世界のプライバシー保護規制対応を支援するサイト

はじめてのGDPR


これまでのコンサルティング経験を通して、経営陣のご理解が得られない場合には、なかなかご予算を確保するのが難しいということがわかっております。そこで、本書はBizRis有料会員様向けに、無料でダウンロード可能な「GDPR対応テンプレート群」を使って、実際のGDPR対応を行っていくステップを3章で解説しております。

これにより、特にご予算の厳しい中小企業の皆様が出来るだけ独力で、コストをかけずにGDPR対応をでき、且つノウハウをもったまま運用ができる体制を自社内に構築できることをご支援しようと意図しております。

目次

はじめてのGDPR 第0章 はじめに
  はじめに
第1章 御社の経営陣はGDPRのリスクを理解されていますか?
  1-1節  比較的優先度の低い欧州ビジネスの位置づけ
1-2節  経営に与えるインパクト
1-3節  トップダウンアプローチ
1-4節  役員への説明は絶好のチャンス
第2章 最低限すぐにやっておくべきこと
  2-1節  EUの法律の考え方の特徴
2-2節  プライバシー保護と制裁金
2-3節  実施すべきこと一覧
2-4節  GDPR対応テンプレートを用いた対応の開始
第3章 GDPR対応テンプレートを用いた優先項目の対応方法
  3-1節  GDPR対応テンプレートの中身の確認
3-2節  テンプレートを使った対応の進め方
3-3節  業務一覧の暫定確定
3-4節  30条処理記録のサンプル修正と追加業務への記載
3-5節  データ主体からの問合せ対応窓口の整理
3-6節  EU代理人の選任(必要な場合)
3-7節  DPOの選任と監督機関への届出(必要な場合)
3-8節  プライバシーノーティスの作成
3-9節  残課題の整理
第4章 経営トップのリスク認識・全社プロジェクト体制の確立
  4-1節  経営トップにリスクをご理解頂く
4-2節  管掌役員を任命頂く
4-3節  全社プロジェクト体制をつくる
4-4節  専任のプロジェクトマネージャのアサインが成功の鍵
4-5節  プロジェクト計画の立案・必要なメンバーの巻き込み・キックオフ
第5章 GDPR対応アセスメント
  5-1節  現状調査
5-2節  欧州現地法人等各種協力依頼
5-3節  既存ドキュメントの確認とインタビュー
5-4節  データマッピングシートの分析
5-5節  To Do Listの作成
第6章 中期対応計画の立案
  6-1節  各未対応箇所における個人データ漏えい時のプライバシー侵害度合い・制裁額・リスクの評価
6-2節  各未対応箇所における対応コストと対応期間の評価
6-3節  優先度の最終確定と対応方針の確定
第7章 DPOの任命、DPOチーム態勢確立、監査・役割の定義
  7-1節  DPO任命の義務、義務ではないが任命した方がよいであろう会社
7-2節  DPOの役割
7-3節  DPOに適する方
7-4節  DPOに求められる能力
7-5節  DPOはどこに配置するべきか?
7-6節  チームでの対応
7-7節  各人の役割の定義、年間スケジュール作成
7-8節  Ad hocな作業と最新情報を追いかけられる時間的余裕が必要
7-9節  DPAとの関係構築
第8章 DPIAの実施
  8-1節  既存業務にも評価は必要?
8-2節  DPIAの必要性の評価
8-3節  DPIAの実施
8-4節  DPOによるレビュー
8-5節  DPAへの相談
第9章 個人データのEEA域外移転の適法化
  9-1節  法的根拠
9-2節  SCCか?BCRか?
9-3節  アメリカへの移転:遠くない将来の危険性
第10章 個人データ処理の法的根拠と透明性の確保
  10-1節  法的根拠
10-2節  法的根拠の適用
10-3節  同意のむずかしさ
10-4節  プライバシーノーティス
10-5節  個人データの種類ごとの注意点
第11章 各種契約書、規約、Terms & Conditions、外注処理契約の見直し
  11-1節  契約書、規約、Terms & Conditionsの一覧作成
11-2節  EU法と各国法のギャップの取り扱いは弁護士へ相談
11-3節  外注処理契約の見直し
第12章 優先度の高いIT対策
  12-1節  個人データを取り扱う人・ITシステムの特定と台帳管理
12-2節  まずは基本のログの確保・時刻の正確性の確保
12-3節  権限設定の再点検・定期的な点検
12-4節  個人データを取り扱う端末のエンドポイントセキュリティ対策・DLPの導入
12-5節  個人データ保管データベースの暗号化
12-6節  バックアップの暗号化
12-7節  リストアテスト
12-8節  保管データの完全性チェック
12-9節  冗長構成の確保、Disaster Recovery対策
12-10節  いかに早くMalware感染に気付くか?
12-11節  メールによる個人データの転送:誤送信対策は?
12-12節  定期的な脆弱性検査と対策
第13章 グローバル教育体制の見直し
  13-1節  グローバルプライバシー教育ポリシーの見直し
13-2節  現地語(英語)での教育コンテンツの作成
13-3節  e-learningの活用
13-4節  重要拠点から優先度をつけて展開
13-5節  DPOチームによる教育浸透度合いの定期的なチェック
第14章 データ主体の権利行使対応(問い合わせ対応)
  14-1節  法的根拠とデータ主体の権利の整理
14-2節  データ主体からの問合せ窓口と体制の確立
14-3節  問合せ対応の実務
第15章 個人データ保護違反時の72時間以内の報告対応体制確立
  15-1節  どうやって個人データ保護違反に気づくのか?
15-2節  影響を受けたデータ主体の特定
15-3節  エスカレーション体制の確立
15-4節  報告文書のドラフト作成
15-5節  データ主体への報告文書のドラフト作成
15-6節  監督機関への報告
15-7節  データ主体への報告
16章 EU代理人の設置
  16-1節  EU代理人の設置義務のある会社
16-2節  EU代理人のポジション
16-3節  EU代理人選任時の注意点
第17章 2年目の目標設定・実行計画・トラッキング
  17-1節  1年目の総括
17-2節  2年目の目標設定・実行計画の策定
17-3節  DPOチームによる監査・アセスメントの再実施
17-4節  未展開拠点への教育展開
17-5節  継続的なIT対策の実施
17-6節  新規ビジネスに対する設計段階からのプライバシー保護策の取り込み
おわりに
  おわりに

関連記事