳細・お申込みはこちら

<内 容>
10:00-12:00:
「国内外の個人情報取り扱いに関する法制度の概論と、企業が目指すべき地点」について解説いたします。
・活用対象となりうるデータの種類
・個人データの取り扱いに対する法規制
・データは誰の物か
・企業が取るべき対策レベル

[2018/12/08] 情報ネットワーク法学会 第18回研究大会 システム開発プロジェクトの中止〜その手法とタイミングの見極め〜

講師:伊藤雅浩弁護士(シティライツ法律事務所)
   影島広泰弁護士(牛島総合法律事務所)
   杦岡充宏氏
   大井哲也
日時:2018年12月08日(土)15:10~16:40
会場:立正大学品川キャンパス 9B21
   東京都品川区大崎4-2-16
主催:情報ネットワーク法学会
問い合わせ先:情報ネットワーク法学会 研究大会実行委員会
Email:taikai-infoatin-law.jp
詳細はこちら

<内 容>
第3分科会【システム開発プロジェクトの中止〜その手法とタイミングの見極め〜】

[2018/12/07] 世界各国の個人情報保護法への対応 ~ポストGDPR のアメリカ・アジアなど各国規制対応~

講師:大井 哲也
日時:2018年12月7日(金)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 GDPRの施行日である本年5月25日に照準を合わせて、グローバルでビジネス展開する日本企業はGDPR対応を行ってきました。一方で、GDPRは、EU地域にユニークな厳しい個人情報保護規制であるという誤解から、EU地域以外のアメリカ、アジアなど各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられています。
 アメリカのカリフォルニア州では、カリフォルニア州個人情報保護法が成立するなど、個人情報保護の潮流は、世界に広がってきています。日本企業にとって商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱われる個人データ数が大きいアメリカ及びアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況になっています。なぜなら、規制内容によっては、GDPRよりも、さらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく、経済産業政策として個人データを国内に囲い込むべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきかを解説し、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用手法とマーケット・スケールの分析
(3)各国ローカル規制対応とグローバル方針策定の手順

4.世界主要国の個人情報保護規制の解説
(1)インド 
(2)シンガポール 
(3)韓国 
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ(カリフォルニア州個人情報保護法)
(9)ロシア 
(10)中国

[2018/11/30] 世界各国の『個人情報保護法』対応 〜ポストGDPRの各国規制対応〜

講師:大井 哲也
日時:2018年11月30日(金)13:00~17:00
会場:企業研究会セミナールーム
   東京都千代田区麹町5丁目7番2号
   MFPR麹町ビル 2F(旧:麹町M-SQUARE)
主催:企業研究会
問い合わせ先:企業研究会公開セミナー事業グループ
Tel:03-5215-3514
   セミナーの詳細・お申込みはこちら

<内 容>
 日本企業の世界進出に伴い、グローバルレベルでのクラウドサービスの導入、インターネット・コンテンツやSNSサービスの世界各国への提供が近年、急速に拡大しています。そのため、グローバルでビジネス展開する日本企業も本年5月25日に施行されたGDPRの対応を行ってきました。しかしながら、GDPRはEU地域に特有の厳しい個人情報保護規制であるという誤解からEU地域以外のヨーロッパ各国、中東、アメリカ、アジア各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられます。
 特に、日本企業の商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱いボリュームが大きいアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況です。なぜなら規制内容によっては、GDPRよりもさらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく経済産業の国策として個人データを保護すべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきか、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
   ・要求事項の厳格度
   ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制とは

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用とマーケットの分析
(3)グローバル共有対応とローカル対応の考え方

4.世界主要国の個人情報保護規制の解説
(1)中国
(2)インド
(3)シンガポール
(4)韓国
(5)香港
(6)台湾
(7)フィリピン
(8)オーストラリア
(9)アメリカ
(10)ロシア

