[2019/03/05] 世界各国の個人情報保護法への対応 ~ポストGDPR のアメリカ・アジアなど各国規制対応~

講師:大井 哲也
日時:2019年03月05日(火)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 GDPRの施行日である2018年5月25日に照準を合わせて、グローバルでビジネス展開する日本企業はGDPR対応を行ってきました。一方で、GDPRは、EU地域にユニークな厳しい個人情報保護規制であるという誤解から、EU地域以外のアメリカ、アジアなど各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられています。
 アメリカのカリフォルニア州では、カリフォルニア州個人情報保護法が成立するなど、個人情報保護の潮流は、世界に広がってきています。日本企業にとって商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱われる個人データ数が大きいアメリカ及びアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況になっています。なぜなら、規制内容によっては、GDPRよりも、さらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく、経済産業政策として個人データを国内に囲い込むべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきかを解説し、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用手法とマーケット・スケールの分析
(3)各国ローカル規制対応とグローバル方針策定の手順

4.世界主要国の個人情報保護規制の解説
(1)インド
(2)シンガポール
(3)韓国
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ(カリフォルニア州個人情報保護法)
(9)ロシア
(10)中国

[2019/03/04] 緊急告知!! GDPR 十分性認定への実務対応 ~十分性認定のための補完的ルールを踏まえた個人情報管理規程の雛形を…

講師:大井 哲也
日時:2019年03月04日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 2019年1月23日、EU一般データ保護規則(GDPR)に基づく日本国の十分性認定が決定されました。同時に「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」)が施行されます。そこで、既にGDPR対応を完了し、域外移転規制対応としてSCCを締結している企業が、
・さらに「補完的ルール」の施行に伴い何か手当をする必要があるのか?
・どのような場合に、企業が補完的ルールの対応を実装すべきなのか?
・補完的ルールを実装しなければならない場合に具体的にどのようなプロセスで実装すべきか?
について詳しく解説します。
 さらには、GDPR対応が遅れている企業であっても、最低限の対応として何を、どこまでGDPR対応を優先的に実装しなければいけないのかについても整理します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法


2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説


3.質疑応答

[2019/02/25] 緊急告知!! GDPR 十分性認定への実務対応 ~十分性認定のための補完的ルールを踏まえた個人情報管理規程の雛形を…

講師:大井 哲也
日時:2019年02月25日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 2019年1月23日、EU一般データ保護規則(GDPR)に基づく日本国の十分性認定が決定されました。同時に「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」)が施行されます。そこで、既にGDPR対応を完了し、域外移転規制対応としてSCCを締結している企業が、
・さらに「補完的ルール」の施行に伴い何か手当をする必要があるのか?
・どのような場合に、企業が補完的ルールの対応を実装すべきなのか?
・補完的ルールを実装しなければならない場合に具体的にどのようなプロセスで実装すべきか?
について詳しく解説します。
 さらには、GDPR対応が遅れている企業であっても、最低限の対応として何を、どこまでGDPR対応を優先的に実装しなければいけないのかについても整理します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答


[2019/02/21] 第3回 重要インフラサイバーセキュリティコンファレンス

重要インフラの1つである放送事業のセキュリティについて、日本テレビ様、PwC様とディスカッションいたします。

<内 容>
テーマ:『インシデント発生時の企業責任を考える』
パネリスト:
千葉 知紀 氏
  (日本テレビ放送網 コンプライアンス推進室
   法務部長(兼)情報保護推進事務局長)
神薗 雅紀 氏
  (PwCサイバーサービス合同会社
   サイバーセキュリティ研究所 所長)
林 和洋 氏
  (PwCコンサルティング合同会社
   サイバーセキュリティ&プライバシー パートナー)
大井 哲也

日時:2019年02月21日(木) 17:00~17:50
会場:東京コンファレンスセンター・品川
   東京都港区港南1-9-36アレア品川 3F-5F
主催:株式会社インプレス
   重要インフラサイバーセキュリティコンファレンス実行委員会
問い合わせ先:株式会社インプレス イベント事務局
E-mail:csa@impress.co.jp
コンファレンスの詳細・お申込みはこちら



[2019/01/13]GDPRに基づくEU代理人業務の解説

GDPRに基づくEU代理人業務について

 

GDPR対応は運用フェーズへ

2018年6月にGDPRが施行されて半年が経過しました。GDPR上の要求事項の実装対応に追われるフェーズからGDPRの運用するを行うフェーズに移行している企業が多くなっています。

そのGDPRの運用のうち、特に、ご相談が多い項目は、DPO(データ・プロテクション・オフィサー)の運用業務とEU代理人業務の運用です。

今回は、まず、EU代理人業務について、具体的にどのようにEU代理人業務を行えば良いのかについて、その実装と運用方法について解説します。

EU代理人候補者の選定

EU代理人の設置義務がある企業が、真っ先に壁に当たるのが、EUの代理人候補者の選定です。

EU代理人は、EU在住であることが要件となっていますので、EU内の法律事務所やコンサルティングファームの弁護士が候補として考えられるはずですが、これが意外に難航します。彼らは、EU代理人業務を行っていないことが多いからです。


