[2022/12/22] 2022年TMIプライバシー&セキュリティの振り返り

これは、法務系アドベントカレンダーのブログ投稿です。

#LegalAC

2022年は、4月の令和2年改正個人情報保護法の施行のほか、ポストCookie時代における様々な個人データの利活用のためのソリューションや新しいサービスが普及した年でした。その中で、いくつかのトピックを取り上げて今年のキーワードを振り返りたいと思います。ただし、法務系アドベントカレンダーのテーマ設定としては、少しとっつきにくいシステム実装よりのお話しですので、できるだけ平易にお話しできればと思います。そして、ブログ定番のお仕事の話しも少し。

まず、2022年の1つめのキーワードは、ポストCookieです。
GoogleとAppleによるCookieの利用に関する技術的規制により3rd Party Cookieの活用をした広告系ソリューション(=アドテク)が利用できない、または利用が制限されることになりました。他方で、これにより新しいデジタル・マーケティングのソリューションが生まれています。デジタルマーケティング業界の大きな流れを極めてラフに表現すると、これまでユーザのID連携(=名寄せ)のために使用していた共有キーをCookieからハッシュ化したメールアドレスに転換する流れが起きています。

Cookieとメールアドレスの違いは、我々ユーザ目線からしても大きな違いがあります。例えば、新聞やポータルサイトを始めとするコンテンツ配信など様々なウェブサービスは、氏名やメールアドレスのユーザ登録無しにサービスを利用することができますが、一部のサービスでは、氏名やメールアドレスを登録してはじめて利用できるサービスもあります。また、そのミックス型もあります。前者でユーザを識別するのは、Cookieであり、後者でユーザを識別するのは、メールアドレスを登録するアカウント情報です。

前者の優れている点は、ユーザ登録なしでもCookieを利用してユーザの閲覧の遷移(=閲覧履歴)を収集し、蓄積できる点にあります。ユーザは、いちいちユーザ登録するのは面倒なので、特典がない限り、ユーザ登録無しでサービスを利用します。サービス提供者は、これにより大量のユーザの流入を得ることができます。そして、このウェブ閲覧履歴をサイトのドメイン横断で収集し、蓄積するサービスがパブリックDMPサービスです。DMPサービスにより、ユーザ登録なしのサイトでも、どんなサイトを閲覧してから当社のサイトに行きついたのか、当社のサイト以外で、どのようなサイトをよく閲覧しているのかを把握でき、そのユーザの興味関心や購買行動を解析できる基礎データを大量に収集することが可能となります。

しかし、今後は、3rd Party Cookieの利用が制限されますので、ユーザをウェブサイトを横断してトレースするための共通キーをユーザ登録の際に入力するメールアドレスなどに依拠する流れとなってきます。


そこで生まれたソリューションが、次のキーワードであるカスタマー・マッチングです。

カスタマー・マッチング
このソリューションについての詳細は、下記ブログに委ねますが、ユーザ識別をCookieからメールアドレスに転換していることがポイントです。そうしますと、登録メールアドレスを大量に保有しているFacebook、Instagram、Google、LINE、Yahoo!、楽天市場さんなどプラットフォーマーが俄然デジタルマーケティング領域で力を発揮することになります。カスタムマッチングとは、これらプラットフォーマーが蓄積しているメールアドレスに紐づくユーザの属性情報や趣味嗜好情報を広告主に提供するソリューションです。

「Cookieレスソリューション活用に求められる法律対応」
https://plazma.red/plazma-2022-summer-tmi-report/

コラム:「リアルカスタマー・マッチング」
カスタマー・マッチングと言えば、弁護士のクライアント企業と他のクライアント企業をマッチングする企業同士のマッチングも弁護士稼業の醍醐味です。
クライアント企業視点では法律事務所はコストセンターであることは致し方ないので、弁護士としては、クライアントに潜在的顧客を紹介することでせめてクライアント企業の売上に貢献できれば嬉しいというか、少しは心が休まるものです。弁護士業務をしていると、システム開発ベンダと発注企業、Saasクラウドベンダとユーザ企業、ビッグデータの売り手と買い手、メディアやパブリッシャーと広告主、データ解析受託と広告主など頭の中で、クライアントのニーズとそれに応えるベンダが神経細胞のシナプスのように連結することがあります。元々両社のサービスをよく知ってるので、非常に相性の良いマッチングが成立します。また楽しからずや、です。