[2018/11/26] 海外子会社管理のためのコンプライアンスプログラム ~グローバル企業の法令遵守・グローバル不正監査体制の構築~(グロ…

講師:戸田 謙太郎 / 大井 哲也
日時:2018年11月26日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
   セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも、十分な対策を講じることができていないのが現状です。ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず、本社あるいはグループ全体の信用失墜につながることも少なくありません。海外展開する企業にとって、海外子会社の管理体制(グローバル・コンプライアンスプログラム)構築が急務となっています。
 一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるかの判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたって内部通報ガイドラインの内容を無視することはできません。さらに、いわゆる日本版司法取引制度が平成30年6月1日から施行されるため、かかる制度の運用を意識した法令遵守・不正監査体制の構築が不可欠です。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。

1. 海外子会社不祥事の最新事例の紹介

2. 海外子会社管理のために検討すべき海外法令と法律問題
 (1) 贈収賄規制(外国公務員の贈賄規制を含む)
 (2)独占禁止法・競争法
 (3)個人情報保護法・営業秘密の管理
 (4)サプライチェーンに対する規制(人権DD・英国現代奴隷法等)
 (5)海外反社に対する規制(OFAC規制等)

3. 法令遵守・不正監査体制の構築
 (1)不正行為の未然防止のための体制
   1)リスク・アセスメント
   2)コンプライアンス規程の整備
   3)社内研修の実施
   4)相談窓口の整備
 (2)不正行為の早期発見のための体制
   1)グローバル不正監査体制の構築
   2)グローバル内部通報制度の導入
 (3)グローバルでの有事対応体制
   1)有事における対応マニュアル
   2)有事におけるレポーティングライン
   3)海外ローファームとの連携
   4)海外における現地調査委員会の組成

[2018/11/19] 新 GDPR 十分性認定移転補完的ルールへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべ…

講師:大井 哲也
日時:2018年11月19日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
   セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 また、本年8月24日、個人情報保護委員会事務局から「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」がリリースされました。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答

[2018/11/05] 民法改正のシステム開発実務への影響

講師:大井 哲也
日時:2018年11月05日(月)13:00~17:00
会場:企業研究会セミナールーム
   東京都千代田区麹町5丁目7番2号
   MFPR麹町ビル 2F(旧:麹町M-SQUARE)
主催:企業研究会
問い合わせ先:企業研究会公開セミナー事業グループ
Tel:03-5215-3514
   セミナーの詳細・お申込みはこちら

<内 容>
 IBM対スルガ訴訟に代表されるように大規模化かつ複雑化したシステム開発は、相当程度高い確率で納期遅延やプロダクトの欠陥などの紛争リスクを抱えています。また今般の改正民法の成立により、システム開発プロセスにも大きな影響を受けることになります。
 本セミナーでは、法律論の教科書的な解説を越えた実務に即した紛争解決の勘所をベンダ及びユーザ、法務部門、及び情シス部門の両者に向けてご説明致します。

1.民法改正とシステム開発紛争への影響
 (1)瑕疵担保責任と契約不適合
 (2)代金減額請求権と賠償請求権の起算点
 (3)開発プロジェクトが途中頓挫した場合の報酬請求権
 (4)成果物完成型の準委任契約

2.システム開発契約
 (1)契約作成プロセスでの法務部門と情シス部門の役割
 (2)ウォーターフォール型契約の各フェーズ
 (3)システム開発契約の条項解説と一歩進んだ条項の検討
 (4)システム開発契約の肝となる別紙の作成

3.システム開発紛争の頻発類型
 (1)請負又は委任の契約類型の明確化の欠如
 (2)開発スコープの明確化の欠如
 (3)テストケースの粒度と網羅性の不足
 (4)検収手続の能力不足及び不備
 (5)発注者又は受注者のPMの不備
 (6)プロダクトの欠陥及び情報セキュリティ上の脆弱性

4.システム開発プロセスにおける勘所
 (1)ビジネス要件定義の精緻化
 (2)発注者PM及び情シス部門の役割
 (3)裁判を意識したプロジェクト管理と証拠収集
 (4)PMへの法務部の関与

5.システム開発訴訟の勘所
 (1)システム開発訴訟の期間とコスト
 (2)裁判官のリテラシー
 (3)専門委員のリテラシーと活用
 (4)システム開発の失敗と損害の相当因果関係の範囲
 (5)裁判官の心証を決定する証拠収集
 (6)私的鑑定意見書の依頼方法と成果物
 (7)裁判上の和解の留意点