EU代理人業務が発生する2つの場面

EU代理人業務が発生するトリガーは、2つの場面が想定されます。

1つは、EUの権利主体すなわち個人からのクレームや問い合わせ対応であり、2つ目は、EUの監督機関からの調査対応です。

これらは、個人情報が、目的外利用など不正に利用されたとして個人が企業に対してクレームを申し立ててくる場面や、情報セキュリティに関するインシデントが発生し、EUの監督機関が調査権限を発動する場面です。


EU代理人に求められるインシデント・レスポンス機能

そのため、EU代理人業務は、

①GDPRの要求事項の法的対応に加えて、

②インシデント・レスポンス=CSIRT(Computer Security Incident Response Team)機能、

③インシデント発生時のEUの監督機関への対応の3つの機能

が要求され、それらに対応できる能力と資質がEU代理人には求められます。

GDPRの文字面では、EU代理人は、単なるメッセンジャーのように読めるかもしれません。しかし、個人からのクレームや、インシデント発生直後に、どのようにスピーディに初動対応に移れば良いかのジャッジができなければ、現場での本質的な要請に応えることはできません。

このようなEU代理人の広範な機能と責任から、EU代理人業務を行わない・行うことができないと判断するEUの弁護士が多いわけです。

これでは、企業のニーズにしっかりとミートできているとは言えません。インシデントが発生した時にこそ、法律家の真価が問われるのであり、情報漏えいインシデントはまさにその重要な一場面であると考えています。


EU代理人の設置義務

では、EU代理人を設置が必須となるケースはどのようなケースでしょうか?

これは、EU代理人の設置義務がある場合=GDPR第3 条2 項の適用場面です。

すなわち、GDPR第3条1項のEU内の拠点を根拠として提供される場面ではなく、EU内の拠点が不要なウェブやアプリサービスを提供し、GDPR3条2項が適用される場面です。


EU代理人の設置義務が発生する要件=GDPR3条2項の適用場面

(a)EU のデータ主体に対する商品・サービスの提供

ECサービスや、日本のドラマ、アニメ、スポーツ、アプリ・ゲームなどのコンテンツをウェブを通じてEUの個人に対して配信するケースが典型例です。

(b) EU 域内で行われるデータ主体の行動モニタリング

ウェブやアプリ上で収集される個人の嗜好、ライフログ、GPS情報などをモニタリングする処理を含むサービスが典型例です。


EU代理人の設置義務の適用除外

但し、EU代理人設置義務は、以下の3つの要件をみたすデータの処理には適用されません。

①一時的なものであり、かつ、

②特別な種類のデータ(人種的若しくは民族的な出自、政治的意見、宗教・思想上の信条、又は、労働組合への加入、遺伝子データ、生体デー タ、健康に関するデータ、性生活、性的指向)の取扱い又は第10 条に規定 する有罪判決及び犯罪行為と関連する個人データの取扱いを大量に含まず、かつ、

③取扱いの性質、過程、範囲及び目的を考慮して自然人の権利及び自由に対するリスクが生ずる可能性が低いこと

しかし、この適用除外要件を見てもお分かりのとおり、EU代理人の設置義務が適用除外されるのは、極めて限定的です。


EU代理人の設置国

EU代理人は、EU加盟各国に設置する必要がありますが、私の現行スキームでは、イギリスとドイツに設置しており、イギリス・ドイツ現地弁護士と東京オフィスの弁護士と協同チームを組成してEU代理人業務にあたっています。

日本企業のサービス展開国は、イギリスが最もマーケットして大きいことからイギリスに設置し、ただし、イギリスのEU離脱(ブレグジット)に対応すべくドイツにも代理人を設置できる体制をとっています。


EU代理人業務のフロー

I【EU監督機関や個人からEU代理人へのコンタクト】

EUの監督機関からの調査や、EUの個人からの問い合わせやクレームをまずは、EU代理人が受理します。

II【EU代理人から日本国弁護士への共有と対応方針のアドバイス】

ここで、EU代理人が受理した内容を東京オフィスの日本国弁護士に共有され、東京オフィスの弁護士が、必要に応じてEU代理人と協議を経て、対応方針を検討し、日本語で委任者である企業のご担当者チームの皆様にEU代理人が受理した内容を連絡し、同時にそれに対する対応方針のアドバイスを行います。

III【企業でアクション方針の決定】

そして、日本国弁護士のアドバイスの元に企業が対応方針を決定し、主として日本国弁護士がEU代理人の協力を得つつ、監督機関・個人などへのコンタクトをとります。


EU代理人業務の標準報酬

企業の規模、特にEU圏内での子会社数、個人の顧客数、個人情報の利活用の形態によって、EU代理人業務の報酬は異なりますが、標準的には、以下の費用で承っています。

具体的なタスクと費用については、別途お問い合わせ下さい。

(i)EU代理人業務のための体制構築費用(初期費用)

・EU代理人⇔日本国弁護士⇔企業のご担当者様間でのレポーティングラインの設定

・EU代理人業務フローのご説明

・EU代理人業務を行うための企業様の体制構築支援

(ii)EU代理人業務対応費用(運用費用)

・EU当局からの調査受付けとそのご連絡

・EUの個人からの問い合わせ受付とそのご連絡

・対応方針に対するアドバイス

 



