技術・研究開発セミナー・技術書籍なら情報機構

データ・プライバシーの教科書 書籍 2020年2月発刊

データ・プライバシーの教科書

GDPR対応を中心とした基本編


発刊・体裁・価格

発刊  2020年2月21日  定価  41,800円 (税込(消費税10%))
体裁  B5判 279ページ  ISBN 978-4-86502-183-7   →詳細、申込方法はこちらを参照

→書籍を購入された方へ(アンケートのお願い)
→PDFパンフレットを見る

データ・プライバシーの教科書 書籍

本書籍申し込みはこちらから → 

本書のポイント

個人情報を取り扱う全ての人の羅針盤! 関係部署・現場必携の実用書
GDPRをはじめとする国内外のデータ保護関連法令に対処する!

★GDPR対応を網羅しつつ、一層強まる各国のデータ保護関連法令にも対処する
★“こういう情報が欲しかった!” 明確に法制化されていない部分への考え方も

▽よくある質問と回答集(FAQ)つき
 「当社はGDPRが適用されますか?」
 「GDPRやデータ保護法への対応はどのように行なえばよいですか?」
 「欧州での名刺交換で気をつけなければいけないことは何ですか?」
 「Cookieのバナーは必要なのですか?」

*本文中図表のカラー版と各種テンプレート等(付録1〜6)を格納した【CD-R】つき

本書の使い方(以下、本文4ページより)

“本書は実用書として活用できるものとなることを意図している。利用目的に応じて本書を活用するとよい。

【データ・プライバシー対応の基本とGDPR対応について理解したい場合】
データ・プライバシー対応の基本とGDPR対応について理解したい場合は、全体を通読するとよい。

【実際にGDPR対応を行ないたい場合】
データ・マッピングについて具体的な方法を学びたい場合は、第4章を読むとよい。
GDPR 第32条でいう安全保護策について知りたい場合は、第6章を読むとよい。
データ主体の権利行使対応について学びたい場合は、第3章の7節を読むとよい。
データ侵害対応のポイントと方法について学びたい場合は、第9章を読むとよい。
プライバシー・ノーティスの書き方を学びたい場合は、第11章を読むとよい。

【気になることを調べたい場合】
FAQ にはよく受ける質問を掲載した。気になる内容をまず知りたい場合は、FAQ を調べるとよいだろう。”

執筆者

寺川 貴也(てらかわ たかや)
テクニカ・ゼン株式会社 代表取締役社長
 世界のデータ・プライバシー対応を専門とするコンサルタント。
 プライバシー・マネジメント・プログラムの導入や、世界のデータ保護法動向、プライバシーとテクノロジーとの接点に関して強みを持つ。
 世界最大のプライバシー専門家協会であるIAPPが発行する欧州法の専門家認証CIPP/Eおよびプライバシー・マネジメント・プログラムの専門家認証であるCIPMを保有する他、JETROの専門家として中小企業を中心に50社以上にデータ保護法に関するアドバイスを提供してきた。また、子どものオンライン上での安全を護るために必要な知識とノウハウを普及するNGOであるCyberSafety.orgの国際アドバイザーも務めている。
▼コラム『それで、データ・プライバシーとは何ですか?』

目次

はじめに/本書の使い方

第1章 データ・プライバシー対応の基本
 1.域外適応の存在
 2.データ・プライバシー対応の要素
 3.データ・プライバシー対応の勘所
 4.継続する
 5.データ・プライバシー対応を理解するための本書のアプローチ

第2章 GDPR対応を行う前に理解しておくと良い概念
 1.GDPRは法律である
 2.データ・プライバシー対策はサイバーセキュリティ対策と異なる
 3.リスク・ベースド・アプローチ(Risk Based Approach) には「答え」がない
 4.データ・プライバシーは個人を中心に考える
 5.なぜ、プライバシーは大切なのか

第3章 GDPR対応の基本
 1.GDPRはどのような法律で誰に適用されるか
 2.個人データの定義
  2.1 個人データ
  2.2 特別カテゴリーの個人データ
  2.3 仮名化データと匿名化データ
 3.処理、データ主体、管理者、処理者、監督機関
  3.1 処理 (process)
  3.2 データ主体 (data subject)
  3.3 管理者 (controller)
  3.4 処理者 (processor)
  3.5 監督機関 (supervisory authority)
  3.6 データ主体、管理者、処理者、監督機関の関係
 4.正当な法的根拠
  4.1 正当な法的根拠の種類
  4.2 欧州における「同意」の注意点
 5.個人データの最小化と個人データの目的外利用の制限
  5.1 データ最小化の原則
  5.2 目的制限の原則
 6.個人データは変化する
  6.1 データ品質維持の原則
  6.2 保管の制限
 7.データ主体の権利
  7.1 権利行使対応の基本
  7.2 権利行使への対応方法
   7.2.1 DSR対応方法のポリシーに含めるべき内容
   7.2.2 DSR対応手順の流れ
  7.3 GDPRで認められるデータ主体の権利
   7.3.1 アクセス権
   7.3.2 修正権
   7.3.3 消去権
   7.3.4 制限権
   7.3.5 データ・ポータビリティ権
   7.3.6 異議権
   7.3.7 自動プロファイリングを拒否する権利