[2018/10/30] 世界各国の個人情報保護法への対応 ~ポストGDPR のアメリカ・アジアなど各国規制対応~

講師:大井 哲也
日時:2018年10月30日(火)13:30~16:30
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
   セミナーの詳細・お申込みはこちら

<内 容>
 GDPRの施行日である本年5月25日に照準を合わせて、グローバルでビジネス展開する日本企業はGDPR対応を行ってきました。一方で、GDPRは、EU地域にユニークな厳しい個人情報保護規制であるという誤解から、EU地域以外のアメリカ、アジアなど各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられています。
 アメリカのカリフォルニア州では、カリフォルニア州個人情報保護法が成立するなど、個人情報保護の潮流は、世界に広がってきています。日本企業にとって商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱われる個人データ数が大きいアメリカ及びアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況になっています。なぜなら、規制内容によっては、GDPRよりも、さらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく、経済産業政策として個人データを国内に囲い込むべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきかを解説し、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用手法とマーケット・スケールの分析
(3)各国ローカル規制対応とグローバル方針策定の手順

4.世界主要国の個人情報保護規制の解説
(1)インド 
(2)シンガポール 
(3)韓国 
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ(カリフォルニア州個人情報保護法)
(9)ロシア 
(10)中国

[2018/10/25] 新 GDPR 十分性認定移転補完的ルールへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべ…

講師:大井 哲也
日時:2018年10月25日(木)13:30~16:30
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
   セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 また、本年8月24日、個人情報保護委員会事務局から「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」がリリースされました。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
 (1) GDPRの適用範囲の見極め
 (2) GDPR対応のうち必須項目とは?
 (3) GDPR上の義務と現実的な対応策
 (4) EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
 (1) 域外移転規制
 (2) 十分性認定移転補完的ルールの解説
 (3) SCCとの関係
 (4) 十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答

[2018/10/15] 海外子会社管理のためのコンプライアンスプログラム

講師:戸田 謙太郎 / 大井 哲也
日時:2018年10月15日(月)13:00~17:00
会場:企業研究会セミナールーム
   東京都千代田区麹町5丁目7番2号
   MFPR麹町ビル 2F(旧:麹町M-SQUARE)
主催:企業研究会
問い合わせ先:企業研究会公開セミナー事業グループ
Tel:03-5215-3514
   セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも十分な対策を講じることができていないのが現状です。しかし、ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず本社あるいはグループ全体の信用失墜につながることも少なくありません。
 そこで海外展開する企業にとっては、海外子会社の管理体制(グローバル・コンプライアンスプログラム)を構築することが急務となっています。もっとも一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるか判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。
 また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたり内部通報ガイドラインの内容を無視することはできません。さらに、いわゆる日本版司法取引制度が平成30年6月1日から施行されたため、かかる制度の運用を意識した法令遵守・不正監査体制の構築が不可欠です。
 そこで、本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。

1. 海外子会社不祥事の最新事例の紹介

2. 海外子会社管理のために検討すべき海外法令と法律問題
 (1) 贈収賄規制(外国公務員の贈賄規制を含む)
 (2)独占禁止法・競争法
 (3)個人情報保護法・営業秘密の管理
 (4)サプライチェーンに対する規制(人権DD・英国現代奴隷法等)
 (5)海外反社に対する規制(OFAC規制等)

3. 法令遵守・不正監査体制の構築
 (1)不正行為の未然防止のための体制
   1)リスク・アセスメント
   2)コンプライアンス規程の整備
   3)社内研修の実施
   4)相談窓口の整備
 (2)不正行為の早期発見のための体制
   1)グローバル不正監査体制の構築
   2)グローバル内部通報制度の導入
 (3)グローバルでの有事対応体制
   1)有事における対応マニュアル
   2)有事におけるレポーティングライン
   3)海外ローファームとの連携
   4)海外における現地調査委員会の組成