 

[2019/02/12] 民法改正とシステム開発契約の見直し ~民法改正に伴うシステム開発契約の変更点と紛争類型~

講師:大井 哲也
日時:2019年02月12日(火)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 IBM対スルガ訴訟に代表されるように大規模化かつ複雑化したシステム開発は、相当程度高い確率で、納期遅延や、プロダクトの欠陥などの紛争リスクを抱えています。また、今般の改正民法の成立により、システム開発プロセスにも大きな影響を受けることになります。
 本セミナーでは、法律論の教科書的な解説を越えた、実務に即した紛争解決の勘所をベンダ及びユーザ、法務部門及び情シス部門の両者に向けてご説明致します。

1.民法改正とシステム開発紛争への影響
(1)瑕疵担保責任と契約不適合
(2)代金減額請求権と賠償請求権の起算点
(3)開発プロジェクトが途中頓挫した場合の報酬請求権
(4)成果物完成型の準委任契約

2.システム開発契約
(1)契約作成プロセスでの法務部門と情シス部門の役割
(2)ウォーターフォール型契約の各フェーズ
(3)システム開発契約の条項解説と一歩進んだ条項の検討
(4)システム開発契約の肝となる別紙の作成

3.システム開発紛争の頻発類型
(1)請負又は委任の契約類型の明確化の欠如
(2)開発スコープの明確化の欠如
(3)テストケースの粒度と網羅性の不足
(4)検収手続の能力不足及び不備
(5)発注者又は受注者のPMの不備
(6)プロダクトの欠陥及び情報セキュリティ上の脆弱性

4.システム開発プロセスにおける勘所
(1)ビジネス要件定義の精緻化
(2)発注者PM及び情シス部門の役割
(3)裁判を意識したプロジェクト管理と証拠収集
(4)PMへの法務部の関与

5.システム開発訴訟の勘所
(1)システム開発訴訟の期間とコスト
(2)裁判官のリテラシー
(3)専門委員のリテラシーと活用
(4)システム開発の失敗と損害の相当因果関係の範囲
(5)裁判官の心証を決定する証拠収集
(6)私的鑑定意見書の依頼方法と成果物
(7)裁判上の和解の留意点

[2019/01/24] 海外子会社管理のためのコンプライアンスプログラム ~グローバル企業の法令遵守・グローバル不正監査体制の構築~(グロ…

講師:戸田 謙太郎 / 大井 哲也
日時:2019年01月24日(木)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも、十分な対策を講じることができていないのが現状です。ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず、本社あるいはグループ全体の信用失墜につながることも少なくありません。海外展開する企業にとって、海外子会社の管理体制(グローバル・コンプライアンスプログラム)構築が急務となっています。
 一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるかの判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたって内部通報ガイドラインの内容を無視することはできません。さらに、いわゆる日本版司法取引制度が平成30年6月1日から施行されるため、かかる制度の運用を意識した法令遵守・不正監査体制の構築が不可欠です。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。

1. 海外子会社不祥事の最新事例の紹介

2. 海外子会社管理のために検討すべき海外法令と法律問題
(1) 贈収賄規制(外国公務員の贈賄規制を含む)
(2)独占禁止法・競争法
(3)個人情報保護法・営業秘密の管理
(4)サプライチェーンに対する規制(人権DD・英国現代奴隷法等)
(5)海外反社に対する規制(OFAC規制等)

3. 法令遵守・不正監査体制の構築
(1)不正行為の未然防止のための体制
  1)リスク・アセスメント
  2)コンプライアンス規程の整備
  3)社内研修の実施
  4)相談窓口の整備
(2)不正行為の早期発見のための体制
  1)グローバル不正監査体制の構築
  2)グローバル内部通報制度の導入
(3)グローバルでの有事対応体制
  1)有事における対応マニュアル
  2)有事におけるレポーティングライン
  3)海外ローファームとの連携
  4)海外における現地調査委員会の組成

[2018/12/17] 日経ビジネスONLINE「サイバー攻撃対応はプリンスホテルの謝罪に学べ」と題する記事にコメントが掲載されました。

日経ビジネス 謝罪の流儀 2018『サイバー攻撃対応はプリンスホテルの謝罪に学べ 〜被害者は自社ではなく顧客だ〜』にコメントが掲載されました。

「サイバー攻撃において、企業は『自分が被害者だ』という意識にとらわれがちだ。だから謝罪会見になかなか踏み切らない」と指摘する。しかし「消極的な対応は、情報が悪用される二次被害を生む上、消費者からの損害賠償請求を誘発する。プリンスホテルのように委託先が攻撃されたとしても、消費者が求償するのは委託元だ。顧客目線の対応を欠けば、非難を受けるのは避けられない」

 
 
 
 
 
 

[2018/12/15] グローバル内部通報制度の導入解説

グローバル内部通報制度の導入解説を致します。

こちらは#legalACイベントの投稿になります。


海外子会社の管理の1つの手法として海外子会社の社員を対象とする内部通報制度を導入したいですが、そもそも、どこに、どのような依頼をすればよいのか、どのような手順で導入を進めるべきかが分からない、というご相談があります。 
そこで、実際にグローバル内部通報制度を設計し、外部窓口を受任し、通報を受付け、内部不正の調査を行っている法律事務所の見地からグローバル内部通報制度の制度設計から導入・運用までを解説します。 

1  グローバル内部通報制の制度設計

Q  グローバル内部通報制度とは、どのような制度でしょうか?

