[2018/07/21] 著書『現場のプロが教える 情報漏えい対応のリアル 漏えい事故 実態調査と最新事例』

『現場のプロが教える 情報漏えい対応のリアル 漏えい事故 実態調査と最新事例』が第一法規株式会社様から発刊されました。


 

TMI総合法律事務所=株式会社エス・ピー・ネットワーク総合研究室 編著
弁護士:柴野相雄 / 波田野晴朗 / 佐藤力哉 / 大山貴俊 / 大井哲也
ISBN-13:978-4-474-06431-7
発行日:2018/07/21
判型:A5判/C2034
頁数:236頁
出版社:第一法規株式会社
価格:2,376円(本体2,200円+税)

<内 容>
 企業の個人情報・機密情報等管理担当者や企業経営者が、これまで実際に発生した企業の情報漏えい事故の実態、事故対応実例を参考にでき、漏えい事故が発生・発覚した後の適切な対応方法が学べる危機回避対策実践書。

<特 色>
(1) 実際に情報漏えい事故を起こした企業への調査結果及び事故対応のコンサルティングを通じて蓄積した実例や事故後に危機を拡大させないための重要ポイント等を明示。
(2) 情報流出時の危機対応解説に止まらず、マニュアル(理想)と現実対応のギャップを実例を示して解説。
(3) 事故を踏まえて再発防止と企業が講ずべき運用上の対策を解説。
(4) 各章にコンサルタントが実際に最近経験した事案から必要と感じた事項をコラムとして掲載。

<目 次>
■はじめに
第1章:情報漏えいにおけるリスク認識
第2章:情報資産の保護に関する法規制
第3章:情報流出時の危機対応
第4章:他社事例の実態把握:情報漏えい事故に関するアンケート
第5章:対応事案集~事故対応の理想と現実
第6章:緊急事態における企業が陥りがちな落とし穴と対応の考え方
第7章:再発防止
■おわりに

[2018/09/21] GDPR 十分性認定移転ガイドラインへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべき…

講師:大井 哲也
日時:2018年09月21日(金)13:30~16:30
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「EU域内から十分性認定により移転を受けた個人データの取扱い編」ガイドラインの対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
 (1)GDPRの適用範囲の見極め
 (2)GDPR対応のうち必須項目とは?
 (3)GDPR上の義務と現実的な対応策
 (4)EU各国の個人情報保護法

2.十分性認定移転ガイドライン対応
 (1)域外移転規制
 (2)十分性認定移転編ガイドラインの解説
 (3)SCCとの関係
 (4)新ガイドラインを踏まえた個人情報管理規程の雛形解説

3.質疑応答
 

[2018/09/18] 海外子会社管理のためのコンプライアンスプログラム ~グローバル企業の法令遵守・グローバル不正監査体制の構築~(グロ…

講師:戸田 謙太郎 / 大井 哲也
日時:2018年09月18日(火)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも、十分な対策を講じることができていないのが現状です。ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず、本社あるいはグループ全体の信用失墜につながることも少なくありません。海外展開する企業にとって、海外子会社の管理体制(グローバル・コンプライアンスプログラム)構築が急務となっています。
 一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるかの判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたって内部通報ガイドラインの内容を無視することはできません。さらに、いわゆる日本版司法取引制度が平成30年6月1日から施行されるため、かかる制度の運用を意識した法令遵守・不正監査体制の構築が不可欠です。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。

1 海外子会社不祥事の最新事例の紹介

2 海外子会社管理のために検討すべき海外法令と法律問題
(1)贈収賄規制(外国公務員の贈賄規制を含む)
(2)独占禁止法・競争法  
(3)個人情報保護法・営業秘密の管理
(4)サプライチェーンに対する規制
   (人権DD・英国現代奴隷法等)
(5)海外反社に対する規制(OFAC規制等)
 
3 法令遵守・不正監査体制の構築
(1)不正行為の未然防止のための体制
   ①リスク・アセスメント    
   ②コンプライアンス規程の整備
   ③社内研修の実施
   ④相談窓口の整備
(2)不正行為の早期発見のための体制
   ①グローバル不正監査体制の構築
   ②グローバル内部通報制度の導入
(3)グローバルでの有事対応体制
   ①有事における対応マニュアル 
   ②有事におけるレポーティングライン
   ③海外ローファームとの連携 
   ④海外における現地調査委員会の組成  

