Upgrade to Pro — share decks privately, control downloads, hide ads and more …

法務が知っておきたいデータセキュリティの基本

 法務が知っておきたいデータセキュリティの基本

2022/03/30にGVA TECH株式会社で実施した、セミナーの登壇資料です。

【セミナー動画】
https://vimeo.com/693847817/d1a671b075
【Webサイト】
https://www.seko-law.info/

SEKO_Shuhei

March 30, 2022
Tweet

More Decks by SEKO_Shuhei

Other Decks in Business

Transcript

  1. 法務が知っておきたい
    データセキュリティの基本
    2022/03/30
    インハウスハブ東京法律事務所
    弁護⼠ 世古修平
    #legal_datasec 1

    View full-size slide

  2. 講師紹介
    世古修平(せこ しゅうへい)
    • インハウスハブ東京法律事務所 弁護⼠
    • インターネットサービス企業 Privacy Counsel
    • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員
    • 経済産業省 電⼦商取引及び情報財取引等に関する準則
    研究会委員
    • 総合系のコンサルティングファーム2社を経て現職
    • セキュリティ、プライバシー領域の案件を中⼼に活動中
    • CISSP, CIPM, CIPP/E
    #legal_datasec 2

    View full-size slide

  3. データ
    セキュリティ?
    #legal_datasec 3

    View full-size slide

  4. よく⾒るベン図を再確認
    出所:個⼈情報保護を巡る国内外の動向(個⼈データに関する個⼈の権利の在り⽅関係)
    (https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf ) #legal_datasec 4

    View full-size slide

  5. データ・DBに着⽬したルールですよね?
    #legal_datasec 5

    View full-size slide

  6. 【セミナーあるある】
    中盤以降、急速に存在感が薄まっていく
    序盤(定義など) 中盤以降(具体的なルール)
    #legal_datasec 6

    View full-size slide

  7. 個情法解説
    データ
    セキュリティ
    #legal_datasec 7

    View full-size slide

  8. 【参考】
    技術⼊⾨書を拾い読みしてみるのも⼀案
    出所:https://www.shoeisha.co.jp/book/detail/9784798144450
    https://gihyo.jp/book/2017/978-4-7741-9218-5 #legal_datasec 8

    View full-size slide

  9. 本⽇
    お伝え
    すること
    【Why】
    なぜ、「法務が」セキュリティを
    知っておく必要があるのか
    【What】
    法務として、何を理解しておくべきか
    【How】
    法務として、どのように準備を
    進めれば良いか
    #legal_datasec 9

    View full-size slide

  10. 本⽇
    お伝え
    しないこと
    法務以外の観点に基づく内容
    「部分」を深掘りした内容
    技術的正確性を最優先した内容*
    *「わかりやすさ」と「正確性」はある程度反⽐例の関係にあると考えています。本⽇は「わかりやすさ」を重視した内容になっていますが、
    技術的に不誠実だと感じる部分がもしあればご指摘・アドバイスいただければ幸いです。 #legal_datasec 10

    View full-size slide

  11. #legal_datasec
    #legal_datasec 11

    View full-size slide

  12. Why
    なぜ、「法務が」セキュリティを知っておく必要があるのか
    #legal_datasec 12

    View full-size slide

  13. 【理由1】
    その⽇は突然やってくるから
    攻撃者 X社
    【X社での事例*】
    *実際にあった事例を抽象化し、⼀部改変して記載
    #legal_datasec 13

    View full-size slide

  14. 【理由1】
    その⽇は突然やってくるから
    1か⽉
    16⽇
    2時間
    着⽬いただきたい数字
    攻撃者 X社
    【X社での事例】
    #legal_datasec 14

    View full-size slide

  15. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    5/21
    お詫びとお知らせ
    1ヶ⽉
    16⽇
    2時間
    #legal_datasec 15

    View full-size slide

  16. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    5/21
    お詫びとお知らせ
    1ヶ⽉弱
    1ヶ⽉
    16⽇
    2時間
    #legal_datasec 16