その定義はどのようなものでしょうか?

A  まず、グローバル内部通報制度という制度は、法律上の制度でも、企業の方々に一般に共通認識のある制度でもありません。

その意味するところは、【スライドP2】の右手にあるレポーティングラインが示しているように海外子会社の社員が所属する子会社が設置する内部通報窓口に通報するルートとは別に、子会社・親会社の垣根を超えて、子会社の社員が、ダイレクトに親会社が設置する内部通報窓口に内部通報するレポーティングラインを指しています。

これに対し、スライドの左手にある図は、各海外子会社の社員が所属する子会社の窓口に通報し、その内、子会社が特に重要なインシデントだけをスクリーニングし、親会社に対しレポーティングする、エスカレーションする通常の内部通報制度の設計を示しています。

グローバルに展開する日本企業は、通常、このスライド左手の設計(これをローカル内部通報制度と呼びます)を導入しています。

2 グローバル内部通報制度とローカル内部通報制度

Q ローカル内部通報制度の欠点は何でしようか?グローバル内部通報制度を導入する意図はどのようなものでしようか?

A  グローバルにビジネスを展開する日本企業にとって、目の行き届く国内企業よりも、海外子会社の不祥事がリスクが大きく、近時の大きな会計不正や、不祥事は海外で発生しているという事実は看過できません。

そして、内部通報が各海外子会社が設置する窓口だけであると、海外子会社の社長や幹部が主導する海外子会社ぐるみの不正行為に対しては無力です。

なぜなら、仮に海外子会社の社員が内部通報をしたとしても、それは、海外子会社内部でもみ消されることになり、日本本社へエスカレーションすることなく、日本本社が対応する機会を逸してしまうからです。

グローバル内部通報制度を導入することにより、日本本社が主導し、不正調査チームの組成を行い、海外子会社ぐるみの内部不正とその隠蔽行為を調査することが可能となります。

3 グローバル内部通報制度の外部窓口を誰に依頼すべきか?

Q 通報窓口業務担うプレーヤーにはどのような形態が存在するでしょうか?

A  通報窓口業務担うプレーヤーには以下のようなプレーヤーが存在します。

(1)通報受付け受託会社

以下の2社に対するご相談頻度が高いです。いずれも多言語対応されています。

NAVEX Global

https://www.navexglobal.com/

ディー・クエスト

https://www.d-quest.co.jp/

(2)世界各国のローカル法律事務所

海外子会社の法律業務を請け負っている海外の事務所に通報窓口を依頼する方法もあり得ます。デメリットは日本本社が個々的に運用管理をしなければならない点です。

(3)監査法人系コンサルティング

デロイトトーマツさんが積極的です。https://www2.deloitte.com/jp/ja/pages/risk/solutions/cm/hl.html?gclid=Cj0KCQiAxs3gBRDGARIsAO4tqq1S47AJ4Joi3ORvCaz5Fi8UQIuJ87TA_-DCNVrWaiikswLMlNUNsZ4aAm-fEALw_wcB

(4) 海外支店やグローバルネットワークを有する日本の法律事務所

内部通報窓口を企業の内部者のみならず、外部に置く場合には、上記のような通報窓口業務担うプレーヤーにどのような機能を期待できるのかを考慮に入れながら選択することになります。

【通報窓口を選ぶ際の考慮要素】

①多言語対応、日本語への翻訳が可能か、

②通報を受け付けた後、実際に調査が必要な事案であると発覚した場合に、速やかに海外の現地にて調査チームや調査委員会を組成して、現地での事実調査に開始することが可能か、

③各国の法制度や内部通報制度に対する法的規制を踏まえた内部通報の受付けと事後処理が可能か(この点については、次の項目で解説します。)

この点、まずは、通報を受付けて日本語に翻訳をして企業に伝達するだけの機能で足りるのか、通報を受付けてから実際の調査を依頼することもあり得るのかで、通報受付け受託会社なのか、不正調査可能な法律事務所なのかを決定することになります。

そして、各国の法律事務所に個々的に窓口を依頼する場合と、1つのグローバル展開をしている事務所に窓口を包括的に依頼する場合があり得ます。

いずれも、依頼可能な業務・機能とそれに要するコストを勘案し、企業の内部的なリソースを踏まえて決定することになるでしょう。

4 グローバル内部通報制度の導入手順

Q グローバル内部通報制度の導入手順はどのように進めればよいでしょうか?

