5. EU vs. USA
& Japan
Data Privacy
データプライバシーでのEUとUSA
...そして日本
Gohsuke Takama
Ver0.8
5
6. データプライバシーでのEUとアメリカ
...そして日本
✴ 2012年1月25日: EU General Data Protection
Regulation(EU総合データ保護規則)へ改正案発表
✴ 2012年2月23日: Consumer Privacy Bill of Rights (消
費者プライバシー権利章典)をオバマ政権が発表
✴ 2012年3月19日: EUとUSAが協議、Safe Harbor合
意継続の方向で共同声明
✴ 2013年5月31日: EU GDPR法案の修正案発表
✴ 2013年10月21日: EU LIBE委員会での投票で可決
✴ 2013年10月: European Councilとの合意目指し、
2014年EU議員選挙前にEU議会で可決目指す
✴ 2013年10月25日: EUサミットで英首相が2015年
へ延期説得したが...
Gohsuke Takama
Ver0.8
6
21. EU Data Protection Directive
EUデータ保護指令
Gohsuke Takama
Ver0.8
http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf
21
22. EU Data Protection Directive
EUデータ保護指令
立場の定義
Gohsuke Takama
Ver0.8
Data Subject
データ主体
Data Controller
データ管理者
Data Processor
データ処理者
パーソナル
データ
データ主体の
パーソナル
データ
コンセント
Personal Data Filing System
パーソナルデータ ファイリングシステム
Processing of Personal Data
パーソナルデータの処理
自身のデータ
への
アクセス権
22
23. EU Data Protection Directive
EUデータ保護指令
パーソナルデータのEU域外第三国への移動の制限
Gohsuke Takama
Ver0.8
EU市民
パーソナル
データ
Safe Harbor合意
23
24. EU Data Protection Directive
EUデータ保護指令
Data Protection Supervisory Authority
データ保護監督局(プライバシーコミッショナー)
Gohsuke Takama
Ver0.8
Data Subject
データ主体
Data Protection Authority
データ保護監督局
Data Controller
データ管理者
政府 企業
クレーム提起
Personal Data Filing System
パーソナルデータ ファイリングシステム
データ主体の
パーソナルデータ
コンセント
自身のデータへの
アクセス権
調査権限・運用監視権限・介入権限・法的手続きへの関与
データ主体とデータ管理者との紛争解決
EU域外第三国へのパーソナルデータ移動許可(ドイツ, GDPR)
24
25. EU Data Protection Directive
EUデータ保護指令
Data Protection Supervisory Authority
データ保護監督局(プライバシーコミッショナー)
Gohsuke Takama
Ver0.8
http://www.nhk.or.jp/wisdom/index.html
25
26. USA Consumer Privacy Bill of Rights
USA 消費者プライバシー権利章典
Gohsuke Takama
Ver0.8
http://www.whitehouse.gov/sites/default/files/privacy-final.pdf
26
27. USA Consumer Privacy Bill of Rights
USA 消費者プライバシー権利章典
• FTCによる消費者プライバシー保護の強化
• 個人のパーソナルデータのコントロール権
• 透明性: プライバシーとセキュリティ順守状況
• コンテキストを尊重した収集・利用・開示
• パーソナルデータ取扱のセキュリティ希求権
• 自身のパーソナルデータへのアクセス, 修正権
• 事業者が収集するデータの適切な範囲の限定
• 事業者の説明責任
• マルチステイクホルダーに基づく運用
Ver0.8
Gohsuke Takama
27
28. EU General Data Protection Regulation
EU 総合データ保護規則
Gohsuke Takama
http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf
Ver0.8
28
29. EU General Data Protection Regulation
EU 総合データ保護規則
• データ保護適用テリトリーのEU外への拡大
• EU加盟国間でのデータ保護レベルの均一化
• Pseudonymous Data(仮名化データ), 暗号化デー
タ, 遺伝子データ, バイオメトリックデータ,
Re-Identify(再特定化)などを定義
• データ主体との明確(Un-ambiguous)なコンセン
ト
• 自身のデータの消去を求める権利の設定
• プロファイリングの制限
• 規則違反への罰金: €1億か全世界売上の5%
Ver0.8
Gohsuke Takama
29
30. EU General Data Protection Regulation
EU 総合データ保護規則
• EU域外へのデータ移動は監督局の許可が必要
• Data Protection Seal(データ保護標章)の用意
• Binding Corporate Rules(拘束的企業ルール)によ
るデータ保護ポリシー設置
• Data Protection by Design設計によるデータ保護
• 事前のデータ保護影響評価(DPIA)と2年に1度
以上の運用レビュー
• 12ヶ月間5千人超扱うデータ処理事業に監督者
• EU Data Protection Board (EUデータ保護役員
会)の設置
Ver0.8
Gohsuke Takama
30