本講座で得られること
みなさんは、データ・プライバシーと情報セキュリティの違いを説明できるでしょうか?
この二つを明確に区別することはとても大切です。そもそも何のために行っているのか、という問いかけは、組織やチームを方向付けます。正しい方向付けなくして、正しい成果を得ることは困難です。
データ・プライバシーとは組織が提供するサービスを利用する個人を護るための活動を意味し、情報セキュリティとは、組織を護るための活動を意味します。つまり、両者は目的が異なります。
なぜこのような話をするかというと、今、情報セキュリティとデータ・プライバシーを混同する人がしばしばいるからです。確かに社会がデジタル化し、データ・プライバシーの重要な要素をC (Confidentiality、機密性)、I (Integrity、完全性)、A(Availability、可用性)が占めるようになってきました。しかし、CIAを護っていれば事業者は何でもやっていいというわけではありません。たとえば銀行のカスタマー・サポートを提供している企業が、アルバイトやパートにカスタマー・サポート業務をしてもらっているとしましょう。銀行は彼らと守秘義務を締結しています。つまりC(Confidentiality)、機密性は保護されています。では、このアルバイトやパートは、誰にも言わないのであれば口座登録者の名前を自由にシステムに打ち込んで口座残高をのぞき見してもよいでしょうか?もちろんよくないですね。データ・プライバシーの観点からは許されません。仮にこのようなことが行われていて世間に知られた場合、銀行は大きな批判を受けることでしょう。銀行は「守秘義務」という情報セキュリティ対策を行っていたと主張するかもしれませんが、それで十分なデータ・プライバシー対応をしていたと免責される時代ではなくなっています。つまり、情報セキュリティ対策を行っているからとデータ・プライバシー対応ができているとは言えないということです。情報セキュリティ対策だけではデータ・プライバシーについて十分な説明責任を果たせません。
今、データ・プライバシーに関して世の中で問われているのは、事業者が「社会的責任」を果たして事業活動を行っているかです。個人データという私的な材料をビジネスや組織活動に活用する時代には、事業者はより大きな責任を果たすよう求められます。日本でデータ・プライバシーへの関心が一段と高まったのは欧州のGDPRへの対応を迫られたからでしたが、事業者への責任が問われているという意味では日本も例外ではありません。2020年6月に成立した改正個人情報保護法では、日本の個人情報保護委員会がより厳密なデータ・プライバシー対応を事業者に求めることを明確に示しました。現代は、事業者が信頼に足る事業者であるかを多かれ少なかれ問われるようになった時代なのです。
この講座では、データ・プライバシー対応を行う上でもっとも大切な要素とその具体的な方法について学んでいただきます。データ・プライバシー対応とは「コンプライアンス」対応、即ち、法律さえ守っていればよいというものではなく、「アカウンタビリティ」を備えるためのガバナンス体制と組織文化の醸成であることを受講者の皆さんには学んでいただこうと思います。もちろん、ツールとして、消費者にしっかりと説明し納得してもらえるために必要な考え方と資料、プロセスについても取り上げます。この講座を通じて、データ・プライバシー対応のBig Picture (大きな絵)をつかんでください。
幸い、信頼の醸成に必要なことは、日本、欧州、中国、シンガポール、アメリカと国が異なっても基本は同じです。換言すれば、この講座で学んだ基本的な姿勢に従ってデータ・プライバシー対応を行えば、あらゆる法域での対応が矛盾なく微調整の範囲で行えるようになることでしょう。
本講座の対象は、組織でデータ・プライバシー法への対応を行う必要がある実務者の方(法務担当者、IT技術者)です。また、データ・プライバシーのコンサルタントや個人データ保護の責任者として仕事を行いたい人にも役に立つことでしょう。講座を通じて、多くの方がデータ・プライバシーへの理解を深め、所属する組織で適切な慣行を実施してくれることを願っています。
プログラム
■第1講学習プログラム
1. はじめに
2. データ・プライバシーの定義
2.1 プライバシーとは何か
2.2 データ保護(Data Protection)とプライバシー(Privacy)
2.3 ダニエル・ソロブ教授によるプライバシー・リスクの分類
2.4 データ・プライバシーに関連する法規制の分類と本講座の範囲
