ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

GDPR

日本→EEAへの個人データ提供可

EEA→日本への個人データ提供は、日本が十分性認定を取得しているので、GDPR上問題ない。 日本→EEAについても、日本が適切と認めているので、日本の個人情報保護法上問題ない。 EEAなのかEUなのかがいまいちよくわかりません。 個人情報保護法ガイドラインに…

個人情報保護法上、個人データ提供が可能な「委託」「共同利用」の区別等の疑問

※かなり細かな法律的な話を書いています。 1.委託と共同利用 (1)はじめに (2)委託の解説 (3)共同利用の解説 (4)それぞれの典型例 2.委託と共同利用に関する謎 (1)委託と共同利用の境界があいまい (2)旅行はなぜ委託ではないのか (3…

SCC(単なる備忘メモ)

英ICOサイトを見ていたら、2020.1月にデンマークのDPAがSCCをEDPBから承認受けたと書いてあったので、時間のある時又はSCCに興味がとても出たときに、見てみようと思う。 https://ico.org.uk/for-organisations/guide-to-data-protection/whats-new/ January…

DPIAが必要な場合

GDPRでは、プライバシーに関して高いリスクがありうる場合に、DPIA(Data Protection Impact Assessment)を実施する義務が規定されています(GDPR35条)。なお、DPIAは国際的に認知されている仕組みであり、英米法圏ではPIA(Privacy Impact Assessment)と…

GDPRに基づく個人データの海外移転方法

GDPRを遵守して、個人データを海外に移転させる方法の個人的メモです。ご利用に当たっては必ず条文本体に当たってご自身でご確認ください。 GDPR越境移転規制の概要 認められる方法①十分制認定を受けた国への提供 adequacy decision 認められる方法②適切な保…

個人情報漏えい等のインパクト評価

ENISA”Recommendations for a methodology of the assessment of severity of personal data breaches" Working Document, v1.0, December 2013のメモ。 よく、個人情報を漏えいした場合に、どういう場合にインパクトが大きいのか、ダメージが大きいのか、損…

GDPRプライバシーポリシー(プロファイリング・マーケティング関連記載例)

GDPR対応のプライバシーポリシー(Privacy Notice, Privacy Statement, Privacy Policy等名称は不統一)のうち、プロファイリングの関連記載があるもので、目についたものをブログに書いておきたいと思います。 ☆ホンダ https://www.honda.co.uk/general-inf…

CNILクッキーガイドライン

フランスのデータ保護当局CNIL(くにーる)が、Webのcookie等に関し、新たなレコメンデーションを公表したようです。フランスをはじめとするヨーロッパ等のユーザがアクセスしてくるWeb等を運営する日本企業にとっても、大きな影響があるかなと思います。Web…

GDPR関連の制裁金

GDPR関連の制裁金情報を貼り付けていく予定です(随時更新予定) GDPR 2016年4月に制定、2018年5月25日に施行 imposition of administrative fines、行政上の制裁金であって、このほかに個人への賠償責任もありうる。 英航空大手British Airways偽サイト誘導…

Cookieとキャラ大

cyberlawissues.hatenablog.com Cookie規制に関するブログを前に書きましたが、ICOのガイドラインをすべて読み終わって、とりあえずは更新完了です。 あと、まったく関係ないですが、ピューロランドの写真を貼っておきます。 キティちゃん、キャラ大第1位お…

Data Free Flow with Trustを実現するためにはどうあるべきか

Data Free Flow with Trustについては、今後も引き続きウォッチしていきたいと思っていますが、今日はまずその第一印象について。 www.nikkei.com 信頼に足るルールのもとでデータについては自由な流通を許そうという考えで統一的なルールの整備を目指すと報…

自動化された個人に対する意思決定とプロファイリングに関するガイドライン

自動化された個人に対する意思決定とプロファイリングに関するガイドラインGuidelines on Automated individual decision-making and Profiling for the purposes of Regulationの自分用まとめです。 随時更新予定。 概観 プロファイリング及び自動化された…

【個人情報Q&A】顔写真は要配慮個人情報やSpecial Categories of Dataに当たるか

Q)顔認証が急速に広まっています。近所のスーパーにいったら、レジの真上にカメラが常設されていて、顔画像を取得しているようです。顔認証や顔画像への規制が強化されるのではないかとも聞きますが、日本法やGDPR上、顔認証や顔画像はどのような位置づけな…

EU Cookie規制の散発的メモ

EU Cookie規制の散発的自分用メモでまとまっていません。もしこれをお使いになる方がいたら、ミス等の可能性もありますので、よくご注意して原典に当たっていただくようお願いいたします。 ※随時更新予定 説明ページの例 NTTコミュニケーションズ Yahoo! Cyb…

委託関係のGDPRと日本の個人情報保護法との対比

委託をめぐっての規制に関して、GDPRと日本の個人情報保護法の比較を行いました。単純な比較はできません(∵規制の性質・対象・範囲等が異なる場合も多い)が、参照用の便宜に作成しました→コチラ

GDPR日本語仮訳の要修正点

個人情報保護委員会が公表しているGDPR日本語仮訳の要修正点のまとめです。 私の意図としては、特に「ここが間違っているぞ」とか言いたいとかそういうつもりではなくて、あの大量のGDPRドキュメントを個人情報保護委員会が仮訳を公表していることについて、…

GDPRに基づくData Protection Officer (DPO)まとめ

Guidelines on Data Protection Officers ('DPOs')の自分なりのまとめです。 英文→ https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048 日本語訳→ https://www.ppc.go.jp/files/pdf/dpo_guideline.pdf ( 2016年12月13日に採択後、修…

GDPRを意識したPrivacy Policyの例

GDPRを意識したPrivacy Policyの例をリンクしていこうと思います(適宜UPDATE予定)。 ★★イギリス まずは、英語が必ずあるので、イギリス(まだ離脱前なので) Linklaters(英大手法律事務所) https://www.linklaters.com/en/legal-notices/privacy-notice…