1st Party Dataの見直し

もう1つの流れは、3rd Partyのデータを活用するのではなく、まずは、自社またはグループ会社が保有するユーザデータ(=1st Party Data)を保有し、これまでバラバラにサービス単位で持っていたユーザデータを統合化、結集しましょう、という考え方が見直される流れです。キーワードは、1st Party Dataの見直しです。

実は、3rd Partyのデータを借り受けて活用する以前に、自社でできることはまだまだあります。自社で取得できるデータを改めて見直し、足りないデータは、オウンドメディアを構築することで自社をリッチ化しようという考え方です。

または、サービス毎にバラバラでサイロ化されてしまっていたユーザデータをグループ企業横断で統合したIDに紐づけて、集約させることで解析やターゲティングしやすい環境を整えようという考え方です。

TMIプライバシー&セキュリティでは、この1st Party Dataの見直しの文脈で、以下のリリースを発表しました。

LiveRampとTMI P&Sが提携を発表。企業のファーストパーティデータを最大限に活用したソリューションの実装を支援
https://tmiconsulting.co.jp/news/1394/

『グローバルデータ接続プラットフォームであるLiveRamp Japan株式会社(東京都港区、アジアパシフィック統括兼代表取締役:フレデリック・ジョウブ、以下「LiveRamp」)は、TMIプライバシー&セキュリティコンサルティング株式会社(東京都港区、代表取締役:大井哲也、以下「TMIプライバシー&セキュリティコンサルティング」)と協業を開始し、中立性、プライバシーファースト、ピープルベースドの識別子である「RampID」を活用したソリューションの実装支援を開始します。』

多くのクライアント企業の皆様が、リッチなデータを持ちながら、それを活用しきれていない現状があります。その大きな原因の1つは、自社サービスを横断した共通ID基盤を構築できていないことにあります。そのお手伝いをするためのソリューションが共通IDソリューションであり、LiveRampさんとの提携は、それを可能とするど真ん中の解決策となります。

コラム:弁護士キャリアの役得


弁護士は、法解釈、法理論上の世界に生きています。しかし、その法解釈が事業の現場でどのように活かされているのか、どのようにサービスを動かしているのかを見届けられる場面は極めて限られています。例えば、アプリゲーム会社をお手伝いするケースがあります。法的規制を踏まえてサービス設計をクライアントとともに構築する。それが日の目を見るのはゲームがリリースされ1人のユーザとしてそのサービスに触れた瞬間にあります。これは2Cサービスだからこそなせる技でしょう。
しかし、アドテク領域など2Bサービスの場合には、なかなかサービスのリリースに弁護士が立ち会うことはありません。
どんな企業が、どのくらいの価格帯で、どのくらいの営業工数をかけてサービスを導入頂いているかは見えないものです。TMIプライバシー&セキュリティは、この法律の世界と実装の世界を架橋することがミッションです。「ミッションです」と言えばサービス提供者目線でカッコいいですが、一介の弁護士目線で言えば、法律の一番面白いところ、ダイナミックなところ、お手伝いしたサービスが日の目を見るところの現場で仕事ができる。これほどやりがいのある楽しい仕事はありません。

また、TMIプライバシー&セキュリティでは以下の提携リリースを発表しました。

「TMI P&SとLayerX、データプライバシーの分野で協業」

~テクノロジーと法的知見の融合により、パーソナルデータの利活用高度化を支援~https://tmiconsulting.co.jp/news/1024/

この提携のゴールは、豊富なユーザデータを保有する事業者のビッグデータのマネタイズをお手伝いする案件となります。豊富なユーザデータを持つ事業者の究極のデータ利活用の形態は、データを欲している企業に対してデータを販売するないしはデータの使用許諾をして対価を得ることです。