[2018/09/14] 世界各国の『個人情報保護法』対応 〜ポストGDPRの各国規制対応〜

講師:大井 哲也
日時:2018年09月14日(金)13:00~17:00
会場:企業研究会セミナールーム
   東京都千代田区麹町5丁目7番2号
   MFPR 麹町ビル 2F(旧:麹町M-SQUARE)
主催:企業研究会
問い合わせ先:企業研究会公開セミナー事業グループ
Tel:03-5215-3514
  セミナーの詳細・お申込みはこちら

<内 容>
 日本企業の世界進出に伴い、グローバルレベルでのクラウドサービスの導入、インターネット・コンテンツやSNSサービスの世界各国への提供が近年、急速に拡大しています。そのため、グローバルでビジネス展開する日本企業も本年5月25日に施行されたGDPRの対応を行ってきました。しかしながら、GDPRはEU地域に特有の厳しい個人情報保護規制であるという誤解からEU地域以外のヨーロッパ各国、中東、アメリカ、アジア各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられます。
 特に、日本企業の商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱いボリュームが大きいアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況です。なぜなら規制内容によっては、GDPRよりもさらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく経済産業の国策として個人データを保護すべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきか、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
 (1)個人情報保護規制違反リスクの考え方
   ・要求事項の厳格度
   ・制裁・罰則の金額
 (2)各国規制のリスク・マッピング
 (3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
 (1)個人の権利保護目的の個人情報保護法
 (2)データ・ローカライゼーション規制とは

3.世界各国の個人情報保護規制のクリアランス・アプローチ
 (1)データ・マッピング
 (2)データ活用とマーケットの分析
 (3)グローバル共有対応とローカル対応の考え方

4.世界主要国の個人情報保護規制の解説
 (1)中国
 (2)インド
 (3)シンガポール
 (4)韓国
 (5)香港
 (6)台湾
 (7)フィリピン
 (8)オーストラリア
 (9)アメリカ
 (10)ロシア

[2018/09/10] 民法改正とシステム開発契約の見直し ~民法改正に伴うシステム開発契約の変更点と紛争類型~

講師:大井 哲也
日時:2018年09月10日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 IBM対スルガ訴訟に代表されるように大規模化かつ複雑化したシステム開発は、相当程度高い確率で、納期遅延や、プロダクトの欠陥などの紛争リスクを抱えています。また、今般の改正民法の成立により、システム開発プロセスにも大きな影響を受けることになります。
 本セミナーでは、法律論の教科書的な解説を越えた、実務に即した紛争解決の勘所をベンダ及びユーザ、法務部門及び情シス部門の両者に向けてご説明致します。

1.民法改正とシステム開発紛争への影響
(1)瑕疵担保責任と契約不適合
(2)代金減額請求権と賠償請求権の起算点
(3)開発プロジェクトが途中頓挫した場合の報酬請求権
(4)成果物完成型の準委任契約

2.システム開発契約
(1)契約作成プロセスでの法務部門と情シス部門の役割
(2)ウォーターフォール型契約の各フェーズ
(3)システム開発契約の条項解説と一歩進んだ条項の検討
(4)システム開発契約の肝となる別紙の作成

3.システム開発紛争の頻発類型
(1)請負又は委任の契約類型の明確化の欠如
(2)開発スコープの明確化の欠如
(3)テストケースの粒度と網羅性の不足
(4)検収手続の能力不足及び不備
(5)発注者又は受注者のPMの不備
(6)プロダクトの欠陥及び情報セキュリティ上の脆弱性

4.システム開発プロセスにおける勘所
(1)ビジネス要件定義の精緻化
(2)発注者PM及び情シス部門の役割
(3)裁判を意識したプロジェクト管理と証拠収集
(4)PMへの法務部の関与

5.システム開発訴訟の勘所
(1)システム開発訴訟の期間とコスト
(2)裁判官のリテラシー
(3)専門委員のリテラシーと活用
(4)システム開発の失敗と損害の相当因果関係の範囲
(5)裁判官の心証を決定する証拠収集
(6)私的鑑定意見書の依頼方法と成果物
(7)裁判上の和解の留意点

[2018/08/29] GDPR 十分性認定移転ガイドラインへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべき…

講師:大井 哲也
日時:2018年08月29日(水)13:30~16:30
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「EU域内から十分性認定により移転を受けた個人データの取扱い編」ガイドラインの対応を、いかに実装すべきかについて解説します。

