preloader

Services

Products and Services

DPOサービス

service-image

外部データ保護 オフィサー(DPO) データ保護オフィサー(DPO)がいない組織は、目隠しをして飛行しているのと同じです。しかし、経験豊富なデータ保護オフィサーが同乗していれば安全です。Enobyteは、適切なコストで豊かな経験と高い能力で確かな結果をもたらす外部のデータ保護オフィサーを提供します。  DPO アウトソーシング 弊社と提携しているデータ保護オフィサーは、複数の企業を同時に担当しています。つまり、より多くの知見があり、情報漏洩やその他の緊急時に何をすべきか熟知しています。また、常に最新の情報と認証を取得しており規制当局との仲介役として障害発生時に迅速に行動することができます。 DPOが関連当局に対す窓口となり、質問を受付けます。 顧客、取引先、社内の他部署からのデータ保護関連の質問に対応します。 顧客及び取引先における個人データの収集・処理システムが適法であるかどうかを確認します。 従業員データ(人事記録、時間記録、就職希望者の管理) の収集・処理システムを 確認します。 マーケティング及び販売分野におけるシステムが、当事者への情報提供義 務や広告の受取拒否に関する規定を遵守しているかどうかを確認します。 保存済み個人データの訂正、利用停止、削除に関するシステムを確認します。 保存済み個人データの訂正、利用停止、削除に関するシステムを確認します。データ保護に関する技術上及び組織上の矯正措置として実施されている措置を確認します。 データ保護対策の有効性を証明するための年間活動報告書を作成します。  DPO(データ保護オフィサー)の設置を義務付けられている会社 会社の規模、業務内容にしたがって、DPOの設置が義務付けられています。義務付け、あるいは免除の条件は、EU各国の管轄により異なり、その条件は逐次更新されています。最新の情報は、欧州委員会(European Commission)のHP に、各地域のデータ保護機関のウェッブサイトのリストが載っているので、そこで、調べる事ができます。おおよその目安を知りたい場合は、フローチャート(図式で手順を示したもの)を見れば分かります。 また一般的なガイドラインは欧州委員会のウェッブサイトにも記載されています。 プロのDPO(データ保護オフィサー)に依頼する事で生じる投資対効果とは GDPRでは、データ漏洩等の事故や、対処の報告、実施に、厳密な最終期限を設けているので、企業は、経験豊富なプロのDPOに業務を依頼した方が、格段と有利です。いくつかの利点をあげれば、 プロのDPOは多様なデータ事故取り扱いの経験が豊富なので、問題を迅速かつ的確に解決し、制裁金が科せられるリスクを軽減できます。 DPOの経験不足による処理ミスで、会社がさらに被害を被った例が、数多くリポートされています*。(例;データ主体の要請書類を別の人物に誤送信など) データ事故は時を選びません。そのため、祭日でもプロのDPO業務を遂行できる体制が構築されています。 ここの調査で、データ保護の取り扱いを含む事故処理対策チームの設置は、データ漏洩が発生した際の、全損害額を軽減する重要な要素となる事が、示されています。 従業員にデータ保護取り扱いの研修をするのも一つの方法です。 *『データ漏洩による損害レポート』ポネモン(調査会社名)2019年、2020年版。  DPO請け負い会社の高い業務能力 GDPRの第37条5項に、『DPOは、豊富なデータ保護の知識と経験を有していなければならない』と書かれています。つまり、GDPRの知識だけでは、例えば講座を受講して、資格を得ただけでは、要件の半分も満たしていないという事です。DPOは、ITの専門家レベルの知識と経験も必要とします。よって、ITインフラ、データ処理の経験を持つDPOの任命が重要になります。DPOに、自社の従業員を任命しても、あるいはDPO業務を外注しても良いのですが、GDPRの第38条6項に、「DPOは、中立的な立場を貫き、その本分は、最終的には利益相反を避ける事である」と述べられいます。この事に特に注意しなければなりません。 ここで重要な点は、会社のDPOが、ITシステムを理解し、データ保護がどのように行われるかの理論的、実践的な経験がある事で、さすれば、データ事故が発生した際、迅速かつ効果的な対処が可能です。 Enobyteの強み 20年以上に渡るセキュアITシステムとインフラ構築の経験 ISO27001認証データセンター(EU域内よりホスト) セキュア暗号化コミュニケーションツール 日本語、英語、ドイツ語を始めとするマルチ言語対応 従業員、データ保護スタッフためのトレーニングツール GDPR準拠のツール群とマネージメントシステム

