2025年10月8日 あるメディア会社が、アクセス要求や削除要求に対し身分証明書の写しを提供するように要求し、より侵襲性の低い方法を考慮しなかったとしてGDPR第12条 (2) 項違反でデータ保護当局から罰金を科された。 […]
「GDPR」タグの記事一覧
【報告】GDPR: アクセス権行使が「過剰」とみなされるのはデータ主体の濫用的意思を証明できた場合と判断
lock2025年10月2日 どこの国にも制度を悪用して金銭を得ようとする人はいる。意図的にメールマガジンに登録後わずか2週間で権利行使を行い、拒否されたために1000ユーロの損害賠償を求めた人物への対応をどうするべきか争われた […]
【報告】ドイツ:GTM (Google Tag Manager) 利用への同意について重要な判決
lock2025年8月6日 ウェブサイト上で、事前にユーザーの同意を得ずにGoogleタグマネージャー(GTM)を使用することは、GDPRとTTDSGのいずれにも違反するとする判決が出ている。本件の対象となったGTMは、ユーザー […]
【報告】GDPR: Grindr社がノルウェーで、センシティブ情報をサードパーティと共有したとして65Mクローネの制裁金を受ける
lock2025年10月27日 Grindr社は、ユーザーの性的指向を明らかにする情報を含むセンシティブな個人データを、有効な同意なしに広告主に違法に共有したとして制裁金を科された。同社の同意メカニズムはユーザーに真の選択肢がな […]
【報告】EU: EDPBがデジタルサービス法へのGDPRの諸原則の適用についてのガイドライン案を公表
lock2025年9月17日 EDPBが公表したガイドラインは、GDPRとDSAを整合性をもって適用することを目的としたものである。DSA (デジタルサービス法) はオンライン仲介サービスを規制することでGDPRを補完し、システ […]
【報告】欧州: CJEUが仮名化情報の共有でもデータ主体への通知が必要と判断
lock2025年9月10日 欧州司法裁判所(CJEU)は法務官(AG)の意見を支持し、仮名化されたデータであっても再識別が可能であれば個人データとなり得ると明確にした。これは、たとえ受領者が識別情報に直接アクセスできなくとも同 […]
【処分事例】イタリア:データ保護当局が従業員のSNSを違法に利用したとして42万ユーロの制裁金を課す
lock2025年8月12日 従業員のプライベートなSNSメッセージを違法に処理し、懲戒処分や解雇の根拠として利用したことである会社が罰金を科された。それによると、この個人データ処理には有効な法的根拠がなく、従業員への通知も怠っ […]
【報告】欧州:EDPBが Data Act のモデル契約 (MCT) に対して見解を公表
lock2025年7月18日 EDPB は、データ共有に関する拘束力のない MCT の厳しいスケジュールと複雑さを認識しつつも、MCT では、特に自然人が関与する場合、個人データと非個人データを明確に区別し、ユーザーの役割を明確 […]
【報告】英国:採用で AI を活用する際のプライバシーと公正性に関する勧告
lock
有用情報
ガバナンス体制を整える
個人データ台帳の保守、データ移転メカニズムの保守
内部のデータ・プライバシー・ポリシーを保守
日常業務にデータ・プライバシーの考え方を統合する
従業員トレーニングとプライバシーについての認知活動を実施
情報セキュリティ・リスクを日常的に管理する
サード・パーティー・リスクを日常的に管理する
プライバシー・ノーティスを実情に合ったものとする
個人からの要求や苦情に対応する
新規業務を開始する際、プライバシーへの取組みを反映させる
データ侵害マネジメント・プログラムを定常的に更新する
日常業務でのデータの取扱いとルール遵守を監視する
外部情報を日常的にモニターする
2024年11月21日 AI ツールの導入が各社で始まっている。その際に検討すべきことがらは何であろうか?英国の ICO が採用に活用する AI ツールに関して出したガイダンスは、この質問への回答に示唆を与えてくれる。ガ […]
【報告】欧州:EU 司法顧問 (Advocate General)が仮名化データの解釈について広い解釈を行うよう注意喚起
lock2025年3月11日 仮名化されたデータは、受領者が特定する詳細情報に直接アクセスできない場合でも、再識別が可能であれば個人データとなる可能性がある。データ管理者は、GDPRの透明性に関する義務の一環として、仮名化された […]