1. GDPRのミニマム対応
  (1) GDPRの適用範囲の見極め
  (2) GDPR対応のうち必須項目とは?
  (3) GDPR上の義務と現実的な対応策
  (4) EU各国の個人情報保護法

2. 十分性認定移転ガイドライン対応
 (1) 域外移転規制
 (2) 十分性認定移転編ガイドラインの解説
 (3) SCCとの関係
 (4) 新ガイドラインを踏まえた個人情報管理規程の雛形解説

3. 質疑応答
 

[2018/08/28] 世界各国の個人情報保護法への対応 ~ポストGDPRのアメリカ・アジアなど各国規制対応~

講師:大井 哲也
日時:2018年08月28日(火)14:00~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 GDPRの施行日である本年5月25日に照準を合わせて、グローバルでビジネス展開する日本企業はGDPR対応を行ってきました。一方で、GDPRは、EU地域にユニークな厳しい個人情報保護規制であるという誤解から、EU地域以外のアメリカ、アジアなど各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられています。
 アメリカのカリフォルニア州では、カリフォルニア州個人情報保護法が成立するなど、個人情報保護の潮流は、世界に広がってきています。日本企業にとって商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱われる個人データ数が大きいアメリカ及びアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況になっています。なぜなら、規制内容によっては、GDPRよりも、さらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく、経済産業政策として個人データを国内に囲い込むべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきかを解説し、法務部門のための指針を示します。
  
1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用手法とマーケット・スケールの分析
(3)各国ローカル規制対応とグローバル方針策定の手順

4.世界主要国の個人情報保護規制の解説
(1)インド 
(2)シンガポール 
(3)韓国 
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ(カリフォルニア州個人情報保護法)
(9)ロシア 
(10)中国

[2018/07/30] GDPR 施行後の GDPR 十分性認定移転ガイドライン対応

講師:大井 哲也
日時:2018年07月30日(月)9:30~12:30
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「EU域内から十分性認定により移転を受けた個人データの取扱い編」ガイドラインの対応を、いかに実装すべきかについて解説します。

1. GDPRのミニマム対応
  (1) GDPRの適用範囲の見極め
  (2) GDPR対応のうち必須項目とは?
  (3) GDPR上の義務と現実的な対応策
  (4) EU各国の個人情報保護法

2. 十分性認定移転ガイドライン対応
 (1) 域外移転規制
 (2) 十分性認定移転編ガイドラインの解説
 (3) SCCとの関係

3. 質疑応答
 
 
 

[2018/07/19] 海外子会社管理のためのコンプライアンスプログラム ~グローバル企業の法令遵守・グローバル不正監査体制の構築~(グロ…

講師:戸田 謙太郎 / 大井 哲也
日時:2018年07月19日(木)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも、十分な対策を講じることができていないのが現状です。ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず、本社あるいはグループ全体の信用失墜につながることも少なくありません。海外展開する企業にとって、海外子会社の管理体制(グローバル・コンプライアンスプログラム)構築が急務となっています。
 一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるかの判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたって内部通報ガイドラインの内容を無視することはできません。さらに、いわゆる日本版司法取引制度が平成30年6月1日から施行されるため、かかる制度の運用を意識した法令遵守・不正監査体制の構築が不可欠です。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。
 
1 海外子会社不祥事の最新事例の紹介

2 海外子会社管理のために検討すべき海外法令と法律問題
(1)贈収賄規制(外国公務員の贈賄規制を含む)
(2)独占禁止法・競争法  
(3)個人情報保護法・営業秘密の管理
(4)サプライチェーンに対する規制(人権DD・英国現代奴隷法等)
(5)海外反社に対する規制(OFAC規制等)

3 法令遵守・不正監査体制の構築
(1)不正行為の未然防止のための体制
  a.リスク・アセスメント
  b.コンプライアンス規程の整備
  c.社内研修の実施
  d.相談窓口の整備
(2)不正行為の早期発見のための体制
  a.グローバル不正監査体制の構築
  b.グローバル内部通報制度の導入
(3)グローバルでの有事対応体制
  a.有事における対応マニュアル
  b.有事におけるレポーティングライン
  c.海外ローファームとの連携
  d.海外における現地調査委員会の組成