[2018/10/10] FinTech におけるAPI 利用契約の実務 ~データ利活用のための規制と改正銀行法対応 API 利用契約の整備…

講師:大井 哲也
日時:2018年10月10日(水)13:30~16:30
会場:株式会社セミナーインフォ カンファレンスルーム
   東京都千代田区九段南2-2-3 九段プラザビル2F
主催:株式会社セミナーインフォ セミナー事業部
TEL:03-3239-6544
    セミナーの詳細・お申込みはこちら

<内 容>
 金融機関が保有している顧客の取引履歴、保有金融資産データ、決済データに加え、顧客の家族構成などの属性情報、趣味・嗜好などのセグメントデータがビッグデータの利活用のシーンとして着目されています。本セミナーでは、金融機関がFinTech企業と締結すべきAPI利用契約(全国銀行協会の改正銀行法対応のAPI利用契約の条文例(案))や、データを提供または購入する際に締結すべきデータ・サプライ(契約)の参考条項を解説し、ビッグデータ利活用を進める金融機関が留意すべき規制のみならず、最新のビジネス動向に照らした契約実務のスタンダードを解説します。

1.活用対象となるビッグデータ
(1)金融商品の取引履歴、金融資産保有高、年収など
(2)ウェブ閲覧・EC販売履歴・店舗での購買履歴
(3)ポイント取得履歴・アプリ課金履歴・カード決済履歴

2.ビッグデータ取扱いに対する法規制
(1)利活用のための個人情報の収集に対する規制
(2)匿名加工に対する規制
(3)利用に対する規制
(4)再識別行為禁止規制
(5)安全管理義務
(6)第三者提供に対する規制

3.データ・サプライ(提供)契約の実務
(1)データ・サプライ(提供)契約の参考条項の解説
(2)ビッグデータを購入する場合の金融機関がチェックすべきデータの権利処理

4.金融機関のデータAPI連携
(1)アカウント・アグリゲーション
(2)FinTech企業とのデータAPI連携
(3)銀行法に基づくAPI利用規約の参考条項の解説

5.クレジットカードデータ利用に係るAPI

6.質疑応答

[2018/08/26] GDPR 十分性認定移転ガイドラインパブコメがリリースされました。

【GDPR】
『十分性認定移転ガイドライン』のパブコメ結果がリリースされました。

タイトルを『個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール』に修正しております。

また、『補完的ルール』は、ECによる日本の十分性認定の効力発生日と同日になる予定です。

1 『十分性認定移転ガイドライン』の法的位置づけについて

 タイトルをガイドライン→「補完的ルール」に修正しています。

 パブコメ結果では、「日本国内での位置づけを変更するものではない」とされておりますが、大きな疑問のありましたこれまでの個人情報保護法のガイドラインの法的位置づけの整合性と、法的強制力が必須であるというEC側の要請の両者を折り合いを付けた妥協的産物と推察します。

2 十分性認定とSCC・BCRの関係について
 「十分性認定ではなく SCC や BCR に基づき移転された個人データの取扱いを直接の対象としない」

→十分性認定による移転とSCC・BCRは事業者が選択的に適用可であると解釈します。 

SCC・BCRに基づき移転された場合は、補完ルールの遵守不要であると読めます。ここは、大井解釈であり、パブコメではそこまで言及していませんので間違い無いと思いますが、念のため要確認です。

3 利用目的の制限について
 EU 域内から十分性認定に基づき提供を受けた個人データについて、当初又はその後提供を受ける際に特定された利用目的の範囲内で第 15 条第 1項に基づき利用目的を特定することを求めるもの。

これは、個人情報保護法「第 26 条の確認記録義務が適用されない場合であっても、」取得時に利用目的を特定し、その範囲内で利用することが必要となります。

すなわち、個人情報保護法26条の確認記録義務に関係なく、利用目的の制限は引き継がれる、という趣旨です。

4 匿名加工情報の定義について
 EU 域内から十分性認定に基づき移転した個人データの取扱いについて適用されるものであり、「何人にとっても不可能とした場合」とは、加工方法等情報を削除することにより匿名化された個人を再識別することが、『その時点においては、』何人にとっても不可能である場合を指します。