例えば、投薬履歴データを豊富に持つ薬局・病院が病歴と投薬履歴を提供できるような仕様のデータにしてそれを欲する製薬メーカーに販売ないしデータの使用許諾をするケースがあります。このデータの利活用の形態はデータを提供する側とデータを欲する側のニーズがまさに合致してお互いにwin-winの関係にある形となります。

しかし、他方でデータ主体である患者さんの極めて機微な病歴情報を利用するので、患者さんのプライバシーの保護が大きな課題となります。そこで、患者さんの病歴情報を統計化処理したり、匿名加工化することで患者さんのプライバシーを守る手段が必要となります。提供された病歴情報が再識別され、特定の個人の病歴状況が明らかになる事は絶対に避けなければなりません。このリスクを技術的に極小化するのがLayerXさんの差分プライバシーのテクノロジーとなります。

次のキーワードは、リテールメディアです。リテールメディアの仕組みについては下記のブログに委ねますが、消費者とタッチポイントを有する小売事業者が持つ商品の購買履歴をもとに消費者の購買傾向、趣味趣向を解析しそれを小売事業者自身が広告事業として活用する形態です。

下記のウォルマートの広告事業の例でわかるようにWalmartではオンライン上の購買とオフラインの店舗での購買履歴を大量に有するプラットフォーマーとも評価可能です。この小売業者であるプラットフォーマーが保有する購買履歴を活用してDSPなどの広告事業に進出する形態が今後も加速されることと思います。

デジタルマーケティングの領域の新潮流「リテールメディア」について
https://tmiconsulting.co.jp/column/855/

「リテールメディアと法律の関係」
https://plazma.red/plazma-2022-summer-tmi-report/

【引用:トレジャーデータ「Cookieレスソリューション活用に求められる法律対応」】


最後のキーワード、データガバナンスについて見ていきましょう。

データガバナンスと一言で言ってもその守備範囲が非常に広いため、喫緊の課題である改正電気通信事業法を題材にお話しします。改正電気通信事業法では下記の図にあるようにサイト訪問者のウェブサイト閲覧により広告ベンダーやデータ解析ベンダーに対し利用者情報を通信することを規律します。

この外部送信規律の1つの側面は自社が有する閲覧履歴を第三者ベンダーに取得または提供されていることを把握し管理することです。前提として事業者がどの第三者ベンダーにデータが通信されているかを管理することが大前提となります。事業者は、本来であればタグの設置のマネジメントにより第三者ベンダーに対してどのような通信がなされているかを把握しているはずです。

しかし現実は、そもそもタグマネジメントをできていない事業者も多いわけです。データ利活用のプロセスにおいてデータマッピング、データフロー図を作成することが最初の工程であると常々お伝えしていますが、この第三者ベンダーへの通信については穴になっていることがままあります。

改正電気通信事業法の対応は、法律業務でありますが、他方で、サイトのタグマネージメントと言う意味ではサイト運用部門、情報システム部のアプリ運用部門の管理手法の見直しでもあります。これこそが、いわば法務部門と情報システム部門を架橋する共同作業と言えるでしょう。

【コラム】サイト運営者にインパクト大 改正電気通信事業法を解説https://tmiconsulting.co.jp/column/998/


なお、電気通信事業法については、来年1月早々にセミナーでまとめていますのでご紹介まで。

電気通信事業法改正への対応〜利用者情報の外部送信規律の対応実務〜
https://www.kinyu.co.jp/seminar_detail/?sc=k230065
1.個人情報保護法におけるCookieデータ規制の振り返り
2.個人情報保護法対応としてのCookieポリシー作成の実務
  (1)Cookieデータ単体では「個人情報」に該当しないこと
  (2)現行法下でCookieポリシーはなぜ必要か?
  (3)GDPR適用あるサービスのCookieポリシーの作成方法
  (4)現行法下でのCookieポリシーの記載例
3.改正電気通信事業法対応の実装と各手法のメリット・デメリット
  (1)通知・公表
  (2)オプトアウト 
  (3)同意取得
  (4)マーケティング観点から同意取得の手法を避ける理由
4.利用者情報の外部送信規律対応の準備
  (1)ウェブサイト(アプリ)構築・運用部門のタスク
  (2)ウェブサイト(アプリ)の外部送信の現状調査
  (3)Cookieの類型選別(必須Cookie、1st party cookie)
  (4)法務部門のタスク
5.CMP(consent management platform)実装の実務
  (1)利用者情報の外部送信規律の対応としてCMPを導入する意味
  (2)通知・公表、オプトアウト、同意取得のためのCMPの設定方法
  (3)代表的なCMPツールであるOneTrustの参考実例