A まずは、どの現地法人・支店を対象にするかを決定する必要があります。海外子会社には、様々な形態や機能(購買機能、R&D機能、生産機能、営業機能)を持ち、また社員の規模もまちまちです。 

そこで、私の場合は、グローバル内部通報制度の導入および運用の負荷も考慮して、

「内部不正の起こり得る発生確率×社員規模」の相関でリスク度の高い現地法人・支店を優先的に導入しましょう、というアドバイスをしています。

例えば、タイの現地法人の社員数は、1000人いたとします。タイ現地法人には、工場の作業員ワーカーしかおらず生産機能のみを担っている、購買機能や営業機能がないとします。この場合、タイでは商取引にまつわる不正が起きにくい環境であると言え、その国の内部通報制度の導入の優先順位を下げても良いことになります。

逆に、シンガポール現法は、社員数は、100人で営業機能・調達・購買機能を有していることとします。この場合、商取引にまつわる内部不正が起きる可能性があると評価できましょう。

さらには、例えば、カンボジア現法では、王族系の企業との取引依存度が大きい、公務員との癒着が起きやすい文化的背景がある、などの事情があれば、このような定性的な事情も含めて判断していきます。

導入対象の現地法人・支店が決まると、次に当該現地法人・支店に適用される各国の内部通報法制などにしたがった内部通報制度設計の要求事項を抽出していきます。

Q 各国の内部通報法制などにしたがった内部通報制度設計の要求事項は具体的にどのようなものがあるでしょうか?

(1) 内部通報規制などの要求事項

【スライドP3】をご覧ください。各国の内部通報規制には、以下の制度設計についての要求事項があります。日本では、公益通報者保護法が存在しますが、海外でも日本同様、内部通報制度の制度設計の際に配慮する必要がある法規制があります。

適用法令要求事項

内部通報規制
・通報者の範囲は?
・通報内容の範囲は?
・匿名通報が許される?顕名が必要?
・フィードバック義務がある?
・内部通報制度の設置に届出義務ある?

労働法・通報者の保護策は?

個人情報保護法
・通報者・被通報者の個人情報の国外移転が許容される?
・国外移転の正当な利益が認められる?

(2) 要求事項を踏まえた内部通報制度の制度設計

上記の表のように主として3つの領域の要求事項がありますので、まずは、これらの適用法令のリサーチを行い、その要求事項に抵触しない範囲で、内部通報制度の制度設計をデザインしていきます。

5 内部通報規制からの制度設計に対する制約

Q 内部通報規制は制度設計にどのように影響するでしょうか?どのような内部通報規制があるのでしょうか?

A  第一に、最も重要なのが、各国の内部通報規制です。

全ての国がこの規制を課しているわけではありませんが、日本企業の海外拠点があるような欧米・アジアの主要先進国には、置かれていることが多いこと、また、この規制の存在を知らずに通報受付窓口業務だけを通報受付け受託会社に委託している企業が多いことに留意が必要です。

すなわち、各国の内部通報規制に照らして、その枠内で設計することが必要です。例えば、ある国の内部通報規制で、匿名での通報者も法律上保護されなければならないのに、企業の制度設計として顕名通報のみを受付けるといった制度設計は、現地の法令に抵触するリスクが発生するわけです。

同様に、通報内容の範囲として、企業内の不正には、不正会計、品質検査不正、セクハラ、パワハラ、取引先企業との癒着・価格協定・キックバック、公務員に対する贈賄、機密情報の持ち出しなど様々な不正類型がありますが、どこまでの通報内容を制度として保護するか、を決定する必要があります。

そのほか、通報者に対して、通報後になされた社内調査の結果および再発防止策の実行などについて通報者にフィードバックをする義務があるか、など

さらには、国よっては、内部通報制度の設置に届出義務があるケースもあるので注意が必要です。

6 労働法上の通報者の保護

第二に、通報者の労働法上の保護です。【スライドP4】をご覧ください。

通報者が社員である場合、通報したことによる不利益的取扱いを行ってはならないことは、世界共通の労働法の要求事項でありますが、企業に対する禁止の仕方は様々です。

例えば、内部通報制度によって企業不正を抑止・検知すべきだとするUSのSOX法は、内部通報に対する企業の報復措置に対しては、刑事罰が課されるなど通報者の保護を徹底しています。

7 個人情報保護法からの制約

第三に、個人情報保護法です。【スライドP5】をご覧ください。

社員が子会社・親会社の国を超えて、日本の窓口に通報する場合、通報者および被通報者の個人情報が現地国から日本所在の日本本社に移転する事象が発生します。

特に、被通報者の個人情報は、不正行為や当人の人事情報、過去の懲戒履歴など機微にわたる個人情報が日本本社に国外移転・第三者提供されることになるわけです。

何らかの不正行為が発生してから事後的に個人情報保護法の国外移転・第三者提供のクリアランスを行うわけにはいきません。

すなわち、不正行為者(被通報者)に対して「あなたの不正行為の疑いのある事実とあなたに関する個人情報を親会社に対して提供し、あなたを親会社で組成した調査チームで調査しますが、個人情報の国外移転と第三者提供に関して同意してもらえますか?」と問うのは現実的ではありません。

したがって、グローバル内部通報制度の導入する当初にこのような個人情報のフローを包括的にカバーするクリアランスを実行しておくことが必要になるわけです。

例えば、EUの個人情報保護法であるGDPRでは、EU域外移転規制のクリアランスは、SCCの締結であり、子会社から親会社間の第三者提供のクリアランスは、同意や正当な利益を正当化根拠として使うことがありますが、これらクリアランスの実装をグローバル内部制度の導入時点で、完了しておく必要があります。

8 各適用法令を踏まえた制度設計と内部通報規程への落とし込み

Q 各適用法令を踏まえた制度設計が決まったら、どのようなドキュメントが必要になりますか?