    View full-size slide

  17. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    5/21
    お詫びとお知らせ
    1ヶ⽉弱
    【個⼈情報保護委員会への報告】
    法第 26 条(第 1 項)
    個⼈情報取扱事業者は、その取り扱う個⼈データの漏えい、滅失、毀損(中略)が⽣じた
    ときは、個⼈情報保護委員会規則で定めるところにより、当該事態が⽣じた旨を個⼈情報
    保護委員会に報告しなければならない。
    【確報】
    規則第 8 条(第 2 項)
    前項の場合において、個⼈情報取扱事業者は、当該事態を知った⽇から30 ⽇以内(当該事
    態が前条第 3 号に定めるものである場合にあっては、60 ⽇以内)に、当該事態に関する前
    項各号に定める事項を報告しなければならない。
    1ヶ⽉
    16⽇
    2時間
    #legal_datasec 17

    View full-size slide

  18. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    5/21
    お詫びとお知らせ
    1ヶ⽉
    16⽇
    2時間
    #legal_datasec 18

    View full-size slide

  19. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    5/21
    お詫びとお知らせ
    1ヶ⽉
    16⽇
    2時間
    4/29
    GW開始
    5/5
    GW終了
    #legal_datasec 19

    View full-size slide

  20. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    4/29
    GW開始
    5/5
    GW終了
    5/21
    お詫びとお知らせ
    16⽇
    1ヶ⽉
    16⽇
    2時間
    #legal_datasec 20

    View full-size slide

  21. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    4/29
    GW開始
    5/5
    GW終了
    5/21
    お詫びとお知らせ
    1ヶ⽉
    16⽇
    2時間
    #legal_datasec 21

    View full-size slide

  22. 【理由1】
    その⽇は突然やってくるから
    4/28 15時
    意図されていない挙動が観測
    4/29
    GW開始
    5/5
    GW終了
    5/21
    お詫びとお知らせ
    4/28 17時
    定時?
    2時間
    1ヶ⽉
    16⽇
    2時間
    #legal_datasec 22

    View full-size slide

  23. 【理由1】
    その⽇は突然やってくるから
    明⽇ 15時
    意図されていない挙動が観測
    X/XX XX
    XXXX
    X/XX XX
    XXXX
    X/XX XX
    XXXX
    X/XX XX
    XXXX
    あなた?
    #legal_datasec 23

    View full-size slide

  24. 【理由2】
    その⽇、法務には"沢⼭"仕事があるから
    #legal_datasec 24

    View full-size slide

  25. 【ケーススタディ】
    想像してみよう
    2022年3⽉某⽇
    q 攻撃者がGWA株式会社のシステムに攻撃を仕掛けた
    q 攻撃の結果、個⼈情報がインターネット上からアクセス可能な状態に
    なっていることが発覚した
    q この後、GWA株式会社は何をすべきでしょうか?
    攻撃者 GWA
    #legal_datasec 25

    View full-size slide

  26. 【ケーススタディ】
    パッと思いつくもの
    原因究明
    ⽌⾎作業
    ユーザーへの謝罪 丁寧に説明をしよう
    正確に事態を把握しよう
    確実に被害を⾷い⽌めよう
    #legal_datasec 26

    View full-size slide

  27. 【ケーススタディ】
    実際には…
    原因究明
    ⽌⾎作業
    ユーザーへの謝罪
    ②社⻑の会⾒準備
    ③記者の取材
    ①官公庁への報告
    ④取引先の⻤電
    ⽉曜9時までに
    週明け早々に!
    今⽇の17時までに!!
    今すぐ!!!
    私は寝てないんだ…
    #legal_datasec 27

    View full-size slide

  28. 【理由2】
    その⽇、法務には"沢⼭"仕事があるから…?
    ①官公庁への報告
    ②社⻑の会⾒準備
    ③記者の取材
    ④取引先の⻤電
    #legal_datasec 28

    View full-size slide

  29. 法務は関係ない?
    q 安⼼してください、各種作成・レビュー依頼が法務宛に”沢⼭”来ます
    ①官公庁への報告 官公庁への報告⽂書の作成・レビュー依頼
    ②社⻑の会⾒準備 記者会⾒⽤FAQの作成・レビュー依頼
    ③記者の取材 回答⽂案の作成・レビュー依頼
    ④取引先の⻤電 統⼀的なカンペの作成・レビュー依頼
    #legal_datasec 29

    View full-size slide

  30. 24/365
    対応
    休職者
    出現
    退職者
    出現
    規制
    強化
    退職者
    増加
    その後
    #legal_datasec 30

