GDPR
-
欧州委員会から12月18日に流れたデジタルサービス法(以降DSAと省略)に基づきXに対して正式な侵害訴訟開始のニュースです。
先立つこと12月14日にはnoyb(GA利用企業摘発ニュースでご紹介)により欧州委員会にGDPRとDSAに違反するとして苦情申し立て(政治思想、宗教思想に関するターゲッティングに関し)があったばかりとなります。
-
今回の記事は英国の「Children's code」となります。GDPR そのものからは少し外れますが、GDPR にも度々記載されている子どもの保護に通じる大切なものとなるため本記事の題材としました。また、Children's code は ICO(Information Commissioner’s Office : 英国データ保護機関)により定められており法的強制力があります。罰則は GDPR とほぼ同等(最大1700万ポンド(日本円で約31.7億円(1ポンド=186.69円時)、または全世界売上高の4%)で非常に厳しく、高額な制裁のため十分にご注意ください。ただ、罰則以前に子どもの個人情報の処理は高リスクであるということを胸に刻んでおいて欲しいと願います。
-
今回はGDPRの「透明性に関するガイドライン」の記事です。2019年フランスのデータ保護機関が、Googleの透明性に関するGDPR違反に対して5000万ユーロの制裁金の支払いを命じた事例がありました。過去の話のように受け止められるかもしれませんが、昨今話題になっている生成AIの利活用に際しても「透明性」は大変重視されています。また、Googleの制裁事案は遠い国の話、あるいは大企業の話ではなく、GDPRにおいて「透明性」がいかに重視されている原則か伝われば本ブログの役目としては十分と考えています。
-
EU-U.S. Data Privacy Framework(以降DPF と省略します)が7月10日に発効しました。前回のお知らせのようにスウェーデンではGoogle Analyticsを使用する企業が摘発される事態にまでなってましたから、GDPR に関わる皆様にとっては朗報だったのではないでしょうか?Google Analytics以外にも個人データが米国へ越境するサービス・システムは多数ありますが、使用されているサービスの事業者がDPF に登録済みか確認されましたか?こちらから確認できますので必ずご確認ください。
-
スウェーデンのプライバシー保護当局(以降IMYと省略します)により、Google Analytics使用の企業4社が摘発されため、速報でお知らせします。
スウェーデンといえば、6月にSpotifyが約500万ユーロの制裁金を課されたばかりでした。一方で、今回の制裁に強烈なインパクトがあったのは、これまでのGoogle に代表されるような「サービス提供側」ではなく、そのサービスを利活用する企業側に制裁が課されたことです。
一次情報をもとに今回の制裁事例を紐解いていきたいと思います。
-
今回はEEA(EEAの対象地域についてはこちらの記事を参照ください)から個人データ移転の際に遵守する必要のある「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取り扱いに関する補完的ルール」(とても長い名称なので、以降「補完的ルール」と略します)についてお話しします。
-
今回は、EDPB(欧州データ保護会議(European Data Protection Board)以降EDPBと略します)の越境に関するレコメンデーションである「Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data」を中心に書いていきます。
-
唐突ですが、皆さんが普段よくご覧になるECサイトやWEBのサーバーがどこにあるかご存知でしょうか?あるいは、そのサーバーを管理している企業がどこの国の事業者であるかご存知でしょうか?そうしたことが気になって時々調べてみるのですが、アメリカであったり、シンガポールであったり、いろいろ出てくるはずです。インターネットが世界中の津々浦々へ浸透していくとともに、発祥の地であるアメリカだけでなく、世界各地にサーバーや、サービスができていくのですが、個人データの扱いやプライバシーの観点から、対応しなければならない課題が次々と発生しています。
-
今回のテーマは「適法条件」です。その説明の元となるGDPR第6条の名称は「Lawfulness of processing 」です。どのように個人データの処理を行えば法に適うのか、その条件についてお話しします。なお、本説明の中で使用する用語「適法」と、この条項の中で頻出の用語である「データ主体」(data subject)を先に説明します。
-
前回の記事(改正電気通信事業法について)で、GDPR(一般データ保護規則:General Data Protection Regulation)が影響を及ぼしている国や地域を紹介しました。今回から、GDPRについて数回に分けてお話ししようと思います。また、今後、海外のプライバシー法・個人データ(情報)保護法をお話しする上で、GDPRは基礎知識として重要になってくると考えています。 今回は、概要と重要な基本原則を説明したいと思います。