Find Out More

EU 代理人サービス

service-image

EU域内に拠点のない管理者又は処理者の代理人 GDPR第27条 「EUでサービスや製品を提供している」 「EUでユーザー行動をトラッキングしている」 「しかしEU域内に拠点はない」 上記に当てはまる企業は、EU一般データ保護規則(GDPR)に従い、EU代理人を選任しなければなりません。EU代理人とは、EUの居住者から寄せられるデータ保護関連の問い合わせを受ける相談窓口であり、データ保護監督当局との連絡役でもあります。 EU代理人が必要な企業とは、どのような企業ですか? Enobyteのデータ保護専門家を、貴社のEU代理人に 欧州市場で事業を行う上でのサポート役として、是非Enobyteをご利用ください。  豊富な実務経験 弊社のアドバイザーとデータ保護オフィサー(DPO)は、データ保護の事務や法務に長年携わってきた専門家ばかりです。  国際業務に強い 弊社の対応言語は日本語、英語、ドイツ語です。 また、弊社はEU諸国のデータ保護法に詳しいだけでなく、特に日本・EU間のデータ移転に関する業務も得意としています。  ベネフィット 効率的 - 自動化されたプロセスだから、速くて確実 24x7 サービス - 24時間、365日でデータ侵害時や非常時に緊急対応 認証付き - TÜV-DSB認証、IAPP CIPP/E資格を持つデータ保護オフィサー(DPO)  EU域内に拠点を持たずに、EU域内で物品やサービスを提供している場合、その企業が個人データを取り扱っているのであれば、必ずEU域内から代理人を選任しなければなりません(GDPR第27条第1項) 。 根拠となるのはGDPRに伴い欧州データ保護法に導入された「市場地原則」です。これによると、GDPRとはEU域内(=市場地)の全居住者の個人データの取扱いを規定するものであり、 その適用対象は、EU域内に拠点を持つ企業に限定されません(GDPR第3条第2項)。つまり、データ処理自体がどこで行われようと、全く関係ないのです。 さらに言えば、「第三国」(=EU域外)の企業であっても、EU域内の消費者向けに商品やサービスを提供するのであれば、有償・無償に関わらず、この企業はGDPRに従わなければなりません。 同じことが、データ主体のEU域内での行動が監視される(つまり、個人がプロファイリングの対象となる)場合にも、当てはまります。 監視には、例えば個人の好みを特定したり、行動を予測するためにサイト訪問者を分析することも含まれます。その一方で、企業サイトが単に「EUからもアクセス可能」なだけであれば、必ずしもGDPRの適用対象とはみなされません(GDPR備考(Recital)23)。 EU代理人は、データ処理の責任者から任命され、データ主体(個人)や監督当局とのやり取りを代理する連絡窓口としての役割を務めます。この役割によって、代理人は、データ処理の責任者またはその委託事業者の責任を制限したり転嫁することなく、GDPRの実施および順守に取り組むことができます。  EU代理人の選任義務が免除されることはありますか。 A: GDPRは、EU域内に拠点を持たない企業に対して、EU代理人の選任義務を免除する例外項目を設けています。 第27条第2項(a)によると、代理人を選任する義務は、以下の場合には適用されません。 データ処理が一時的にしか行われない 特に保護すべきデータを大量に取り扱うことがない その取扱いから生じうるデータ保護上のリスクは低い ただし、EU代理人の選任義務の例外要件は累積的でなければなりません。つまり、上記の要件のうち一つしか該当しない場合には、例外の対象とはなりません。

Find Out More

GDPR アセスメント

service-image

GDPRオンラインアセスメント データ保護の現状に関する詳しいアンケートで質問に回答することで、素早い現状把握が可能です。主要な部分は自動分析される為、弁護士などによる一般的に高額な現状把握作業は過去のものです。このシステムは常に利用可能であり、即時に結果を提供し、ドイツ語、英語または日本語などの複数の言語でご利用いただけます。 無料版 https://gdpr.enobyte.com/index.php/559746?lang=ja