A  上記で見ました各適用法令を踏まえた制度設計を行うことができましたら、これを社内規程化、すなわち各国現地法人・支店で策定される「内部通報規程」へ落とし込みを行います。 

さらには、通報を受付ける窓口の連絡先メール・電話番号を決定し、内部通報規程の概要と説明文を付した社員や外部取引先に対して周知する文書の作成やウェブサイトを構築して導入手続きは完成です。

9 導入のための作業期間・コストと運用のためのコスト

Q 導入のための作業期間・コストと運用のためのコストはどのくらい見込んでおけばよいですか?

A  企業の皆様が気になると思われる内部通報制度の設計の初期費用と運用のための費用について解説します。

グローバル内部通報制度の設定に必要な「各国規制のリサーチ」については、100万円/国(法域)~、となるケースが多いです。これは、日本の弁護士費用と現地の弁護士費用(下請け費用を含みます。)を合算した費用です。期間にして、少なくとも1か月以上かかることが通常です。

そして、これらを踏まえて各国において策定される「内部通報規程および社員に対する説明文の作成」について、企業のご担当者の皆様と採り得る選択肢の中から最適な設計を会議セットの中でご相談して作り込み、それを規程化、さらには、ローカライズ(現地語への翻訳)を行っていきます。

次に、わたし大井とその他4、5名の日本人弁護士を中心として、海外オフィス、海外の提携事務所との合同チームを組成し、国内外の日本国・外国法弁護士の体制で外部窓口を受任するケースでは、会社規模、社員数、および国数に応じて、月額の固定の弁護士費用を決定しています。また、実際に通報を受け付けた件数に応じて、メールによる通報受付作業、通報者との連絡、通報者に対する質問、通報者の要望聴取、簡易な調査作業についてタイムチャージベースで費用を算出しています。

対応している国(法域)は、日本、米国、カナダ、ブラジル、イギリス、ドイツ、フランスなどEU各国、 中国、韓国、 シンガポール、カンボジア、ミャンマー、タイなどアジア各国、南アフリカ共和国、ケニアなどアフリカ各国となります。

(補足)  応用事例としてのGDPRに基づくEU代理人の設置

最後に内部通報窓口とは異なりますが、その応用事例としてGDPRに基づくEU代理人の設置についても触れておきます。

日本企業にGDPRが適用され、かつEUに拠点を有していないGDPR3条2項aが適用される場合で、EUに代理人を設置する必要があるケースで、EU代理人を依頼したいというご相談をよく受けます。

このようなEU代理人を受任するサービスは極めて少ないと言いますか、わたしは、他社さんがEU代理人業務をサービスメニューとして提供しているケースに未だ出会ったことがないのですが、当事務所の在東京のGDPR対応チームと、在イギリス、ドイツ弁護士と業務連携して、EU代理人業務(EU在住の個人の方からの問い合わせ受付け、EU当局からの問い合わせ受付け)も行っています。

長くなりましたので、こちらの詳細は、またの機会にお話したいと思います。


[2019/01/21] 世界各国の個人情報保護法への対応 ~ポストGDPR のアメリカ・アジアなど各国規制対応~

講師:大井 哲也
日時:2019年01月21日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 GDPRの施行日である2018年5月25日に照準を合わせて、グローバルでビジネス展開する日本企業はGDPR対応を行ってきました。一方で、GDPRは、EU地域にユニークな厳しい個人情報保護規制であるという誤解から、EU地域以外のアメリカ、アジアなど各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられています。
 アメリカのカリフォルニア州では、カリフォルニア州個人情報保護法が成立するなど、個人情報保護の潮流は、世界に広がってきています。日本企業にとって商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱われる個人データ数が大きいアメリカ及びアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況になっています。なぜなら、規制内容によっては、GDPRよりも、さらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく、経済産業政策として個人データを国内に囲い込むべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきかを解説し、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用手法とマーケット・スケールの分析
(3)各国ローカル規制対応とグローバル方針策定の手順

4.世界主要国の個人情報保護規制の解説
(1)インド 
(2)シンガポール 
(3)韓国 
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ(カリフォルニア州個人情報保護法)
(9)ロシア 
(10)中国

[2019/01/17] 新 GDPR 十分性認定移転補完的ルールへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべ…

講師:大井 哲也
日時:2019年01月17日(木)14:00~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 2018年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 また、8月24日、個人情報保護委員会事務局から「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」がリリースされました。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答

[2018/12/08] 「システム開発プロジェクトの中止」レジュメ公開

情報ネットワーク法学会 第18回研究大会 システム開発プロジェクトの中止
〜その手法とタイミングの見極め〜
のレジュメを公開します。

お申込み未了の方は、下記リンクまで。
http://www.in-law.jp/bn/2018/20181116.html

第3分科会【システム開発プロジェクトの中止〜その手法とタイミングの見極め〜】
講師:伊藤雅浩弁護士(シティライツ法律事務所)
   影島広泰弁護士(牛島総合法律事務所)
   杦岡充宏氏
   大井哲也
日時:2018年12月08日(土)15:10~16:40
会場:立正大学品川キャンパス 9B21
   東京都品川区大崎4-2-16
主催:情報ネットワーク法学会

