• expand2021
  • expand2020
  • expand2019
  • expand2018
  • expand2017
  • expand2016
  • expand2015
  • expand2014
  • expand2013
  • expand2012
  • expand2011
  • expand2010
  • expand2009
  • expand2008
  • expand2007
  • expand2006
  • expand2005

影島広泰弁護士が、企業研究会主催のセミナーにおいて、GDPR等、個人データの海外移転をめぐる実務対応に関する講演を行いました。

2019.2.28 | 講演・セミナー

影島広泰弁護士が「GDPR等、個人データの海外移転をめぐる実務対応Q&A」と題する講演を行いました。

 

講演の概要は以下の通りです。

 

主催: 一般社団法人 企業研究会

日時: 2019年2月28日(木)13:00~17:00

講師: 弁護士 影島 広泰

会場: 企業研究会セミナールーム(東京・麹町)

 
EU、米国、中国、アジア諸国、日本における個人情報保護法制の最新動向を踏まえた

GDPR等、個人データの海外移転をめぐる実務対応Q&A

 

★十分性認定決定後の日本企業の対応他、GDPRの実務運用スタート後に顕在化してきた“よくある質問”を中心に★

 

【開催にあたって】
2018年5月25日に施行されたEUの一般データ保護規則(GDPR)への対応は、各社において相当程度進まれていると思いますが、いざ実務運用がスタートしてみると、想定外の問題や疑問点、判断に迷う点が顕在化してきたという声も多く聞かれます。また企業が個人データをグローバルに移転・共有していくためには、GDPRの遵守のみならず米国、中国、アジア諸国における個人情報保護法制の動向や、日本法における取扱いへの十分な理解も必要です。
本セミナーでは、世界各国の法制の動向と留意点を踏まえた上で「EUと日本との間のテータ移転」「GDPRの域外適用を受ける場合の対応」「米国およびアジア諸国と日本との間のデータ移転」の実務に関する“よくある質問”への対応のポイントについて、豊富な資料(各種規程や覚書のサンプル等)も交えながらQ&A形式で解説します。

 

【プログラム】
1.各国の個人情報保護法制の最新動向と留意点
(1)EUの一般データ保護規制(GDPR)
  ・日本企業にGDPRの適用がある場合とは
   (適用ルールとケーススタディ、域外適用がある場合の実務的影響、他)
  ・日本企業が順守すべきこと
   (個人データの処理が適法となるための条件、管理者が負うべき義務、他)
  ・EU域外(日本)へデータ移転の対応
   (一般原則と域外移転が認められる例外、十分性認定を踏まえた対応、他)
  ・GDPRを具体化し補完する特別法「ePrivacy規則(Cookie規則)案」の動向
(2)日本の改正個人情報保護法
  ・海外の現地法人に対し、日本法の域外適用があるケース
  ・外国にある第三者への提供の制限(改正法24条)への対応
   (本人の同意、契約書・覚書等、国際的な認定、他)
(3)米国のプライバシー保護法制
  ・FTC(連邦取引委員会)によるエンフォースメント
  ・「2018年カリフォルニア州消費者プライバシー法」(2020年1月施行予定)の概要
   (適用範囲/個人情報収集時の開示義務/個人データの販売・開示に関する規制、他)
  ・加州法の施行阻止に向けた「連邦法」制定への急速な動き
(4)アジア諸国のプライバシー保護法制
  ・中国の「インターネット安全法(2017年6月1日施行)
  「個人情報と重要データの国外移転の安全評価管理弁法」
   (現地法人をもつ日本企業が留意すべきポイント:本人同意の原則、第三者提供についての本人同意、国内保存義務)
  ・ベトナムのサイバーセキュリティ法 / 韓国の個人情報保護法 / 台湾の個人データ保護法
  ・シンガポールの個人情報保護法 / 香港の個人データ条例 / マレーシアの個人情報保護法
  ・インドネシアの個人データ収集・移転の規制 / タイの個人情報保護の法制度
2.個人データの海外移転をめぐる日本企業の実務対応Q&A
~GDPRの実務運用スタート後に顕在化してきた“よくある質問”を中心に~
(1)EUと日本との間のデータ移転① (EU → 日本)
  ・個人情報保護委員会「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」への対応として何をすべきか
   (十分性認定決定後の日本企業の対応とは)
  ・EU現地法人を持つ日本企業がEU域内での見本市にグループとして出展し、名刺交換をした相手に帰国後メールで商品案内をする場合、個人データの処理と域外移転の同意は必要か
   また、日本企業がデータ主体から直接収集している場合、域外適用と域外移転の問題をどう
捉えるべきか
  ・EU現地法人と日本の親会社が、EU出向者・現地従業員や取引先の情報を共有している場合の留意点とは
  ・EU現地法人と日本の親会社が、日本のITベンダのサービスを利用してデータを共有している場合の留意点とは
  ・日本のサービス提供会社が、EUの取引先から見た時に処理者に当たる場合の留意点とは
  ・EUを含む世界各国の現地法人が、日本の親会社を通じて出向者・現地従業員や取引先の情報を共有している場合の留意点とは(日本から第三国に再移転する場合)
(2)EUと日本との間のデータ移転② (日本 →EU)
  ・外国にあるグループ会社について、日本国内にある会社のプライバシーポリシーに共同利用の記載があれば、国内外のグループ企業間で行われる個人情報の授受は「外国にある第三者への提供」にはあたらないのか
  ・日本で行われた見本市でEU居住者と名刺交換した場合、GDPRの適用はあるのか
(3)GDPRの域外適用を受ける場合の対応
  ・13条・14条の情報をどのように「提供」(provide)すればよいのか
   (プライバシーポリシーの改定)
  ・EU域内で設立されていない管理者・処理者であって、域外適用がある場合
   (3条2項の適用がある場合)の代理人選任義務における留意点とは(代理人の選任の要)
  ・データ処理の安全性≒安全管理措置に有効な5つのステップとは
   (「適切な技術的及び組織的施策」の実務)
  ・「ePrivacy規則案」から読み解く、Cookieの取扱いとは
  ・Google AnalyticsとGDPR
  ・処理活動の記録≒「台帳」の整備はどのように行うか
  ・従業員情報を同意なしでどの範囲まで利用できるか。また、日本への移転に際し本人の同意はとるべきか
(4)米国と日本との間のデータ移転
  ・EU現地法人と日本の親会社が、米国のクラウドサーバを利用してデータを共有している場合の留意点とは
  ・日本のサービス提供会社が、米国会社からの再処理者に当たる場合の留意点とは
  ・米国でEU域内のデータ主体と名刺交換後、日本法人からEU域内の取引先にメールで連絡を取る場合の留意点とは
(5)アジア諸国と日本との間のデータ移転
  ・EUと米国・アジア・日本で、取引先の情報を直接やりとりする場合(グループ内SCC)の留意点とは
  ・グループ内の一括SCCの作成方法とは
   (前文への記載内容、契約書全体の構造、グループ会社の増加への対応、他)
※開催日までの最新の情報・動向に基づき、内容を一部変更させていただく場合がございます。

ENGLISH SITE