[2018/07/10] ビッグデータ・AIの利活用に伴う法的留意点 ~取扱いに対する関連法規制、管理権と開発者・提供者の責任・法的リスク~

講師:大井 哲也
日時:2018年07月10日(火)14:00~17:00
会場:SMBCコンサルティング株式会社
   三井住友銀行呉服橋ビル
   東京都中央区八重洲1-3-4
主催:SMBCコンサルティング株式会社
   SMBCビジネスセミナー(公開講座)
   詳細・お申込みはこちら

<内 容>
 ヘルスケア、放送・通信分野、金融(Fintec)分野、スマートフォン・アプリ・ネット広告分野においてビッグデータの活用がビジネスの必須の要件となっております。また、自動運転カーをはじめとする人工知能(AI)技術の進化に伴い、ビッグデータ解析と人工知能(AI)技術の融合がなされております。このように、ビッグデータやAIの活用が大きなビジネスチャンスとなる一方で、利用や開発に際しては、重大な責任や法的リスクが考えられます。例えば、個人情報保護法の改正の大きな柱として、匿名加工情報の取り扱いに対する規制が導入されるなど、法規制の把握やリスクへの対応が必要です。
 本セミナーでは、最新のビジネス動向をにらみつつ、ビッグデータ解析や人工知能(AI)を活用する事業者が留意すべき規制と法的リスクを解説します。

1.ビッグデータの利活用と法的留意点
 1)ビッグデータ活用と最新のビジネス動向
 2)ビッグデータ取扱いに対する法規制
   ● 改正個人情報保護法
   ● GDPR(一般データ保護規則)
   ● ビッグデータ規制
 3)ビッグデータそのものに対する管理権
   ● データベース著作権
   ● 不正競争防止法
   ● 不法行為

2.人工知能(AI)の開発と利用に伴う責任
 1)人工知能(AI)と最新のビジネス動向
 2)人工知能(AI)と機械学習
 3)人工知能(AI)の開発者責任
   ● 製造物責任
   ● 不法行為責任
 4)人工知能(AI)を活用したサービス提供者の責任
 5)人工知能(AI)を活用したサービスと業法の問題

[2018/05/24] 日本経済新聞「縦割り見直しも必要」と題する記事にコメントが掲載されました。

 本日の日経新聞朝刊に、『明日に迫ったGDPRの対応の困難さ』について述べましたコメントが掲載されました。法務部と、情報システム部門の縦割りでは無く、プライバシーの保護の問題と情報セキュリティのテクノロジーの問題を横断的に理解し、車の両輪の如く進めて行くべきという趣旨です。そのためには、自戒を込めてですが、法務など管理部門と情報システム部門の密なコミュニケーションと、コミュニケーションを支えるテクノロジーに対する最低限のリテラシーの向上が必要かと思います。法律の施行が、一面トップ記事に取り上げられることは、極めて稀ですが、今年は、法務面に限らず、多くのプライバシー規制、企業のビッグデータ利活用の先端的な取組み、データブリーチに纏わる多くのインシデントが記事化されており、テクノロジーが益々、ビジネスの根幹を形作っていることを物語っていると感じます。
 

<縦割り見直しも必要>
GDPRは理想を掲げており要求が高い。指針が出ているが部分的で抽象的な面がある。欧州の個人情報保護に関する実務経験がないと読む解くことは簡単ではない。法律とIT(情報技術)システム両面にわたる横断的な助言のできる専門家が日本に少ないことも企業が対応に苦慮している要因だろう。全社での対応を迫るGDPRに対し、企業はシステムはシステム部任せ、法律は法務部任せという縦割りのあり方を改めることも必要だ。

 
 

[2018/05/08] 個人情報保護法ガイドライン(EU 十分性認定移転編)に関する論点整理

『個人情報保護法ガイドライン(EU十分性認定移転編)に関する論点整理』(仮)です。長文注意

【十分性認定の決定】
欧州委員会と個人情報保護委員会は、個人情報保護法に加え、ガイドラインを成立させることにより、GDPR第 45 条に基づき、日本が個人データについて十分な保護水準を確保しているとする枠組みを進めることを決定。
(要確認)個人情報保護法ガイドライン(EU十分性認定移転編)の効力発生が十分性の認定の条件となっているという理解でよいか。

【個人情報保護法ガイドライン(EU十分性認定移転編)の位置づけ】
個人情報保護法第6条(法制上の措置等)は、個人情報に関する一層の保護を図り国際的に整合のとれた個人情報に係る制度を構築する観点から、法令で定める内容を補完し上回る、より厳格な規律を設けられるよう必要な法制上の措置その他の措置を講ずる権限を規定している。この点、個人情報保護法6条が、政府に法を上回る上乗せ規制を設定する権限が与えた規定であるか明らかではないが、個人情報保護法ガイドライン(EU十分性認定移転編)は、その旨、整理している。