    View full-size slide

  31. その⽇は突然やってくる
    q 知識があれば「理解」ができます
    q 理解ができれば「準備」ができます
    q 余裕がある今のうちに知識を得て「理解」をし、
    今できる「準備」をしておきましょう
    #legal_datasec 31

    View full-size slide

  32. What
    法務として、何を「理解」しておくべきなのか
    #legal_datasec 32

    View full-size slide

  33. 理解して
    おくべき
    4つのこと
    (提案)
    ① 法律
    • 個⼈情報の定義
    ② ⾃社ルール
    • ルールの構造
    ③ ⾃社データ
    • データフロー
    平時
    ④ 対応⼿順
    有事
    #legal_datasec 33

    View full-size slide

  34. 定義、理解していますか?
    q 多くの⼈が、個⼈情報保護法上の個⼈情報*の定義を理解していない
    q それぞれが「私の考えた最強の個⼈情報の定義」で戦っている
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    ⽒名は削除したので
    「匿名化」されています
    公開情報なので
    個⼈情報には
    該当しないのでは
    toBの担当者情報なので
    個⼈情報なんて
    ⼤袈裟なものではないかと
    罪深い⾔葉
    *以下、単に「個⼈情報」といいます。
    #legal_datasec 34

    View full-size slide

  35. 構造からざっくり理解しよう
    q 法務はいざという時、なにかと「説明」をすることを迫られる⽴場にある
    q 詳細はひとまずおき、構造からざっくりと理解するのは効率的な良い⽅法
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    ポリシー
    スタンダード
    プロシージャ
    組織

    物理
    技術
    AC
    AU
    AT
    CM
    ...
    特定
    防御
    検知
    対応
    復旧
    #legal_datasec 35

    View full-size slide

  36. できている状態を定義しよう
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    q 説明をする時、法務は「できていること」と「できていないこと」を分けて説明しなければいけない
    q 当然ながら…
    q できていることは、できている状態(標準的な状態)が定義されていないと把握できない
    q 残念ながら…
    q 法務が欲しい情報・必要な情報は、法務から動かないと⼿に⼊らない
    取得 処理 移転
    #legal_datasec 36

    View full-size slide

  37. 対応⼿順の価値を理解しよう
    q ポジティブな理由
    q いざという時は本当に時間がない
    q 脳のリソースを実質⾯に向けるためにも、形式⾯は事前に定めておくと皆が(⾔葉通り)救われる
    q ネガティブな理由
    q 私もあなたも、いざという時は「隠蔽したい」「矮⼩化したい」という誘惑にきっと駆られる
    q 仮に隠蔽・矮⼩化したくなったとしても、対応⼿順が制定されていればその⼿順に載せるだけ
    q 対応⼿順が制定されている、ということが不正の抑⽌⼒になり得る
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    【ポジティブな理由】 【ネガティブな理由】
    #legal_datasec 37

    View full-size slide

  38. How
    法務として、どのように「準備」を進めれば良いのか
    #legal_datasec 38

    View full-size slide

  39. 啓蒙活動に繋げよう
    q まずは、⾃分が「他⼈に説明できるレベル」で個⼈情報の定義を理解しよう
    q その上で、社内の啓蒙活動に繋げることができればいざという時困らない
    q 今⽇は後ほど、普段私が⽤いている⾮法務向けの研修資料の⼀部を使ってご説明
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    【おまけ】
    個⼈情報とは
    #legal_datasec 39

    View full-size slide

  40. フレームワークを活⽤しよう
    q 構造を把握する上ではフレームワークが有⽤
    q ガイドライン通則編(別添)、NIST SP800-53、ISO27000、Security Framework …etc
    q 構造を把握できると、⾜りていない部分が⾒えてくる
    q ⾜りていない部分を埋めるかどうかは、リスクとリソースに応じて決めたらいい
    q が、⾜りていない部分を埋めるためだけに、ただただ規程を量産するのはおすすめしない
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    ガイドライン通則編 NIST SP800-53
    #legal_datasec 40

    View full-size slide

  41. 5W1Hを把握しよう
    q 「取得」「処理」「移転」ごとに5W1Hを把握し、できている状態を定義しよう
    q 5W1Hは思考を発散させるためのとっかかりであり、漏れや重複を過度に気にしない
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    取得 処理 移転
    5W1H 5W1H
    5W1H
    #legal_datasec 41