[2022/09/08] 【ライブ配信】法務担当・事業担当が知っておくべきデジタルマーケティングのための個人情報保護法対応

講師:大井 哲也
日時:2022年09月08日(木)15:00~16:30
会場:ライブ配信
アーカイブ視聴:2022年9月12日(月)13:00〜2023年3月31日(金)13:00 主催:BUSINESS LAWYERS
   弁護士ドットコム株式会社
問い合わせ先:BUSINESS LAWYERS/弁護士ドットコム株式会社 セミナー事務局
Email:bl-event@1.bengo4.com
セミナーの詳細・お申込みはこちら 


<内 容>
令和2年改正個人情報保護法、GDPRなど海外の個人情報保護法動向、デジタルマーケティング業界における自主ルールを押さえつつ、データを活用した新しいデジタルマーケティング手法について解説いたします。


1.はじめに
 1)講師紹介
 2)セミナーの趣旨紹介

2.デジタルマーケティングの実務
 1)CDPによるデジタルマーケティングでの顧客分析
 2)パブリックDMPサービス

3.個人情報保護法の基礎
 1)プライバシーポリシーの役割
 2)個人情報とは?
 3)個人データの委託と第三者提供の違い
 4)混ぜるな危険問題とは?

4.Cookieデータなど個人関連情報の規制
 1)Cookieデータと個人情報
 2)個人関連情報の第三者提供規制

5.JIAAやGDPRの規制
 1)より高度なプラバシーの保護のための施策
 2)CMP(コンセントマネジメントプラットフォーム)

[2022/08/25]【会場】最新のビジネス動向を踏まえたビッグデータ・AIの利活用に伴う法的留意点 〜取扱いに対する関連法規制、管理権と…

講師:大井 哲也
日時:2022年08月25日(木)10:00~13:00
会場:三井住友銀行呉服橋ビル
   東京都中央区八重洲1-3-4
主催:SMBCコンサルティング株式会社
問い合わせ先:SMBCコンサルティング株式会社
Tel:0120-398-821
セミナーの詳細・お申込みはこちら 


<内 容>
 改正個人情報保護法の内容をもとに、ビッグデータ解析や人工知能(AI)に関する最新のビジネス動向、およびその取り扱いに関する留意すべき規制と法的リスクについて解説いたします。


1.ビッグデータの利活用と法的留意点
 1)ビッグデータ活用と最新のビジネス動向
 2)ビッグデータ取扱いに対する法規制
   ●改正個人情報保護法案
   ●GDPR(一般データ保護規則)
   ●ビッグデータ規制
 3)ビッグデータそのものに対する管理権
   ●データベース著作権
   ●不正競争防止法
   ●不法行為

2.人工知能(AI)の開発と利用に伴う責任
 1)人工知能(AI)と最新のビジネス動向
 2)人工知能(AI)と機械学習
 3)人工知能(AI)の開発者責任
   ●製造物責任
   ●不法行為責任
 4)人工知能(AI)を活用したサービス提供者の責任
 5)人工知能(AI)を活用したサービスと業法の問題

[2022/07/25] 【オンライン】GDPR 新 SCCへの改訂対応及び世界各国の個人データ国外移転規制への対応実務

講師:大井 哲也
日時:2022年07月25日(月)14:00~17:00
会場:オンライン(Zoom)
主催:一般社団法人企業研究会
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申込みはこちら 


<内 容>
 本セミナーでは、新SCC(GDPR)対応、並びに世界各国の個人情報保護規制、特に国外移転規制のクリアランスをどのように進めて行くべきかについて解説いたします。