《参考》個人情報保護法第6条
政府は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるとともに、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする。
すなわち、個人情報保護委員会の整理は、EU域内から十分性認定により移転を受けた個人データの取扱いについて、より厳しい規律であるガイドラインを策定する権限を有し、それを行使した。
法的拘束力:ガイドライン(EU十分性認定移転編)には、法的拘束力、執行力有り。個人情報取扱事業者が本ガイドラインに定める義務を遵守しない場合、個人情報保護委員会は法第 42 条(勧告及び命令)に基づく措置を講ずる権限を有する。
裁判規範性:有り(民事訴訟の訴えの基礎とすることができる。)

【ガイドライン(EU十分性認定移転編)の適用対象は?】
EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者
(要確認)個人情報取扱事業者にGDPRの適用がないが、EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者を拘束するという理解でよいか。
(要確認)個人情報取扱事業者にGDPRの適用がないが、EU域内から十分性認定により移転されない、SCCにより移転される個人データを受領する個人情報取扱事業者を拘束しないという理解でよいか。

【ガイドライン対応として、個人情報取扱事業者の採りうるオプションは何か?】
理論的には、以下の選択肢①又は②が選択できる。
選択肢① GDPRの個人データの域外移転規制のクリアランス手法として、日本が十分性の認定を受けていることを利用する。そのために、個人情報保護法ガイドライン(EU十分性認定移転編)を遵守する。また、その担保のために、個人情報管理規程を改訂する。
選択肢② GDPRの個人データの域外移転規制のクリアランス手法として、SCCを利用する。そのため、個人情報保護法ガイドライン(EU十分性認定移転編)を遵守する必要はない。
これらに加えて、実務的には、選択肢③も選択しうると考える。
選択肢③ GDPRの個人データの域外移転規制のクリアランス手法として、日本が十分性の認定を受けていることと、SCCを重畳的に利用する。そのために、個人情報保護法ガイドライン(EU十分性認定移転編)を遵守する。また、その担保のために、個人情報管理規程を改訂する。

【個人情報管理規程を改訂する場合、どのような改訂が必要か?】
改訂① EU域内から十分性認定に基づき提供を受けた個人データに限って(※日本の個人データなど一般的・包括的に拡大する必要は無い。以下、同じ。)、性生活、性的指向又は労働組合に関する情報は、要配慮個人情報と同様に取扱う。
趣旨:GDPR§9に定める特別個人データに平仄を合わせるものである。

《参考》
Article 9 Processing of special categories of personal data
1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

(要確認)要配慮個人情報の限定列挙事由を拡大する趣旨でないか。以下、同趣旨。
改訂② EU域内から十分性認定に基づき提供を受けた個人データに限って、消去することとしている期間にかかわらず、法第 2 条第 7 項における保有個人データとして取り扱う。
趣旨:GDPRには、そのような限定規定はないことから、平仄を合わせるものである。
改訂③ -1EU域内から十分性認定に基づき個人データの提供を受ける場合、法第 26 条第 1 項及び第 3 項の規定に基づき、EU域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
改訂④ -2EU域内から十分性認定に基づき個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合、法第 26 条第 1 項及び第 3 項の規定に基づき、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
趣旨:GDPR§30(Records of processing activities)に平仄を合わせるものである。
改訂⑤ EU域内から十分性認定に基づき提供を受けた個人データを外国にある第三者へ提供するに当たっては、法第 24 条に従い、次の①から③までのいずれかに該当する場合を除き、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得ることとする。
① 当該第三者が、個人の権利利益の保護に関して、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合
② 個人情報取扱事業者と個人データの提供を受ける第三者との間で、当該第三者による個人データの取扱いについて、適切かつ合理的な方法(契約、その他の形式の拘束力のある取決め又は企業グループにおける拘束力のある取扱い)により、本ガイドラインを含め法と同等水準の個人情報の保護に関する措置を連携して実施している場合
③ 法第 23 条第 1 項各号に該当する場合
改訂⑥ EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報[匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第 36 条第 1 項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。]を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第 2 条第 9 項に定める匿名加工情報とみなすこととする。