    View full-size slide

  42. 【参考】体系的・発展的な取組み
    q より体型的・発展的に、データフローを把握した上でリスク分析までやりたい場合には
    Privacy Impact Asessment(PIA)という⼿法がある
    q 私が普段利⽤しているテンプレートも公開しているのでご興味あれば*
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    * https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f
    #legal_datasec 42

    View full-size slide

  43. 他社のインシデントを活⽤しよう
    q 関係部⾨が多いため、計画段階からの巻き込みがないと本番で使えない(俺は聞いてないおじさん)
    q 他社でインシデントが起こった時は、皆の興味も会社のお⾦も集まりやすく⾮常に良い機会
    q タイミングを⾒計らって、旗振り役になりそうな⼈に差し込んでみよう
    ①法律
    ②⾃社ルール
    ③⾃社データ
    ④対応⼿順
    攻撃者 GWA
    #legal_datasec 43

    View full-size slide

  44. 【おまけ】
    個⼈情報とは
    #legal_datasec 44

    View full-size slide

  45. どこまでが個⼈情報?
    q⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例とし
    て思い浮かびます
    q法律では、どこからどこまでが個⼈情報とされているのでしょうか?
    ⽒名 性別 住所 電話番号
    #legal_datasec 45

    View full-size slide

  46. 法律に定義があります
    q読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょう
    q「1号本⽂」「1号かっこがき」に分解して読んでみます
    【個⼈情報保護法】
    (定義)
    第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、
    次の各号のいずれかに該当するものをいう。
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(略)により
    特定の個⼈を識別することができるもの
    (他の情報と容易に照合することができ、それにより特定の個⼈を識別することが
    できることとなるものを含む。)
    ⼆ (略)
    ⼀号かっこがき
    ⼀号本⽂
    #legal_datasec 46

    View full-size slide

  47. 1号本⽂を読んでみよう
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
    特定の個⼈を識別することができるもの
    ⼀号本⽂
    ⼀号かっこがき
    GWA assist 申込フォーム
    お名前 XXX
    電話番号 XXX
    メール XXX
    会社名 XXX
    部⾨ XXX
    #legal_datasec 47

    View full-size slide

  48. 応⽤編① ⼀号本⽂
    ⼀号かっこがき
    GWA assist 申込フォーム
    お名前 XXX
    電話番号 XXX
    メール XXX
    Q1 以前に利⽤したことがある
    Q2 ウ
    【基礎情報】
    【アンケート】
    会社名 XXX
    部⾨ XXX
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
    特定の個⼈を識別することができるもの
    #legal_datasec 48

    View full-size slide

  49. 応⽤編②
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    ⼀号本⽂
    ⼀号かっこがき
    GWA assist 申込フォーム
    お名前 XXX
    電話番号 XXX
    メール XXX
    Q1 以前に利⽤したことがある
    Q2 ウ
    【基礎情報】
    【アンケート】
    会社名 XXX
    部⾨ XXX
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
    特定の個⼈を識別することができるもの
    #legal_datasec 49

    View full-size slide

  50. 応⽤編③
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    ⼀号本⽂
    ⼀号かっこがき
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
    特定の個⼈を識別することができるもの
    テーブルB
    テーブルA
    #legal_datasec 50

    View full-size slide

  51. ⼀号かっこがきを読んでみよう
    (他の情報と容易に照合することができ、それにより特定の個⼈を
    識別することができることとなるものを含む。)
    ⼀号本⽂
    ⼀号かっこがき
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    他の情報と容易に照合
    それにより特定の個⼈を識別
    2
    1
    #legal_datasec 51

    View full-size slide

  52. 応⽤編④
    委託
    提供元(GWA) 提供先(委託先)
    ⼀号本⽂
    ⼀号かっこがき
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。
    委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)とし
    て扱わなくて良いですよね?
    #legal_datasec 52

    View full-size slide

  53. 個⼈情報として扱う必要があります
    出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果
    ( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf )
    ⼀号本⽂
    ⼀号かっこがき
    委託
    提供元(GWA) 提供先(委託先)
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    ”当該情報の提供元である事業者において「他の情報と容易に照合することができ、
    それにより特定の個⼈を識別することができることとなる」かどうかで判断します。”
    #legal_datasec 53