[2018/12/17] 新 GDPR 十分性認定移転補完的ルールへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべ…

講師:大井 哲也
日時:2018年12月17日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 また、本年8月24日、個人情報保護委員会事務局から「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」がリリースされました。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答

[2018/12/17] 個人情報を企業で活用するための法務・倫理講座

講師:一般財団法人日本情報経済社会推進協会・坂下 哲也 氏、
   KPMGコンサルティング株式会社・大洞 健治郎 氏、
   大井 哲也
日時:2018年12月17日(月) 10:00~17:20
会場:宣伝会議 表参道セミナールーム 
   東京都港区南青山3-11-13 新青山東急ビル8階
主催:株式会社宣伝会議
問い合わせ先:株式会社宣伝会議
Tel:03-3475-3030
セミナーの詳細・お申込みはこちら

<内 容>
10:00-12:00:
「国内外の個人情報取り扱いに関する法制度の概論と、企業が目指すべき地点」について解説いたします。
・活用対象となりうるデータの種類
・個人データの取り扱いに対する法規制
・データは誰の物か
・企業が取るべき対策レベル

[2018/12/08] 情報ネットワーク法学会 第18回研究大会 システム開発プロジェクトの中止〜その手法とタイミングの見極め〜

講師:伊藤雅浩弁護士(シティライツ法律事務所)
   影島広泰弁護士(牛島総合法律事務所)
   杦岡充宏氏
   大井哲也
日時:2018年12月08日(土)15:10~16:40
会場:立正大学品川キャンパス 9B21
   東京都品川区大崎4-2-16
主催:情報ネットワーク法学会
問い合わせ先:情報ネットワーク法学会 研究大会実行委員会
Email:taikai-infoatin-law.jp
詳細はこちら

<内 容>
第3分科会【システム開発プロジェクトの中止〜その手法とタイミングの見極め〜】

[2018/12/07] 世界各国の個人情報保護法への対応 ~ポストGDPR のアメリカ・アジアなど各国規制対応~

講師:大井 哲也
日時:2018年12月7日(金)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
セミナーの詳細・お申込みはこちら

<内 容>
 GDPRの施行日である本年5月25日に照準を合わせて、グローバルでビジネス展開する日本企業はGDPR対応を行ってきました。一方で、GDPRは、EU地域にユニークな厳しい個人情報保護規制であるという誤解から、EU地域以外のアメリカ、アジアなど各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられています。
 アメリカのカリフォルニア州では、カリフォルニア州個人情報保護法が成立するなど、個人情報保護の潮流は、世界に広がってきています。日本企業にとって商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱われる個人データ数が大きいアメリカ及びアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況になっています。なぜなら、規制内容によっては、GDPRよりも、さらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく、経済産業政策として個人データを国内に囲い込むべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきかを解説し、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
  ・要求事項の厳格度
  ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用手法とマーケット・スケールの分析
(3)各国ローカル規制対応とグローバル方針策定の手順

4.世界主要国の個人情報保護規制の解説
(1)インド 
(2)シンガポール 
(3)韓国 
(4)香港
(5)台湾
(6)フィリピン
(7)オーストラリア
(8)アメリカ(カリフォルニア州個人情報保護法)
(9)ロシア 
(10)中国

[2018/11/30] 世界各国の『個人情報保護法』対応 〜ポストGDPRの各国規制対応〜

講師:大井 哲也
日時:2018年11月30日(金)13:00~17:00
会場:企業研究会セミナールーム
   東京都千代田区麹町5丁目7番2号
   MFPR麹町ビル 2F(旧:麹町M-SQUARE)
主催:企業研究会
問い合わせ先:企業研究会公開セミナー事業グループ
Tel:03-5215-3514
   セミナーの詳細・お申込みはこちら

<内 容>
 日本企業の世界進出に伴い、グローバルレベルでのクラウドサービスの導入、インターネット・コンテンツやSNSサービスの世界各国への提供が近年、急速に拡大しています。そのため、グローバルでビジネス展開する日本企業も本年5月25日に施行されたGDPRの対応を行ってきました。しかしながら、GDPRはEU地域に特有の厳しい個人情報保護規制であるという誤解からEU地域以外のヨーロッパ各国、中東、アメリカ、アジア各国の個人情報保護法対応を先延ばし、または、看過する例も多くみられます。
 特に、日本企業の商品・サービスのマーケットサイズが大きく、個人データの取扱いの頻度や取扱いボリュームが大きいアジア各国の個人情報保護法対応を看過することは、GDPR違反以上に法的リスクが高い状況です。なぜなら規制内容によっては、GDPRよりもさらに厳格な個人情報保護規制を有している国や、個人の権利保護目的ではなく経済産業の国策として個人データを保護すべきとするデータ・ローカライゼーション規制も適用される可能性があるためです。
 そこで、本セミナーでは、グローバル展開する日本企業がケアすべき法令の内容を確認するとともに、世界各国の個人情報保護規制のクリアランスをどのように進めて行くべきか、法務部門のための指針を示します。