Find Out More

GDPR サービス

service-image

EU 一般データ保護規則 (GDPR) GDPR 実施までの 2 年間の移行期間は、2018年5月24日をも って終了します。 つまり、2018年5月25日以降は、全ての企業が、顧客、従業員、官公庁からの データ保護に関する問い合わせに回答できる状態でなければならず、また、これに対応する企業 のプロセスやITインフラが法に適合していることを証明できなければならない、ということです。  コンプライアンスの確立および維持 GDPRの規定を実行し、継続的にGDPRのコンプライアンスを遵守したいけれど、どこから着手すれば良いのかわからない ― そんな悩みを抱える企業は少なくありません。 そこで、PDCA(plan-do-check-act)サイクルのように、4ステップで定期的に見直す方法をご紹介します。  Step 1: アセスメント オンライン・アンケート、及びギャップ分析 GDPR遵守の第一歩は、その要件をどこまで満たしているのか、総合的な再調査をする事です。弊社のオンライン・アセスメント・アンケートを利用すれば、いつでも気軽に、この第一歩を踏み出す事ができます。 アンケートから、データの種類、そのデータを処理する範囲、内容、会社のデータ処理作業の目的が診断されます。と同時に、現在、会社がデータ保護に、どのような手段を講じているかも診断されます。その後、データ保護のギャップ部分のリスクレベルを示した、縮約版の分析結果が、送られてきます。 それには、ITの専門家によるアドバイスも含まれています。このアドバイスとは、業界標準およびベストプラクティスに基づくものであり、会社のリスクレベルに応じて、どういう保護方法が適しているかの助言です。  Step 2: 組織的措置 内部、外部との情報のやり取りの際に生じるデータ保護問題の解決方法 GDPRは、リスク処理する際の、技術的、組織的措置の導入を、企業に要請しています。ステップ1で述べたように、弊社はGapの分析から、リスクを見付け出し、次に、内外に対しての、データ処理追跡記録の不備を埋める作業を支援します。同時に、有効なツールも提供します。 外部(取引先)に対して、会社が求められるGDPRの要件: 個人情報取り扱いの通知が、各会社の営業活動、ウェブサイト、アプリなどの内容に即して、作成されている事 会社のウェブサイトにクッキーポリシーが記載されている事 個人情報取り扱いに関する通知、クッキーポリシーがドイツ語、日本語、英語で表記されている事 EUでのデータ保護取り扱い代理人が任命されている事(GDPR27条により) 内部(社内)に対する要件: 必要な書類の作成(業界標準に対応した、会社のリスクレベルに沿ったデータ処理過程の記録、その作成要領、方針など) 従業員対象のデータ保護研修 新人研修(オン・ボーディング)、情報管理のための、コンプライアンス(規則遵守するための)管理ソフトウエアの作成  DPO有資格者の任命  Step 3: 技術的対策 ITソリューション、データ保護とセキュリティ 組織的措置を講じ、データ保護の基盤が形成されて、初めて、技術的対処法を導入する事ができます。この処理の段階では、弊社は以下の支援をします。 データ処理のためのテクニカル・システム、処理方法とその作業状況のリスクの評価(DPIA-データ保護影響評価) 管理システム作成の指導(DPMS-データ保護管理システム、ISMS-情報セキュリティ管理システムの作成) 情報セキュリティの3本柱(データの守秘義務、整合性、可用性)を確実にするために、ITシステムの目的を明確にする事  Step 4: 日常業務 GDPR遵守の維持 日々現れる新しい形のデート漏洩、悪用に対応するため、ITの基準も絶えず進化しています。ですから、GDPRが強調しているのも、「リスク、法遵守に基づくデータ保護とは、業務運営が、時流に即して進化するための術(すべ)でもある」という点です。データ漏洩、データ主体からの問い合わせ、データ保護機関の抜き打ち検査も、いつ何時あるか分かりません。弊社は、以下の業務、ツールの提供をもって、最高レベルの遵守維持のための支援に務めます。 DPO業務の請負、あるいは、EUでのデータ保護取り扱い代理人業務 DPO通信回線の暗号化 顧客からの問い合わせ、要請の対処 会社からの質問、要請の対処 GDPRの改正のチェックおよび、アップデートの報告   長期サポート: 上記のように、データ保護は一回限りのプロジェクトではなく、ITセキュリティとともに企業全体で継続的に実行されねばならず、企業文化として長期的に根付いていくべきものです。

Find Out More