1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ①個人情報保護規制内容の厳格度
  ②保有・管理・利用する個人情報の数量
  ③保有・管理。利用する個人情報の性質・機微度合い
  ④個人情報の利活用の形態
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制
  ①自国の重要データ保護政策、国防目的、検閲目的
  ②自国のIT産業保護目的

3.新SCC(GDPR)対応・越境移転評価(Transfer Impact Assessment)
(1)GDPRの域外移転規制のクリアランス
(2)GDPRの新SCCへの切り替え
  ①Schrems Ⅱ判決までの流れ
  ②SCCの補完的措置、新SCCへの差し替えスケジュール
  ③新SCCの変更点

4.世界主要国の個人情報保護規制の解説
(1)インド
(2)シンガポール
(3)韓国
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ
(9)ロシア
(10)マレーシア
(11)タイ
(12)中国(中国サイバーセキュリティ法および個人情報保護法)

[2022/06/30] 【オンライン】《近時増加傾向にあり、事業会社が知っておきたい》個人情報の不正利用・漏えい事案に学ぶ情報管理体制整備…

講師:大井 哲也
日時:2022年06月30日(木)14:00~17:00
会場:オンライン(Zoom)
主催:一般社団法人企業研究会
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申込みはこちら 


<内 容>
 本セミナーでは、個人情報の漏えいや不正利用に対し、企業の管理部門が情報管理体制をどのように構築すべきか、履践すべき具体的な指針を提示しながら詳しく解説いたします。


1.はじめに

2.事例紹介
 ●時系列の対応フロー
 ●内部者による情報漏えい事件と経緯、その後の展開

3.個人情報漏えいの損害
 ●損害賠償額

4.各プレイヤーの責任
 ●各プレイヤーの責任概観
 ●会社の役員責任
 ●善管注意義務違反を回避する手段
 ●ユーザーの顧客に対する民事責任

5.サイバーセキュリティ経営ガイドライン、各種認証基準
 ●サイバーセキュリティ経営ガイドライン
 ●法律・ガイドライン・セキュリティ認証基準
 ●データ流出・消失関与者(犯人)の民事責任

6.インシデント対応のための平時からの準備
 ●平時の対応
 ●平時対応のためのアクションプラン

7.緊急時のインシデント対応
 ●インシデント発生時の対応
 ●証拠保全の観点
 ●フォレンジックの流れ
 ●フォレンジックの対象
 ●ソーシャルメディアのフォレンジック
 ●プレスリリース

[2022/05/26] 【オンライン】《改正公益通報者保護法施行直前!》内部通報制度運用の実務 〜実効性のあるグローバル内部通報制度の構築…

講師:戸田 謙太郎 / 大井 哲也
日時:2022年05月26日(木)14:00~16:30
会場:オンライン(Zoom)
主催:一般社団法人企業研究会
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申込みはこちら 


<内 容>
 本セミナーでは、昨年8月20日に公表された改正公益通報者保護法の指針の内容をもとに、実効的な内部通報制度とするためのポイント、およびグローバル内部通報制度を導入するにあたって検討しなければならない法的問題について詳しく解説いたします。


1.内部通報制度の導入にあたっての留意点
(1)内部通報制度の意義
  ①内部通報と内部告発の違い
  ②内部通報制度とは、内部通報窓口設置の効果
  ③コーポレートガバナンス・コード
(2)改正公益通報者保護法
  ①事業者の体制整備義務
  ②行政機関、報道機関等への通報の条件
  ③通報者の保護の拡充
(3)昨年8月に公表された体制整備義務に関する指針の概要
  ①体制の整備
  ②不利益取扱いの禁止
   ・通報者の保護、解雇その他の不利益な取り扱いの禁止
  ③匿名性の確保(通報者の保護)
   ・秘密保持の重要性、調査実施のおける秘密保持、外部窓口の活用
  ④調査・是正措置
  ⑤教育・周知
  ⑥その他
   ・社内リニエンシーとその導入状況
  ⑦従事者の定め
(4)内部通報制度の自己適合宣言登録制度
  ①内部通報制度に関する認証制度の全体構成
  ②自己宣言登録制度の概要と手順、利用状況
(5)日本版司法取引制度
  ①日本版司法取引制度の概要、日本版司法取引の対象となる犯罪(特定犯罪)
  ②日本版司法取引制度の適用事例