第4章 プライバシー・リスク・マネジメントとデータ・マッピング
 1.プライバシー・リスク・マネジメントの基本的な考え方
 2.プライバシー・リスク
  2.1 プライバシー・リスクの例
  2.2 ダニエル・J・ソロブ教授のプライバシーに関する問題の分類
  2.3 データ・プライバシーの問題と既存プロセスとの関係
 3.プライバシー・インパクト・アセスメント(PIA / DPIA)
  3.1 PIA / DPIAとは何か
  3.2 PIA/DPIAはいつ行うのか
  3.3 PIA/DPIAはどのように行うのか
  3.4 Case Study: GPSを用いたユーザー監視の導入について
 4.データ・マッピング
  4.1 Step 0:プロジェクトのスコープ
  4.2 Step 1:個人データの入り口を特定
  4.3 Step 2:目的の必要性
  4.4 Step 3:説明責任の境界
  4.5 Step 4:個人データのライフサイクル
  4.6 Step 5:データ使用のマッピング
  4.7 Step 6:適法性
  4.8 Step 7a:プライバシー・リスクの記録
  4.9 Step 7b:プライバシー・リスクへの対応
  4.10 Case Study:ID認証における個人データ利用のデータ・マッピング
  4.11 Case Study:プライバシー・リスク・アセスメント
   4.11.1 発生可能性(Likelihood) の評価
   4.11.2 影響度(Impact) の評価
   4.11.3 プライバシー・リスクの計算
   4.11.4 プライバシー・リスクの優先付け
  4.12 組織の責任とデータ侵害のコスト

第5章 プライバシー・バイ・デザインとその導入方法
 1.プライバシー・バイ・デザインとは何か
 2.プライバシー・バイ・デザインの7 つの原則
  2.1 反応的(Reactive) ではなく予防的(Proactive) であること
  2.2 デフォルト設定はプライバシーがもっとも保護されるものとすること

  2.3 設計段階でプライバシーを織り込んでおくこと
  2.4 必要な機能はすべて備えること
  2.5 エンド・トゥー・エンド(End-to-End) でセキュリティ対策を行う
  2.6 視認性(Visibility) と透明性(Transparency) を重視すること
  2.7 ユーザーのプライバシーを尊重する
 3.プライバシー・バイ・デザインの導入方法

第6章 安全保護策について
 1.安全保護策についてのGDPRの要求事項
  1.1 最新の技術(state of art)
  1.2 実装に要するコスト
  1.3 適切な技術的、組織的手法
 2.監督機関によるガイドラインと内容の一例
  2.1 組織的安全保護策
  2.2 技術的安全保護策
  2.3 物理的安全保護策
  2.4 データの保管について
  2.5 外部委託について
  2.6 トレーニングおよび認知向上活動について
 3. 一般的な脅威への対策と企業のホワイト・ペーパー
  3.1 Nymity社の提案する一般的なセキュリティ脅威への対策例
  3.2 企業のホワイト・ペーパーから学ぶ
   3.2.1 セキュリティ文化の醸成
   3.2.2 運用セキュリティ
   3.2.3 セキュリティを中心に据えた技術の採用

第7章 データ保護責任者(DPO)
 1.DPOの任命義務
  1.1 「大規模」なデータ処理
  1.2 「系統的」なデータ主体の監視
  1.3 sensitive data の処理
 2.DPOの任命時の注意事項
  2.1 加盟国法
  2.2 DPOの連絡先
  2.3 DPOの人数
  2.4 DPOの設置場所
  2.5 DPOの資質
  2.6 DPOの職務
  2.7 DPOの権限
  2.8 DPOを任命しない場合
  2.9 欧州以外でのDPO

第8章 プライバシー・ポリシーやその他のポリシー
 1.ポリシーとは何か
 2.ポリシーを組織に展開する方法
 3.ポリシーの階層アプローチ
 4.プライバシー・ポリシーに含むべき内容
 5.ポリシー作成時のヒント
  5.1 目的を明確にする
  5.2 周知、共有する方法を考える
  5.3 対象を特定する
  5.4 強制力を持たせる

第9章 データ侵害対応プログラム
 1.インシデントとデータ侵害の違い
 2.GDPRの要求事項
 3.データ侵害対応への準備
  3.1 データ侵害対応の組織内フロー
  3.2 対応計画に含めるべき内容
   3.2.1 各ステージでの担当者の役割と責任
   3.2.2 危害の程度とDPOに相談するかどうかの判断基準
   3.2.3 インシデント対応チームの連絡先( 緊急連絡先) の把握
   3.2.4 規制の要求事項をまとめたレファレンスの準備
   3.2.5 当局とコミュニケーションする際の組織内ルール
   3.2.6 事業継続計画チームとの連携方法
   3.2.7 データ侵害後の組織内プロセスの策定
 4.データ侵害が起きてしまったら
  4.1 データ主体の保護
  4.2 通知の準備
  4.3 コミュニケーション
  4.4 メディア対策