趣旨:ARTICLE 29 DATA PROTECTION WORKING PARTYのOpinion 05/2014 on Anonymisation Techniques Adopted on 10 April 2014の意見に平仄を合わせるものである。例えば、この下りである。

Secondly, “the means likely reasonably to be used to determine whether a person is identifiable” are those to be used “by the controller or by any other person”. Thus, it is critical to understand that when a data controller does not delete the original (identifiable) data at event-level, and the data controller hands over part of this dataset (for example after removal or masking of identifiable data), the resulting dataset is still personal data. Only if the data controller would aggregate the data to a level where the individual events are no longer identifiable, the resulting dataset can be qualified as anonymous. For example: if an organisation collects data on individual travel movements, the individual travel patterns at event level would still qualify as personal data for any party, as long as the data controller (or any other party) still has access to the original raw data, even if direct identifiers have been removed from the set provided to third parties. But if the data controller would delete the raw data, and only provide aggregate statistics to third parties on a high level, such as ‘on Mondays on trajectory X there are 160% more passengers than on Tuesdays’, that would qualify as anonymous data.
An effective anonymisation solution prevents all parties from singling out an individual in a dataset, from linking two records within a dataset (or between two separate datasets) and from inferring any information in such dataset. Generally speaking, therefore, removing directly identifying elements in itself is not enough to ensure that identification of the data subject is no longer possible. It will often be necessary to take additional measures to prevent identification, once again depending on the context and purposes of the processing for which the anonymised data are intended.

【雑感】
上記のような個人情報管理規程の改訂及び運用の修正の負荷を考慮すれば、域外移転のクリアランスとして、SCCを利用する方が、統一的なGDPR(含むSCC)対応で完結し、(思考経済上も)シンプルですね。
引き続き検討します。(つづく)

[2018/06/18] 海外子会社管理のためのコンプライアンスプログラム ~グローバル企業の法令遵守・グローバル不正監査体制の構築~ (グ…

講師:戸田 謙太郎 / 大井 哲也
日時:2018年06月18日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも、十分な対策を講じることができていないのが現状です。ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず、本社あるいはグループ全体の信用失墜につながることも少なくありません。海外展開する企業にとって、海外子会社の管理体制(グローバル・コンプライアンスプログラム)構築が急務となっています。
 一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるかの判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたって内部通報ガイドラインの内容を無視することはできません。さらに、いわゆる日本版司法取引制度が平成30年6月1日から施行されるため、かかる制度の運用を意識した法令遵守・不正監査体制の構築が不可欠です。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。
 
1 海外子会社不祥事の最新事例の紹介

2 海外子会社管理のために検討すべき海外法令と法律問題
(1)贈収賄規制(外国公務員の贈賄規制を含む)
(2)独占禁止法・競争法  
(3)個人情報保護法・営業秘密の管理
(4)サプライチェーンに対する規制(人権DD・英国現代奴隷法等)
(5)海外反社に対する規制(OFAC規制等)

3 法令遵守・不正監査体制の構築
(1)不正行為の未然防止のための体制
  a.リスク・アセスメント
  b.コンプライアンス規程の整備
  c.社内研修の実施
  d.相談窓口の整備
(2)不正行為の早期発見のための体制
  a.グローバル不正監査体制の構築
  b.グローバル内部通報制度の導入
(3)グローバルでの有事対応体制
  a.有事における対応マニュアル
  b.有事におけるレポーティングライン
  c.海外ローファームとの連携
  d.海外における現地調査委員会の組成

[2018/06/05] 民法改正とシステム開発契約の見直し ~民法改正に伴うシステム開発契約の変更点と紛争類型~

講師:大井 哲也
日時:2018年06月05日(火)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 IBM対スルガ訴訟に代表されるように大規模化かつ複雑化したシステム開発は、相当程度高い確率で、納期遅延や、プロダクトの欠陥などの紛争リスクを抱えています。また、今般の改正民法の成立により、システム開発プロセスにも大きな影響を受けることになります。
 本セミナーでは、法律論の教科書的な解説を越えた、実務に即した紛争解決の勘所をベンダ及びユーザ、法務部門及び情シス部門の両者に向けてご説明致します。

1.民法改正とシステム開発紛争への影響
(1)瑕疵担保責任と契約不適合
(2)代金減額請求権と賠償請求権の起算点
(3)開発プロジェクトが途中頓挫した場合の報酬請求権
(4)成果物完成型の準委任契約
  