2.グローバル内部通報制度の導入にあたっての留意点
(1)制度設計における留意点
  ①グローバル内部通報制度の制度設計
  ②労働法上の通報者の保護
  ③個人情報保護法からの制約
(2)各国の内部通報法制の概要
  (EU 公益通報者保護指令を中心に)
  ①EUにおける公益通報者保護
  ②通報方法
  ③諸外国の法令との比較

3.内部通報窓口の運用の実務

[2022/05/25] 【オンライン】中堅・中小企業のサイバーセキュリティー戦略(4月施行の改正個人情報保護法への対応策)

講師:大井 哲也
日時:2022年05月25日(水)
公開期間:2022年5月25日(水)10:00~2022年5月28日(土)10:00
会場:オンライン
主催:日本経済新聞社 イベント・企画ユニット
問い合わせ先:日経電子版オンラインセミナー
       「サイバーセキュリティー戦略」事務局
Email:ds_seminar@nex.nikkei.co.jp
セミナーの詳細・お申込みはこちら 


<基調講演:20分>
4月施行の改正個人情報保護法への対応策

令和2年の個人情報保護法改正では、新設された「個人関連情報」の提供規制、個人情報漏えい事件の個人情報保護委員会への報告及び本人への通知義務、個人データの利用目的の明確化などの対応が必要となります。本講演では、事業者が最低限行うべき個人情報の管理体制について解説します。

[2022/04/25]【オンライン】GDPR 新 SCCへの改訂対応及び世界各国の個人データ国外移転規制への対応実務

講師:大井 哲也
日時:2022年04月25日(月)14:00~17:00
会場:オンライン(Zoom)
主催:一般社団法人企業研究会
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申込みはこちら 


<内 容>
 本セミナーでは、新SCC(GDPR)対応、並びに世界各国の個人情報保護規制、特に国外移転規制のクリアランスをどのように進めて行くべきかについて解説いたします。


1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.新SCC(GDPR)対応・越境移転評価
 (Transfer Impact Assessment)


4.世界主要国の個人情報保護規制の解説
(1)インド
(2)シンガポール
(3)韓国
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ
(9)ロシア
(10)マレーシア
(11)タイ
(12)中国(中国サイバーセキュリティ法および個人情報保護法)

[2022/03/24] マーケティング責任者のための限定ウェビナー「専門弁護士と学ぶ EC サイトのクッキー対策」

講師:吉澤 和之 氏
  (awoo Japan株式会社 日本事業開発責任者 執行役員)
   大井 哲也
日時:2022年03月24日(木)17:00~18:00
会場:オンライン(Zoom)
主催:awoo Japan株式会社
問い合わせ先:awoo Japan株式会社
Email:kazuyukiyoshizawa@awoo.com.tw
セミナーの詳細・お申込みはこちら 


<内 容>
 4月に施行される改正個人情報保護法。ECサイトにはどのような影響があるのか、プライバシー保護はどこまで強化すべきなのか、質問形式で解説いたします。


17:00-17:30:awoo Japan様よりクッキー規制に関する説明
17:30-18:00:大井弁護士に直接聞こう。ECサイトのクッキー対策

[2022/03/16]【オンライン】内部通報制度運用の実務 〜実効性のあるグローバル内部通報制度の構築を目指して〜

講師:戸田 謙太郎 / 大井 哲也
日時:2022年03月16日(水)14:00~17:00
会場:オンライン(Zoom)
主催:一般社団法人企業研究会
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申込みはこちら 


<内 容>
 昨年8月20日に公表された改正公益通報者保護法の指針の内容をもとに、実効性のある内部通報制度にするためのポイントおよびグローバル内部通報制度を導入するにあたって検討しなければならない法的問題について詳しく解説いたします。