第10章 データ処理契約(Data Processing Agreement)
 1.処理者契約
 2.処理者契約に含めるべき内容
 3.処理者が契約を拒否する場合の対応

第11章 プライバシー・ノーティスの作り方
 1.プライバシー・ノーティスかプライバシー・ポリシーか
  1.1 プライバシー・ノーティス
  1.2 プライバシー・ポリシー
 2.個人データの直接取得と間接取得
 3.プライバシー・ノーティスを提示するタイミング
 4.提供すべき情報
 5.プライバシー・ノーティスの提示が免除されるケース
 6.簡潔で、理解可能で、容易にアクセス可能であること
  6.1 簡潔で、理解しやすい
  6.2 透明性があり、容易にアクセス可能
 7.プライバシー・ノーティスの作り方
  7.1 プライバシー・ノーティスの構成と目次について
  7.2 Step 1:事前準備
  7.3 Step 2:導入 (Introduction)
  7.4 Step 3:取得する個人データの種類 (What personal data do we collect?)
  7.5 Step 4:利用目的と適法根拠
       (How do we use this personal data and what is the legal basis for this use?)
  7.6 Step 5:開示先と開示する場面 (With whom and where will we share your personal data?)
  7.7 Step 6:保管期間 (How long will you keep my personal data?)
  7.8 Step 7:第三国移転の有無 (Where is my data stored)
  7.9 Step 8:データ主体の権利 (What are my rights in relation to my personal data?)
  7.10 Step 9:その他の情報
  7.11 Step 10:チェック・リストを用いたレビュー

第12章 個人データの第三国移転
 1.日本の十分性認定
 2.個人データの第三国移転は安全に行わなければならない
 3.十分性認定
 4.適切な安全保護策を講じていること
  4.1 SCCs:Standard Contractual Clauses
  4.2 BCRs:Binding Corporate Rules
  4.3 行動規範や認証
  4.4 アド・ホックな契約条項、国際協定
  4.5 例外措置
 5.代理人の任命と役割

第13章 是正措置
 1.是正措置の種類
 2.制裁金の上限
 3.制裁金の決め方

第14章 プライバシー・マネジメント・プログラム
 1.組織内のガバナンス体制の整備
 2.個人データ処理台帳とデータ移転メカニズムの保守
 3.組織内のプライバシー・ポリシーの管理、メンテナンス
 4.組織内の作業手順の管理、メンテナンス
 5.組織内のプライバシーに関するトレーニングとイベントの実施
 6.情報セキュリティの管理、メンテナンス
 7.サード・パーティー・リスクの管理
 8.プライバシー・ノーティスの管理、メンテナンス
 9.データ主体からの権利行使や苦情への対応体制の確立とメンテナンス
 10.組織内の新プロジェクト立ち上げ
 11.データ侵害時対応体制の確立と維持
 12.組織内のデータ処理慣行の監督、監査
 13.データ保護法に関する継続的な情報収集

FAQ
 Q1.GDPRとはどういう法律ですか?
 Q2.当社はGDPRが適用されますか?
 Q3.GDPRやデータ保護法への対応はどのように行なえばよいですか?
 Q4.個人データとはどういうデータですか?
 Q5.個人データの処理とは何を指しますか?
 Q6.プライバシー・ノーティスとは何ですか?
 Q7.データ保護責任者(DPO)とは何ですか?
 Q8.GDPRでいう安全保護策とは何ですか?
 Q9.欧州での名刺交換で気をつけなければいけないことは何ですか?
  Q9-1.名刺交換にも適法根拠は必要ですか?
  Q9-2.名刺交換後のやり取りについての適法根拠は何ですか?
  Q9-3.欧州からの名刺を持ち帰るのは「域外移転」に該当しますか?
  Q9-4.メールの情報はCRMシステムに記録しますが注意点はありますか?
  Q9-5.名刺管理ソフトの使用について注意すべきことは何ですか?
  Q9-6.その他注意点
 Q10.欧州での展示会出展時に注意すべきことは何ですか?
  Q10-1.欧州での展示会時に注意すべき2つのポイント
  Q10-2.見落としがちなポイント
 Q11.Cookieのバナーは必要なのですか?

コラム1 ブレーキは社会を加速した
コラム2 Daniel Solove 教授によるプライバシーに関する問題の分類
コラム3 Facebook の「いいね」ボタンの設置
コラム4 情報提供が不可能と判断される例
コラム5 ダッシュボードとJust-in-time 方式でのプライバシー・ノーティス
コラム6 ドイツの監督機関による制裁金の査定方法

【付録1】DSR(アクセス権) への対応チェックリスト
【付録2】SCCs の記載例(C to P-sample) Appendix 1
【付録3】SCCs の記載例(C to P-sample) Appendix 2
【付録4】BSI のプライバシー・ノーティス
【付録5】プライバシー・ノーティスの例( テンプレート例)
【付録6】LIA(バランシング・テスト) のテンプレート

本書籍申し込みはこちらから → 

ページトップへ