著者
寺川 貴也(てらかわ たかや)著
テクニカ・ゼン株式会社 代表取締役社長 / CyberSafety.org 日本代表
データ・プライバシー、データ・セキュリティ、データ・ガバナンスを専門とするコンサルタント。世界各国の法規制や標準への対応を中心に、クライアント企業にとって最適な形での対応を行う支援を行っている。自社のクライアントに対するコンサルティングを行う傍ら、JETROを通じて海外展開する中小企業や大学への支援も数多く行っている。また、子どものオンライン・セーフティに必要な知識とノウハウの普及にも尽力している。
世界最大のプライバシー専門家協会であるIAPPが発行する欧州法の専門家認証CIPP/Eおよびプライバシー・マネジメント・プログラムの専門家認証であるCIPMを保有する。
著書に『データ・プライバシーの教科書 GDPR対応を中心とした基礎編』(情報機構)がある。
発刊・体裁・価格
発刊 2021年2月19日 定価 41,800円 (税込(消費税10%))
体裁 B5判 219ページ ISBN 978-4-86502-208-7 →詳細、申込方法はこちらを参照
→書籍を購入された方へ(アンケートのお願い)
→PDFパンフレットを見る
本書のポイント
★企業/組織は個人データをどのように扱うべきか? せねばならないことは?
★各国の法規制も踏まえた、現実的かつ実務的な手引き書!
■本文より抜粋(「はじめに」より)
今、データ・プライバシーに関して世の中で問われているのは、事業者が「社会的責任」を果たして事業活動を行っているかです。個人データという私的な材料をビジネスや組織活動に活用する時代には、事業者はより大きな責任を果たすよう求められます。日本でデータ・プライバシーへの関心が一段と高まったのは欧州のGDPRへの対応を迫られたからでしたが、事業者への責任が問われているという意味では日本も例外ではありません。2020年6月に成立した改正個人情報保護法では、日本の個人情報保護委員会がより厳密なデータ・プライバシー対応を事業者に求めることを明確に示しました。現代は、事業者が信頼に足る事業者であるかを多かれ少なかれ問われるようになった時代なのです。
この本では、データ・プライバシー対応を行う上でもっとも大切な要素とその具体的な方法を講義形式で学んでいただきます。データ・プライバシー対応とは「コンプライアンス」対応、即ち、法律さえ守っていればよいというものではなく、「アカウンタビリティ(説明責任を果たせること)」を備えるためのガバナンス体制と組織文化の醸成であることを読者の皆さんには学んでいただこうと思います。もちろん、ツールとして、消費者にしっかりと説明し納得してもらえるために必要な考え方と資料、プロセスについてもご紹介します。
■本書のポイント
・データ・プライバシー対応を行う上でもっとも大切な要素とその具体的な方法を知ることができます。
・基本的な概念の解説から、具体的な業務の方法・手順、更には付録として、各種レターやフォームの例も収載しています。
目次
はじめに/謝辞
第1講 データ・プライバシー入門
1. 第1講で学ぶこと
2. データ・プライバシーの定義
2.1 プライバシーとは何か
2.2 データ保護(data protection)とプライバシー(privacy)
2.3 ダニエル・J・ソロブ教授によるプライバシー・リスクの分類
2.4 データ・プライバシーに関連する法規制の分類と本書の範囲
3. データ・プライバシーの原則
3.1 Fair Information Practices(FIPs)
3.2 Fair Information Practices(FIPs)を押さえた対応
4. データ・プライバシーの基本概念
4.1 個人データ
4.1.1 個人データ(personal data)、個人情報(PI)、個人を識別可能な情報(PII)
4.1.2 個人データの定義
4.1.3 個人データとみなされないもの
4.1.4 個人データと個人データとみなされないものの境界
4.1.5 取扱いに注意を要する個人データ(sensitive data)
4.2 データ主体、管理者、処理者
4.2.1 データ主体(data subject)
4.2.2 管理者(controller)
4.2.3 処理者(processor)
4.3 個人データ処理(processing)
5. 管理者、処理者との間で締結する契約
5.1 処理者契約(data processing agreement)
5.2 SaaSサービスを提供している企業が締結すべき契約
5.3 共同管理者となる企業が締結すべき契約
6. 第1講のまとめ
<コラム1: AIとデータ・プライバシー>
第2講 データ・マッピングとリスク・アセスメント
1. 第2講で学ぶこと
2. プライバシー・マネジメント・プログラムとは何か
2.1 ガバナンスの仕組み
2.2 ガバナンスの要素
2.2.1 リーダーシップと組織のミッション
2.2.2 リソースの配備
2.2.3 課題とステークホルダの特定
2.2.4 リスク・ベースド・アプローチ、規律、トレーニングと認知向上
2.2.5 PDCAによる充実
2.3 プライバシー・マネジメント・プログラム
2.3.1 構築(build)フェーズ
2.3.2 実装(Implement)フェーズ
2.3.3 実証(demonstrate)フェーズ
3. policy v.s. procedure v.s. SOP
3.1 policyとは
3.2 procedureとは
3.3 SOPとは
3.4 policy, procedure, SOPの関係
3.5 policy, procedure, SOPのまとめ