2.システム開発契約
(1)契約作成プロセスでの法務部門と情シス部門の役割
(2)ウォーターフォール型契約の各フェーズ
(3)システム開発契約の条項解説と一歩進んだ条項の検討
(4)システム開発契約の肝となる別紙の作成

3.システム開発紛争の頻発類型
(1)請負又は委任の契約類型の明確化の欠如
(2)開発スコープの明確化の欠如   
(3)テストケースの粒度と網羅性の不足
(4)検収手続の能力不足及び不備   
(5)発注者又は受注者のPMの不備
(6)プロダクトの欠陥及び情報セキュリティ上の脆弱性
  
4.システム開発プロセスにおける勘所
(1)ビジネス要件定義の精緻化    
(2)発注者PM及び情シス部門の役割
(3)裁判を意識したプロジェクト管理と証拠収集
(4)PMへの法務部の関与

5.システム開発訴訟の勘所
(1)システム開発訴訟の期間とコスト 
(2)裁判官のリテラシー
(3)専門委員のリテラシーと活用
(4)システム開発の失敗と損害の相当因果関係の範囲
(5)裁判官の心証を決定する証拠収集
(6)私的鑑定意見書の依頼方法と成果物
(7)裁判上の和解の留意点

[2018/04/12] 日本経済新聞「データ保有に問われる責任」と題する記事にコメントが掲載されました。

 Facebookの個人情報不正流用問題に関連し、2018年4月12日付の日本経済新聞朝刊「データ保有に問われる責任」と題する記事にコメントさせていただきました。
 

日本では改正不正競争防止法のように、個人情報などビッグデータの不正利用に対して罰則を伴った規制を加える動きが出ている。「データを大量に保有し、ビジネス活用する事業者には、相応の責任を問うべきだ」という発想だ。消費者は、①データの利用目的が適切か ②第三者に提供される可能性がある場合、第三者の選別がなされているか ③提供されるのは個人データそのものなのか、匿名データのみかといった確認が欠かせない。

 
 
 
 

[2018/05/24] 海外子会社管理のためのコンプライアンス体制の構築 ~グローバル・コンプライアンスプログラムの構築に向けて~

講師:戸田 謙太郎 / 大井 哲也
日時:2018年05月24日(木)13:00~17:00
会場:SMBCコンサルティング株式会社
   三井住友銀行呉服橋ビル
   東京都中央区八重洲1-3-4
主催:SMBCコンサルティング株式会社
   SMBCビジネスセミナー(公開講座)
   詳細・お申込みはこちら

<内 容>
 海外子会社の不祥事が相次ぎ、海外法令の厳格化する中で、海外子会社の管理体制(グローバル・コンプライアンスプログラム)を構築することが急務となっています。しかし、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための体制がどのようなものであるかの判断が難しいことなどから、効果的な体制を構築することは容易ではありません。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説します。

1.海外子会社不祥事の最新事例の紹介

2.海外子会社管理のために検討すべき海外法令と法律問題
 1)独占禁止法・競争法
 2)贈収賄規制
  (外国公務員の贈賄規制を含む)
 3)EU一般データ保護規制など各国の個人情報保護法
 4)サプライチェーンに対する規制
  (人権DD・英国現代奴隷法等)
 5)海外反社に対する規制(OFAC規制等)
 6)現地役職員による不正会計やセクハラ・パワハラ等

3. 法令遵守・不正監査体制の構築
 1)不正行為の未然防止のための体制
  ● リスク・アセスメント
  ● コンプライアンス規程の整備
  ● 社内研修の実施
  ● 相談窓口の整備
 2)不正行為の早期発見のための体制
  ● グローバル不正監査体制の構築
  ● グローバル内部通報制度の導入
 3)グローバルでの有事対応体制
  ● 有事における対応マニュアル
  ● 有事におけるレポーティングライン
  ● 海外ローファームとの連携
  ● 海外における現地調査委員会の組成

[2018/05/21] GDPR(EU一般データ保護規則)導入実務【実践編】~施行目前のGDPR適否判定・要求事項と現状のGAP分析・要求…

講師:大井 哲也
日時:2018年05月21日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 今年5月のGDPR(EU一般データ保護規則)施行が目前に迫りました。ビジネスをグローバル展開している日本企業のGDPR対応・準備は、佳境を迎えております。
 従前までは、「EU一般データ保護規則への実務対応」と題して、法令の制度趣旨、内容に重点をおいて解説をしてまいりましたが、本セミナーでは、GDPR導入・実装フェーズの期間に入り、より実践的な実装までのフローを解説します。