再識別可能かは、加工処理時点での技術的水準で判断するということでしょう。

【番外編】
個人情報保護委員会に回答権限外とされた質問で重要な論点についてのコメント

『補完的ルール』とGDPRの適用関係

 EU 域内から十分性認定により日本に移転される個人データの取扱いについては、日本の個人情報保護法と法補完ルールを遵守すれば良い。あくまで、GDPR全般の義務遵守は、GDPRの適用の有無によります。

すなわち、『補完的ルール』は、GDPR上の全ての義務について日本の個人情報保護法とのGAPを網羅的に埋めたものではありませんので、結論は以下の通りです。

EU 域内から十分性認定により日本に移転される個人データの取扱いについて、

1 日本法は、元から要対応
2 補完的ルール(=GDPRの部分的導入)は、要対応
3 GDPRの全面対応は、不要
4 GDPRの適用を受ける場合のみ要GDPR全面対応

なお、既にSCC対応を完了している事業者様は、別途、EU域内事業者から『SCC』ではなく『十分性認定補完的ルール』対応で移転させて欲しいと要請を受けない限り、対応は不要です。

以上は、パブコメ回答外の大井解説です。

興味あれば「GDPR十分性認定移転ガイドラインへの対応」セミナーまで。
https://www.kinyu.co.jp/cgi/seminar/301635m.html

https://www.ppc.go.jp/news/public-comment/

[2018/07/21] 著書『現場のプロが教える 情報漏えい対応のリアル 漏えい事故 実態調査と最新事例』

『現場のプロが教える 情報漏えい対応のリアル 漏えい事故 実態調査と最新事例』が第一法規株式会社様から発刊されました。

TMI総合法律事務所=株式会社エス・ピー・ネットワーク総合研究室 編著
弁護士:柴野相雄 / 波田野晴朗 / 佐藤力哉 / 大山貴俊 / 大井哲也
ISBN-13:978-4-474-06431-7
発行日:2018/07/21
判型:A5判/C2034
頁数:236頁
出版社:第一法規株式会社
価格:2,376円(本体2,200円+税)

<内 容>
 企業の個人情報・機密情報等管理担当者や企業経営者が、これまで実際に発生した企業の情報漏えい事故の実態、事故対応実例を参考にでき、漏えい事故が発生・発覚した後の適切な対応方法が学べる危機回避対策実践書。

<特 色>
(1) 実際に情報漏えい事故を起こした企業への調査結果及び事故対応のコンサルティングを通じて蓄積した実例や事故後に危機を拡大させないための重要ポイント等を明示。
(2) 情報流出時の危機対応解説に止まらず、マニュアル(理想)と現実対応のギャップを実例を示して解説。
(3) 事故を踏まえて再発防止と企業が講ずべき運用上の対策を解説。
(4) 各章にコンサルタントが実際に最近経験した事案から必要と感じた事項をコラムとして掲載。

<目 次>
■はじめに
第1章:情報漏えいにおけるリスク認識
第2章:情報資産の保護に関する法規制
第3章:情報流出時の危機対応
第4章:他社事例の実態把握:情報漏えい事故に関するアンケート
第5章:対応事案集~事故対応の理想と現実
第6章:緊急事態における企業が陥りがちな落とし穴と対応の考え方
第7章:再発防止
■おわりに

[2018/09/21] GDPR 十分性認定移転ガイドラインへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべき…

講師:大井 哲也
日時:2018年09月21日(金)13:30~16:30
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「EU域内から十分性認定により移転を受けた個人データの取扱い編」ガイドラインの対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
 (1)GDPRの適用範囲の見極め
 (2)GDPR対応のうち必須項目とは?
 (3)GDPR上の義務と現実的な対応策
 (4)EU各国の個人情報保護法

2.十分性認定移転ガイドライン対応
 (1)域外移転規制
 (2)十分性認定移転編ガイドラインの解説
 (3)SCCとの関係
 (4)新ガイドラインを踏まえた個人情報管理規程の雛形解説

3.質疑応答
 

MENU