4. データ・マッピング、プライバシー影響評価(PIA/DPIA)、プライバシー・リスク・アセスメント
4.1 データ・マッピング
4.1.1 データ・マッピングとは
4.1.2 データ・ディスカバリ
4.1.3 データ・クラシフィケーション
4.1.4 個人データ処理目録
4.2 プライバシー影響評価(PIA/DPIA)とプライバシー・リスク・アセスメント
4.2.1 各国の法規制での要求事項
4.2.2 プライバシー・リスク・アセスメント:ISO/IEC 27701:2019の規定
4.2.3 PIA/DPIAはいつ行うか
4.2.4 PIA/DPIAはどのように行うか
4.2.5 プライバシー・リスク・アセスメントはどのように行うか
5. 第2講のまとめ
<コラム2: リスク・マネジメントとガバナンス>
第3講 権利行使対応とデータ侵害対応
1. 第3講で学ぶこと
2. 個人の権利
2.1 2種類の権利
2.2 個人が要求を行う権利
2.2.1 アクセス権
2.2.2 修正権又は訂正権
2.2.3 削除権又は消去権
2.2.4 異議権及び制限権
2.2.5 データ・ポータビリティ権
2.2.6 苦情を申し立てる権利
2.3 個人に付与される権利
2.3.1 情報を得る権利
2.3.2 プロファイリングを含む、自動化した意思決定に従わない権利
3. 個人の権利行使への対応方法
3.1 権利行使対応のアカウンタビリティ
3.2 権利行使対応のpolicyとSOP
3.2.1 アクセス権行使への対応policyの例
3.2.2 アクセス権行使への対応SOPの例
3.3 オンラインでの権利行使対応
3.4 各種権利行使要求ととるべきステップ
4. データ侵害対応方法
4.1 セキュリティ・インシデントとデータ侵害の違いについて
4.2 データ侵害についての法規制の要件
4.3 データ侵害対応の方法
4.3.1 データ侵害対応の予防と準備
4.3.2 データ侵害対応計画の策定
4.3.3 データ侵害対応のフロー
4.3.4 データ侵害発生時に最初にすべきこと
4.3.5 最初の会議前に把握しておきたい内容
4.3.6 データ侵害対応:個人の保護
4.3.7 データ侵害対応:通知の準備
4.3.8 データ侵害対応:コミュニケーション
4.3.9 データ侵害対応:是正
5. 第3講のまとめ
<コラム3:データ侵害事例から学ぶ>
第4講 認知向上・トレーニング、情報セキュリティ、監視と監査
1. 第4講で学ぶこと
2. トレーニングと認知向上
2.1 トレーニングと認知向上のビジネス・バリュー
2.2 トレーニングと認知向上の目的、対象、方法、記録
2.2.1 トレーニングと認知向上の目的
2.2.2 トレーニング対象者の分類
2.2.3 トレーニングや認知向上活動の提供方法
2.2.4 トレーニングや認知向上活動の計画と記録
2.3 トレーニング・プログラムの構築
2.3.1 トレーニングのニーズの特定
2.3.2 部門に応じたトレーニング・プログラム
3. 情報セキュリティとprivacy by design
3.1 情報セキュリティの基本
3.1.1 情報資産(information asset)
3.1.2 リスク・ベースド・アプローチとリスク・プロファイル
3.1.3 情報資産の分類
3.1.4 情報資産のラベル付け
3.1.5 分類ごとの情報の取扱いルール
3.2 セキュリティ・リスク・アセスメントの概要
3.2.1 セキュリティ・リスク・アセスメントを行う理由
3.2.2 セキュリティ・リスクとは何か
3.2.3 セキュリティ・リスク・アセスメントの方法
3.2.4 脅威について
3.2.5 脆弱性について
3.2.6 脅威の影響について
3.2.7 セキュリティ・リスク・アセスメントの準備
3.2.8 セキュリティ・リスク・アセスメントでの確認事項
3.2.9 セキュリティ・リスクの影響評価
3.2.10 セキュリティ・リスクの発生可能性評価
3.3 情報セキュリティ関連の認証
3.4 privacy by design
3.4.1 7つの原則
3.4.2 ステップ1:目的の把握(アプリの概要)
3.4.3 ステップ2:関係者の把握(アプリの関係者)
3.4.4 ステップ3:プライバシー・リスクの把握(アプリの誤用・悪用)
3.4.5 ステップ4:管理策の検討(アプリの安全保護策)
3.4.6 ステップ5:アプリが取得する情報の整理
3.4.7 ステップ6:個人への影響
3.4.8 ステップ7:リスクの評価
3.4.9 ステップ8:プライバシーを製品に織り込む
4. プライバシー・マネジメント・プログラムの監視と監査
4.1 プライバシー・マネジメント・プログラムの監視(monitoring)
4.1.1 何を監視するか?
4.1.2 監視のツールとその選択
4.2 マトリックスの活用
4.3 監査
4.3.1 監査の計画
4.3.2 監査の実施
4.3.3 監査での質問事項
4.3.4 監査結果の報告
5. 第4講のまとめ
<コラム4:映画『I AM JANE DOE』が問いかけるもの>
第2講の付録
付録A ISO/IEC 27701:2019のコントロール
第3講の付録
付録A 受領確認レターの例(informative)
付録B 追加情報フォームの例(informative)
付録C アクセス権行使の記録の例(informative)
付録D 期日延長レターの例(informative)
付録E 返答用レターの例(informative)
付録F 最初の24時間にしておきたいこと
付録G データ侵害報告書
第4講の付録
付録A 監査用リスク・アセスメント(informative)
おわりに