1.内部通報制度の導入にあたっての留意点
 (1)内部通報制度の意義
   ・内部通報と内部告発の違い
   ・内部通報制度とは、内部通報窓口設置の効果
 (2)改正公益通報者保護法
   ①事業者の体制整備義務
   ②報道機関等への通報の条件
   ③通報者の保護の拡充
 (3)昨年8月に公表された体制整備義務に関する指針の概要
   ①体制の整備
   ②不利益取扱いの禁止
   ③匿名性の確保
   ④調査・是正措置
   ⑤教育・周知
   ⑥その他
   ⑦従事者の定め
 (4)内部通報制度の自己適合宣言登録制度
 (5)日本版司法取引制度

2.グローバル内部通報制度の導入にあたっての留意点
 (1)制度設計における留意点
   ・グローバル内部通報制度の制度設計
   ・労働法上の通報者の保護
   ・個人情報保護法からの制約
 (2)各国の内部通報法制の概要(EU公益通報者保護指令を中心に)
   ・EUにおける公益通報者保護
     ・通報方法
   ・諸外国の法令との比較

3.内部通報窓口の運用の実務

[2022/02/28] 【オンライン】4月1日施行開始!まだ間に合う! 個人情報保護法改正の実務対応

講師:大井 哲也
日時:2022年02月28日(月)14:00~17:00
会場:オンライン(Zoom)
主催:一般社団法人企業研究会
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申込みはこちら 


<内 容>
 個人情報保護法の政令・規則案およびガイドラインを踏まえた実務的な実装策について解説いたします。また、デジタルマーケティング業界における最新の実務や諸外国でのデータ規制(GDPR等)も紹介しながら、個人情報保護法改正がデータ利活用実務に与える影響についても説明いたします。


1.個人情報保護法改正項目の対応
(1)非個人情報が第三者提供先において個人データとなる場合の規制
(2)クッキーデータ規制とターゲティング広告
(3)利用の停止、消去、第三者提供の停止請求権
(4)開示等の対象となる保有個人データの範囲の拡大
(5)オプトアウト規制の強化
(6)情報漏えい等報告及び本人への通知義務
(7)仮名加工情報の創設
(8)法定公表事項
  (安全管理措置、セキュリティ・ホワイトペーパー)

2.質疑応答

[2022/02/07] 日本経済新聞朝刊『米国移転は「リスクなし」、個人情報保護委、海外法制の報告書。』と題する記事にコメントが掲載されま…

日本経済新聞朝刊『米国移転は「リスクなし」、個人情報保護委、海外法制の報告書。』と題する記事にコメントが掲載されました。

掲載誌名:日本経済新聞 朝刊 15面
掲載年月日:2022年02月07日(月)
タイトル:米国移転は「リスクなし」、個人情報保護委、海外法制の報告書。

もしガバメントアクセスの可能性があると評価されていたら、利用するサービスによってはデータの暗号化・仮名化など追加的なセキュリティ対策が必要だった。

[2022/01/28] 【オンライン】GDPR新SCCへの改訂対応及び世界各国の個人データ国外移転規制への対応実務

講師:大井 哲也
日時:2022年01月28日(金)14:00~17:00
会場:オンライン(Zoom)
主催:一般社団法人企業研究会
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申込みはこちら 


<内 容>
 2021年9月27日をもってGDPRの域外移転規制対応として日本企業で採用されていた旧SCCが廃止され、新SCCへの改訂が必要となりました。この新SCCへの移行は、18カ月の移行期間により、2022年12月27日までに旧SCCを新SCCに改訂することが必要となります。
 本セミナーではグローバル展開する日本企業がケアすべき法令の内容を確認すると共に、世界各国の個人情報保護規制、特に国外移転規制のクリアランスをどのように進めて行くべきか指針を示します。


1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.新SCC(GDPR)対応・越境移転評価
 (Transfer Impact Assessment)

4.世界主要国の個人情報保護規制の解説
(1)インド
(2)シンガポール
(3)韓国
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ
(9)ロシア
(10)マレーシア
(11)タイ
(12)中国(中国サイバーセキュリティ法および個人情報保護法)