3. データ・プライバシーの原則
3.1 Fair Information Practices (FIPs)
3.2 Fair Information Practices (FIPs)を抑えた対応
4. データ・プライバシーの基本概念
4.1 個人データ
4.1.1 個人データ(personal data)、個人情報 (PI)、個人を識別可能な情報 (PII)
4.1.2 個人データの定義
4.1.3 個人データとみなされないもの
4.1.4 個人データと個人データとみなされないものの境界
4.1.5 取扱いに注意を要する個人データ(sensitive data)
4.2 データ主体、管理者、処理者
4.2.1 データ主体(Data Subject)
4.2.2 管理者(Controller)
4.2.3 処理者(Processor)
4.3 個人データ処理 (processing)
5. 管理者、処理者との間で締結する契約
5.1 処理者契約 (Data Processing Agreement)
5.2 SaaSサービスを提供している企業が締結すべき契約
5.3 共同管理者となる企業が締結すべき契約
6. 第1講のまとめ
■第2講学習プログラム
1. 第2講で学ぶこと
2. プライバシー・マネジメント・プログラムとは何か
2.1 ガバナンスの仕組み
2.2 ガバナンスの要素
2.2.1 リーダーシップと組織のミッション
2.2.2 リソースの配備
2.2.3 課題とステークホルダの特定
2.2.4 リスク・ベースド・アプローチ、規律、トレーニングと認知向上
2.2.5 PDCAによる充実
2.3 プライバシー・マネジメント・プログラム
2.3.1 構築(build)フェーズ
2.3.2 実装(Implement)フェーズ
2.3.3 実証(demonstrate)フェーズ
3. Policy v.s. Procedure v.s. SOP
3.1 Policyとは
3.2 Procedureとは
3.3 SOPsとは
3.4 Policy、Procedure、SOPの関係
3.5 Policy、Procedure、SOPのまとめ
4. データ・マッピング、プライバシー影響評価(PIAs/DPIAs)、プライバシー・リスク・アセスメント
4.1 データ・マッピング
4.1.1 データ・マッピングとは
4.1.2 データ・ディスカバリ
4.1.3 データ・クラシフィケーション
4.1.4 個人データ処理目録
4.2 プライバシー影響評価(PIAs/DPIAs)とプライバシー・リスク・アセスメント
4.2.1 各国の法規制での要求事項
4.2.2 プライバシー・リスク・アセスメント:ISO/IEC 27701:2019の規定
4.2.3 PIAs/DPIAsはいつ行うか
4.2.4 PIAs/DPIAsはどのように行うか
4.2.5 プライバシー・リスク・アセスメントはどのように行うか
5. 第2講のまとめ
■第3講学習プログラム
1. 第3講で学ぶこと
2. 個人の権利
2.1 二種類の権利
2.2 個人が要求を行う権利
2.2.1 アクセス権
2.2.2 修正権又は訂正権
2.2.3 削除権又は消去権
2.2.4 異議権及び制限権
2.2.5 データ・ポータビリティ権
2.2.6 苦情を申し立てる権利
2.3 個人に付与される権利
2.3.1 情報を得る権利
2.3.2 プロファイリングを含む、自動化した意思決定に従わない権利
3. 個人の権利行使への対応方法
3.1 権利行使対応のアカウンタビリティ
3.2 権利行使対応のPolicyとSOP
3.2.1 アクセス権行使への対応Policyの例
3.2.2 アクセス権行使への対応SOPの例
3.3 オンラインでの権利行使対応
3.4 各種権利行使要求ととるべきステップ
4. データ侵害対応方法
4.1 セキュリティ・インシデントとデータ侵害の違いについて
4.2 データ侵害についての法規制の要件
4.3 データ侵害対応の方法
4.3.1 データ侵害対応の予防と準備
4.3.2 データ侵害対応計画の策定
4.3.3 データ侵害対応のフロー
4.3.4 データ侵害が発生事に最初にすべきこと
4.3.5 最初の会議前に把握しておきたい内容
4.3.6 データ侵害対応:個人の保護
4.3.7 データ侵害対応:通知の準備
4.3.8 データ侵害対応:コミュニケーション
4.3.9 データ侵害対応:是正
5. 第3講のまとめ
お申し込み
以下のリンクよりお申し込み下さい。