1.世界主要国の個人情報保護規制の概観
(1)個人情報保護規制違反リスクの考え方
   ・要求事項の厳格度
   ・制裁・罰則の金額
(2)各国規制のリスク・マッピング
(3)個人情報保護規制の準拠法の考え方

2.個人情報保護規制の類型
(1)個人の権利保護目的の個人情報保護法
(2)データ・ローカライゼーション規制とは

3.世界各国の個人情報保護規制のクリアランス・アプローチ
(1)データ・マッピング
(2)データ活用とマーケットの分析
(3)グローバル共有対応とローカル対応の考え方

4.世界主要国の個人情報保護規制の解説
(1)中国
(2)インド
(3)シンガポール
(4)韓国
(5)香港
(6)台湾
(7)フィリピン
(8)オーストラリア
(9)アメリカ
(10)ロシア

[2018/11/26] 海外子会社管理のためのコンプライアンスプログラム ~グローバル企業の法令遵守・グローバル不正監査体制の構築~(グロ…

講師:戸田 謙太郎 / 大井 哲也
日時:2018年11月26日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
   セミナーの詳細・お申込みはこちら

<内 容>
 多くの日本企業は、海外進出によって急速にグローバル化していく中で、現地の役職員の不正等により会社が被るリスクを認識しつつも、十分な対策を講じることができていないのが現状です。ひとたび海外子会社において不正や不祥事が発生した場合、その影響は海外子会社にとどまらず、本社あるいはグループ全体の信用失墜につながることも少なくありません。海外展開する企業にとって、海外子会社の管理体制(グローバル・コンプライアンスプログラム)構築が急務となっています。
 一言にグローバル・コンプライアンスプログラムといっても、対象となる法令や法律問題が広範であること、不正行為の未然防止や早期発見のための効果的な体制がどのようなものであるかの判断が容易ではないこと等から、効果的な体制を構築することは容易ではありません。また、平成28年12月9日に、消費者庁から「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(以下「内部通報ガイドライン」)が公表されたことから、今後は内部通報制度の構築にあたって内部通報ガイドラインの内容を無視することはできません。さらに、いわゆる日本版司法取引制度が平成30年6月1日から施行されるため、かかる制度の運用を意識した法令遵守・不正監査体制の構築が不可欠です。
 本セミナーでは、海外子会社管理のために検討すべき海外法令や法律問題を解説するとともに、効果的な法令遵守・グローバル不正監査体制について、当日配布予定の「グローバル・コンプライアンス規程」のサンプルや、内部通報ガイドラインに触れつつ、わかり易く解説させて頂きます。

1. 海外子会社不祥事の最新事例の紹介

2. 海外子会社管理のために検討すべき海外法令と法律問題
 (1) 贈収賄規制(外国公務員の贈賄規制を含む)
 (2)独占禁止法・競争法
 (3)個人情報保護法・営業秘密の管理
 (4)サプライチェーンに対する規制(人権DD・英国現代奴隷法等)
 (5)海外反社に対する規制(OFAC規制等)

3. 法令遵守・不正監査体制の構築
 (1)不正行為の未然防止のための体制
   1)リスク・アセスメント
   2)コンプライアンス規程の整備
   3)社内研修の実施
   4)相談窓口の整備
 (2)不正行為の早期発見のための体制
   1)グローバル不正監査体制の構築
   2)グローバル内部通報制度の導入
 (3)グローバルでの有事対応体制
   1)有事における対応マニュアル
   2)有事におけるレポーティングライン
   3)海外ローファームとの連携
   4)海外における現地調査委員会の組成

[2018/11/19] 新 GDPR 十分性認定移転補完的ルールへの対応 ~GDPR 未対応の企業、GDPR 対応を終えた企業は今何をすべ…

講師:大井 哲也
日時:2018年11月19日(月)13:30~17:00
会場:金融財務研究会本社 グリンヒルビル セミナールーム
   東京都中央区日本橋茅場町1-10-8
主催:経営調査研究会
問い合わせ先:経営調査研究会
Tel:03-5651-2033
   セミナーの詳細・お申込みはこちら

<内 容>
 本年5月25日、EU一般データ保護規則(GDPR)が施行されました。GDPR上の義務は日本企業にも課され、義務違反には多額の制裁金が課されるためGDPR対応に迫られていますが、施行日後の現在でも、未対応の企業が少なくなく、他社動向を知って急遽対応に追われる状況も散見されます。
 また、本年8月24日、個人情報保護委員会事務局から「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」がリリースされました。
 そこで、本セミナーでは、GDPR未対応の企業が、最低限何を、どこまで、いつまでに実施しなければいけないのかを整理するとともに、既にGDPR対応を終えた企業においても「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の対応を、いかに実装すべきかについて解説します。

1.GDPRのミニマム対応
(1)GDPRの適用範囲の見極め
(2)GDPR対応のうち必須項目とは?
(3)GDPR上の義務と現実的な対応策
(4)EU各国の個人情報保護法

2.十分性認定移転補完的ルール対応
(1)域外移転規制
(2)十分性認定移転補完的ルールの解説
(3)SCCとの関係
(4)十分性認定移転補完的ルールを踏まえた個人情報管理規程の雛形解説

3.質疑応答

MENU