EUのGDPR・アジア各国法に準拠した 現地法人・取引先との個人情報の共有・管理の実務(みずほ総合研究所)【8月3日(金)】

EUやアジアの現地法人・取引先と日本との間で個人情報を共有するために必要な社内体制・契約とは

EUのGDPR・アジア各国法に準拠した 
現地法人・取引先との個人情報の共有・管理の実務

海外に現地法人や拠点を持つ日本企業が、グループ内で人事情報や取引先の情報などを共有する際や、日本企業が海外の企業と顧客情報や取引先の情報をやりとりするために、どのような社内体制・契約を作ればよいのかを実務的に解説

 

2018年5月25日からEUの一般データ保護規則(GDPR)の企業への適用が始まりました。違反した場合には高額の課徴金などの厳しい制裁があるにもかかわらず、日本企業にとっては自社にGDPRの適用があるのか無いのかが分かりにくいという声が多く聞かれます。また、適用がある場合に最低限何をすれば良いのかが分かりにくく、対応ができていない企業も多いようです。さらに、EUと日本の間で十分性決定による移転が可能になったとしても、日本とアジア、EUとアジアの間の移転についてはカバーすることができませんので、この点への対応も必要となります。本セミナーでは、このような現状を前提に、海外に現地法人や拠点を持つ日本企業がグループ内で人事情報や取引先の情報などを共有する際や、日本企業が海外の法人と情報をやりとりする際に、どのような社内体制・契約を作ればよいのか、実務的に解説します。
【各種サンプルをご提供】

 

【講義内容】
1.EUの一般データ保護規則(GDPR)への対応
(1)GDPRの適用がある場合とは?
 ・現地に拠点があるケース
 ・日本本社にGDPRの適用があるケース(域外適用)

(2)適用がある場合の対応
 (i)定義
 ・「個人データ」とは。日本法の「個人情報」との異同
 ・「データ主体」、「管理者」、「処理者」、個人データの「処理」
 ・「特別な種類の個人データ」と要配慮個人情報の異同
 (ii)日本企業の法務・総務担当者等からみたGDPRの特殊性
 ・「同意」と「明示的な同意」、従業員からの同意
 ・個人データの収集に際しての情報提供義務
 ・データ主体の権利(個人情報保護委員会の新ガイドライン)
 (iii) 課徴金
 (iv)管理体制・社内規程の対応
 ・委託先(処理者)との契約の見直し
 ・プライバシーポリシーの改定【サンプル】
 ・安全管理措置の見直しは必要か? ― 「台帳」の整備・改定【サンプル】
 ・DPOの選任が必要な場合と必要ない場合とは。誰を選任するか。
 ・DPIAが必要な場合とは
 ・EU域内に代理人を置かなければならない場合とは
(3)域外移転への対応(EU→日本のデータ移転)
 ・「移転」とは?EU域内のサーバを閲覧するだけで「移転」なのか?
 ・十分性決定を踏まえた日本企業の対応(十分性認定があってもSCCが必要になるケースとは)
 ・グループ内で一括のSCCを締結する方法(代理権の付与、グループ会社が増えたときの対応等)【サンプル】
 ・新ガイドライン「EU域内から十分性認定により移転を受けた個人データの取扱い編」を反映した社内規程の修正【サンプル】

 

2.日本の改正個人情報保護法への対応
(1)海外の現地法人に対して域外適用があるケースとないケース
(2)外国にある会社への個人データの移転の実務
 ・本人の同意がなければ、個人データを海外に移転してはならないとされたことへの対応
 ・同意の文言【サンプル】
 ・米国のクラウドサービスの利用と本人の同意
 ・自社がAPECのCBPR認定を受けるメリット
 ・海外の委託先を使用する際の覚書【サンプル】
 ・グループ内の海外法人と個人情報を共有する際の契約【サンプル】

 

3.アジア諸国・米国の個人情報保護法制と日本への移転のポイント
(1)中国
(2)韓国
(3)シンガポール
(4)インドネシア
(5)マレーシア
(6)タイ
(7)ベトナム
(8)米国

 

4.グループ内の個人情報保護体制の整備の実務
 ・取引先担当者の連絡先と、現地法人の従業員情報を、日本の本社に送るケース
 ・全世界で、米国のクラウドサービスを利用してデータを保存するケース
 ・取引先の名刺情報を日本国内のサーバに保存し、アジア諸国を含めたグループ全社で共有するケース

 

★最新動向により、内容・事例等を一部変更させていただく場合がございます。

 

【お申し込み】
下記のみずほ総合研究所様のページからお申し込み下さい。
https://www.mizuhosemi.com/section/it/30-1322.html

ENGLISH SITE