[2022/01/26] 【オンライン/会場】中国個人情報保護法の実務対応

講師:包城 偉豊 / 大井 哲也
日時:2022年01月26日 (水) 13:30〜16:30
会場:オンライン(Zoom)+金融財務研究会本社セミナールーム
   東京都中央区日本橋茅場町1-10-8 グリンヒルビル
主催:金融財務研究会
問い合わせ先:金融財務研究会
Tel:03-5651-2030
セミナーの詳細・お申し込みはこちら


<内 容>
 本セミナーでは2021年11月1日より施行された中国個人情報保護法の内容を概説すると共に、既存のサイバーセキュリティ法やデータセキュリティ法との関係、そして最新の立法動向も踏まえながら、事業者様として検討、対応しなければならない事項やポイントについても解説します。


1.個人情報保護法制定前後の立法経過
2.個人情報保護法における基本概念と諸原則
3.個人情報処理にあたってのルール
4.個人情報の越境提供
5.個人情報に対する個人の権利
6.個人情報処理者における遵守事項
7.企業のとるべきアクションのまとめ

[2021/12/22] 【オンライン】個人情報の不正利用・漏えい事案に学ぶ情報管理体制整備 ~改正個人情報保護法に基づく報告義務~

講師:大井 哲也
日時:2021年12月22日(水)14:00~17:00
会場:オンライン(Zoom)
主催:一般社団法人企業研究会セミナー事業グループ
問い合わせ先:一般社団法人企業研究会セミナー事業グループ
Tel:03-5834-3922
セミナーの詳細・お申し込みはこちら

<内 容>
 ハッカー集団の日本企業に対するサイバー攻撃による個人情報漏えいや、社員など内部関係者による営業機密の持ち出し事案、個人情報の不正利用事案を報道等で目にしない日はありません。これらの手口が巧妙化・大規模化する傾向と共にレピュテーションリスクを含め企業に甚大な経済的損害が発生する傾向にあります。
 本セミナーでは、法的観点から企業が履践すべきサイバーセキュリティの具体的な指針を提示し、管理部門が情報管理体制をいかに構築すべきかの方法論を解説いたします。


1.企業におけるサイバーセキュリティ・インシデント
(1)近時の情報漏えい事件の発生事例
(2)情報漏えい事件の原因分析

2.企業が履践すべきセキュリティ対策の実務
(1)サイバー攻撃に対する防御方法
(2)内部関係者による情報持ち出しの未然防止策
(3)セキュリティ・システムのベンダ責任
   ~SQLインジェクション事件判決の分析~

3.企業に求められるセキュリティ体制の構築責任
(1)情報管理担当取締役の役員責任と株主代表訴訟
(2)企業に求められるセキュリティ体制
(3)情報漏洩えい事件のリスク・アセスメント
(4)プライバシー影響調査
(5)法律と各種セキリティ認証基準の位置付け
  ・個人情報保護法、各種ガイドライン、十分性認定補完ルール
  ・経産省「サイバーセキュリティ経営ガイドライン」
  ・GDPR、世界各国の個人情報保護法、改正個人情報保護法に基づく報告義務
  ・Pマーク、ISMS、PCI-DSSなど認証基準

[2021/12/16] PrivacyTechセミナー2021 〜プライバシーに配慮したこれからのデジタルマーケティング〜

無料オンラインサミット『PrivacyTechサミット2021 〜プライバシーに配慮したこれからのデジタルマーケティング〜』に登壇します。


日時:2021年12月16日(木)13:00~16:10
会場:オンライン
主催:Priv Tech株式会社
共催:GumGum Japan株式会社
   LiveRamp Japan株式会社
   株式会社DataSign
   株式会社インティメート・マージャー
   TMIプライバシー&セキュリティコンサルティング株式会社
問い合わせ先:Priv Tech株式会社
E-mail:https://go.privtech.co.jp/p/form/contact/
サミットの詳細・お申込みはこちら


<内 容>
1.改正個人情報保護法の内容について
2.各種ポストクッキーソリューションについて
3.企業に求められる対策について
4.パネルディスカッション