プライバシー業務従事者向け交流会「Data Privacy Night 」第4回を開催しました。
PR team6月19日(水)、プライバシー業務従事者向けの交流会「Data Privacy Night 」第4回を開催しました。
当日は、午後9時半で閉会の予定でしたが、会場である「サンタルチア」様のご厚意により時間を30分延長いただき、参加者にとっても、より多くの方と交流を図ることが出来たのではないかと思います。
さて、約1年前にスタートした当イベントですが、今回でようやく1周年を迎えることができました。この1年間、ご参加いただいたプライバシー業務従事者の方々をはじめ、初回から協賛いただいている株式会社GRCS様のご支援により、イベントを続けることができましたこと心より感謝申し上げます。
今後も引き続き、知識や経験を共有する場として、どういったイベントが参加者の皆様にとって望ましいかを検討しながら改善を図ってまいりたいと思います。
今回は、OneTrust社のソリューション・エンジニアの須賀さんにもご参加いただきました。イベントの参加者の方の多くが、「OneTrust」を自社のプライバシー業務でお使いになられているということもあり、OneTrustの技術者に直接質問できる良い機会になったのではないでしょうか?
テーマディスカッション
今回も前回に続き、テーマディスカッションを実施しました。当日は参加者の皆様には2グループに分かれていただき、あらかじめ弊社側で用意した下記の議題から2つのトピックを選択し、ディスカッションが行われました。
- プライバシー影響評価の実行閾値設定
- インシデント対応(当局報告の要否判断基準)
- 日本の改正個人情報保護法アップデート情報
- 日本の個人情報保護法対応における同意の取得
- グルーバルで重要性が急速に高まっている子どもの権利保護
- AIガバナンス
- 中国個人情報保護法実務対応
- ヘルスケア分野の個人情報保護
- (海外の)個人プライバシー権対応
- 海外法規制対応と海外子会社への展開
ディスカッションのトピックと内容について
今回も前回に引き続き、2グループに分かれて、それぞれトピックを選択し、ディスカッションが行われました。
今回の記事では、グループBでのディスカッション内容について紹介します。
グループBでは、ディスカッションにあたり、参加者の多数決で「インシデント対応(当局報告の要否判断基準)」と「海外法規制対応と海外子会社への展開」の2つのトピックを選択しました。
| テーマ | 概要 |
| インシデント対応(当局報告の要否判断基準) | ◇ 個情委への報告と組織内でのエスカレーション ・役員へのエスカレーションおよび個情委への報告の判断基準。(判断が難しい場合、委員会を開いて協議) ・インシデントとレベルを定義し、マニュアル化。 ・実際のインシデント時の個情委への報告とやり取りについて。個情委への報告は、ハードルが高いイメージがある。→インシデントの性質によるが、漏洩の恐れが認められなかったケースにおいては、それほど負担にならなかった。 ◇ 体制と担当者の配置 、育成 ・ 組織の中で個人情報を管理する担当者をどう配置しているか?(体制の話) ・プライバシーを担当する人材を育てることが難しい。(すぐには育たない) ・ビジネス部門を巻き込むことでプライバシー担当の負担を減らすための努力をしているが、ビジネス部門で業務の知識とプライバシーの両方を理解して、オペレーションに落としこんでくれる側のビジネス側の担当者を増やすのには時間がかかる。 ◇ 属人化を避けれる取り組み、情報共有 ・情報共有はしているが、インシデント対応で求められる経験・対応力など知識の共有だけでは引き継げない部分もある。 ・チャットボットによるQ&A対応の仕組みを検討している。 ◇ 経営層の意識の変化 ・近年の個人情報漏洩等の報道による影響もあり、プライバシーへの意識が高まっている。 ・チームが去年新たに発足したこと等、プライバシーガバナンスの考え方は浸透してきている。 ・予算は増え、やるべきことは増えてているものの、人員は増員されていない。 ・予算は増えたものの、限られたリソースの中で対応するには、外部の委託先へ指示するにも、担当者側の負担も同時に増えるので難しい。 ◇ 個人情報の取扱いの把握 ・台帳管理の頻度は?(年1回から2回) ・システム化された台帳により適切に管理されていることで、インシデント発生時の影響範囲の特定は、部署の情報管理担当者に確認すれば数時間後に把握できる。 ◇ 委託先での漏洩に対する対応 ・委託先でのインシデントについて、別々に報告するのではなく連名で報告するケースもある。 ◇ 委託先のプライバシー管理をどう監督するか? ・契約時のアセスメントでデータ保持手段と場所を、確認する。 ・管理は一次委託先までであり、再委託先までは管理していない。(委託先との契約で管理責任を課す。監査権も入れるが、実際に監査まで行うのは難しい。) ・委託先管理について新たに見直しプログラムを実施しているが、これまでに契約している委託先では、委託元部門ごとに委託元の管理責任に対する認識が十分でないケースもある。とはいえ、既存も含めたすべての委託先を網羅的に実施するとなると負担が大きく困難。 ・契約時に委託先のデータの取扱いについて把握しているが、委託する業務の範囲が拡大したり、個人情報の取扱いに変更があるかどうか管理するところまではできていない。 |
| 海外法規制対応と海外子会社への展開 | ◇ 各国法規制への対応 ・GDPRはひと段落した状態。 ・DPOは外部に委託している。 ・調査にコストがかかる。 ・アジア圏は欧州米国と異なり、国によって法令が異なるため、難しい。 ・ 現地法人や弁護士からの問い合わせ対応(基本現地に委譲している場合でも、本社側の対応や判断が求められる場合あり) ◇ グローバルで対応するための組織とルール ・OECD8原則をベースに、現地の法律や業種のルールで個別に対応している。 ・GDPRに寄せるのはToo muchになるので、現実的ではない。 ・ビジネス規模が小さかったり、立ち上げ時で予算をとれない現地法人や事業所については本社側がサポートする。 ◇ 従業員への教育。 ・ 画一的な教育では、各国、地域からの不満や業務への負担につながる。 ・ 各社現場の業務に沿って、効果的なトレーニングを提供。 ・ 現場の負担を減らすための仕組み。 ・ PCを持たない従業員や契約社員に対する教育(紙ベースでの評価)。 |
さいごに
前回よりスタートしたテーマディスカッションですが、各社のプライバシー業務における課題や取り組みについて具体的な意見や課題感をきくことができ、非常に勉強になりました。
次回今後もプライバシー従事者の皆様にとって有意義な時間を過ごしていただける交流の場として改善を図っていきたいと思います。
次回の「Data Privacy Night」は、秋頃を予定しております。日程と詳細が決まり次第、当サイトでも告知させていただきます。
ご協賛のお礼
第1回から引き続き、ご協賛いただいている株式会社GRCS様、本イベントへご賛同、ご協力いただき、ありがとうございます。