    View full-size slide

  54. 応⽤編⑤ ⼀号本⽂
    ⼀号かっこがき
    漏えい
    提供元(GWA)
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    利⽤履歴データ(テーブルB)だけが漏えいしてしまいまった。
    漏えいしたデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)の
    漏えいとして扱わなくて良いですよね?
    #legal_datasec 54

    View full-size slide

  55. 残念ながら同様に…
    出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)の⼀部を改正する告⽰案」に関する意⾒募集結果
    ( https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 )
    ⼀号本⽂
    ⼀号かっこがき
    漏えい
    提供元(GWA)
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    ”対象となった情報が個⼈データに該当するかどうかは、
    当該個⼈データを漏えい等した個⼈情報取扱事業者を基準に考えることになります。”
    顧客ID アクセス履歴 利用履歴A 利用履歴B
    00001
    00002
    00003
    テーブルB
    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
    00001
    00002
    00003
    テーブルA
    #legal_datasec 55

    View full-size slide

  56. 結論:個⼈情報の範囲はとても広い
    q⽇常⽤語の個⼈情報と違って、法律⽤語の個⼈情報は範囲がとても広い
    q顧客IDに紐づく情報は、基本的に全て個⼈情報だと思って対応することを推奨します
    #legal_datasec 56

    View full-size slide

  57. まとめ
    #legal_datasec 57

    View full-size slide

  58. どこから...
    #legal_datasec 58

    View full-size slide

  59. 定⽯通り、優先順位を付けましょう
    q 現状、違法な取組みがなされている可能性があるもの
    Ø 個⼈情報の定義の啓蒙
    Ø データフローの把握
    優先度

    q いざという時、違法⾏為の抑⽌に繋がるもの
    Ø 対応⼿順の策定
    優先度

    q いざという時、皆さんの理解を助けてくれるもの
    Ø 規程の理解
    優先度

    #legal_datasec 59

    View full-size slide

  60. ...データフローそんな⼤事?
    q 現状、違法な取組みがなされている可能性があるもの
    Ø 個⼈情報の定義の啓蒙
    Ø データフローの把握
    優先度

    q いざという時、違法⾏為の抑⽌に繋がるもの
    Ø 対応⼿順の策定
    優先度

    q いざという時、皆さんの理解を助けてくれるもの
    Ø 規程の理解
    優先度

    #legal_datasec 60

    View full-size slide

  61. 皆データフローとか把握してるの?
    q Q1:実際、皆データフローとか把握してるの?
    Ø A1:しっかり把握できている企業はあまり多くない印象です
    q Q2:だったら、やってもやらなくても良いんじゃないの?
    Ø A2:明後⽇から施⾏される改正個⼈情報保護法の、越境移転まわりが博打(神頼み)になります
    q Q3:バレます?
    Ø A3:典型的には「委託先チェックシート」や「⼤⼿取引先からの問い合わせ」でバレます
    取得 処理 移転
    #legal_datasec 61

    View full-size slide

  62. 越境移転を駆け⾜で
    取得 処理 移転
    個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条
    第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同
    意を得なければならない。
    個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国に
    おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本
    ⼈に参考となるべき情報を当該本⼈に提供しなければならない。
    #legal_datasec 62

    View full-size slide

  63. 「情報を...提供」のための前提条件
    個人情報の定義
    1
    提供元基準
    2
    データフロー
    3
    前提条件
    取得 処理 移転
    個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条
    第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同
    意を得なければならない。
    個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国に
    おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本
    ⼈に参考となるべき情報を当該本⼈に提供しなければならない。
    #legal_datasec 63

    View full-size slide

  64. 定⽯通り、優先順位を付けましょう
    q 現状、違法な取組みがなされている可能性があるもの
    Ø 個⼈情報の定義の啓蒙
    Ø データフローの把握
    優先度

    q いざという時、違法⾏為の抑⽌に繋がるもの
    Ø 対応⼿順の策定
    優先度

    q いざという時、皆さんの理解を助けてくれるもの
    Ø 規程の理解
    優先度

    #legal_datasec 64

    View full-size slide

  65. ご相談
    お待ちしています!
    インハウスハブ東京法律事務所
    世古修平(せこしゅうへい)
    Twitter:@seko_law
    Mail:[email protected]
    #legal_datasec 65

    View full-size slide