1.適用対象となるパーソナルデータの定義
  
2.適用対象となる法人の範囲
(1)EU子会社/日本の親会社はGDPR適用対象となるか
(2)EU子会社がGDPR適用対象となる場合の親会社からの支援方法

3.導入準備のためのパーソナルデータの棚卸し

4.個人情報管理体制に関する要求事項と現状のGAP分析
  
5.要求事項とのGAPのクリアランス計画の策定

6.クリアランス計画の実装支援の紹介
(1)グローバル・プライバシーポリシーの策定
(2)EU個人情報に適用される個人情報管理規程・個人情報管理フローの策定
(3)DPOの選定とDPOの職務・義務に対するレクチャー支援
(4)EU代理人の選定と業務委託契約の締結
(5)SCCの作成・締結/BCRの策定・承認
(6)同意書面の作成・周知・締結
(7)プライバシーインパクト・アセスメント手続き
(8)業務委託契約の見直し
(9)パーソナルデータの安全管理措置の見直し

[2018/05/14] 海外子会社管理のためのコンプライアンスプログラム ~グローバル企業の法令遵守・グローバル不正監査体制の構築~(グロ…

講師:戸田 謙太郎 / 大井 哲也
日時:2018年05月14日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも、十分な対策を講じることができていないのが現状です。ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず、本社あるいはグループ全体の信用失墜につながることも少なくありません。海外展開する企業にとって、海外子会社の管理体制(グローバル・コンプライアンスプログラム)構築が急務となっています。
 一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるかの判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたって内部通報ガイドラインの内容を無視することはできません。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。

1 海外子会社不祥事の最新事例の紹介

2 海外子会社管理のために検討すべき海外法令と法律問題
(1)贈収賄規制(外国公務員の贈賄規制を含む)
(2)独占禁止法・競争法  
(3)個人情報保護法・営業秘密の管理
(4)サプライチェーンに対する規制(人権DD・英国現代奴隷法等)
(5)海外反社に対する規制(OFAC規制等)
(6)現地役職員による不正会計やセクハラ・パワハラ等

3 法令遵守・不正監査体制の構築
(1)不正行為の未然防止のための体制
  a.リスク・アセスメント
  b.コンプライアンス規程の整備
  c.社内研修の実施
  d.相談窓口の整備
(2)不正行為の早期発見のための体制
  a.グローバル不正監査体制の構築
  b.グローバル内部通報制度の導入
(3)グローバルでの有事対応体制
  a.有事における対応マニュアル
  b.有事におけるレポーティングライン
  c.海外ローファームとの連携
  d.海外における現地調査委員会の組成

[2018/05/09] GDPR(EU一般データ保護規則)導入実務【実践編】~施行目前のGDPR適否判定・要求事項と現状のGAP分析・要求…

講師:大井 哲也
日時:2018年05月09日(水)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
  セミナーの詳細・お申込みはこちら

<内 容>
 今年5月のGDPR(EU一般データ保護規則)施行が目前に迫りました。ビジネスをグローバル展開している日本企業のGDPR対応・準備は、佳境を迎えております。
 従前までは、「EU一般データ保護規則への実務対応」と題して、法令の制度趣旨、内容に重点をおいて解説をしてまいりましたが、本セミナーでは、GDPR導入・実装フェーズの期間に入り、より実践的な実装までのフローを解説します。

1.適用対象となるパーソナルデータの定義
  
2.適用対象となる法人の範囲
(1)EU子会社/日本の親会社はGDPR適用対象となるか
(2)EU子会社がGDPR適用対象となる場合の親会社からの支援方法

3.導入準備のためのパーソナルデータの棚卸し

4.個人情報管理体制に関する要求事項と現状のGAP分析

5.要求事項とのGAPのクリアランス計画の策定

6.クリアランス計画の実装支援の紹介
(1)グローバル・プライバシーポリシーの策定
(2)EU個人情報に適用される個人情報管理規程・個人情報管理フローの策定
(3)DPOの選定とDPOの職務・義務に対するレクチャー支援
(4)EU代理人の選定と業務委託契約の締結
(5)SCCの作成・締結/BCRの策定・承認
(6)同意書面の作成・周知・締結
(7)プライバシーインパクト・アセスメント手続き
(8)業務委託契約の見直し
(9)パーソナルデータの安全管理措置の見直し

MENU