DPO必見！！GDPRからはじめるプライバシー保護対応

これまでのコンサルティング経験を通して、経営陣のご理解が得られない場合には、なかなかご予算を確保するのが難しいということがわかっております。そこで、本書はBizRis有料会員様向けに、無料でダウンロード可能な「GDPR対応テンプレート群」を使って、実際のGDPR対応を行っていくステップを3章で解説しております。

これにより、特にご予算の厳しい中小企業の皆様が出来るだけ独力で、コストをかけずにGDPR対応をでき、且つノウハウをもったまま運用ができる体制を自社内に構築できることをご支援しようと意図しております。

はじめてのGDPR	第0章　はじめに
		はじめに
	第1章　御社の経営陣はGDPRのリスクを理解されていますか？
		1－1節比較的優先度の低い欧州ビジネスの位置づけ
		1－2節経営に与えるインパクト
		1－3節トップダウンアプローチ
		1－4節役員への説明は絶好のチャンス
	第2章　最低限すぐにやっておくべきこと
		2－1節 EUの法律の考え方の特徴
		2－2節プライバシー保護と制裁金
		2－3節実施すべきこと一覧
		2－4節 GDPR対応テンプレートを用いた対応の開始
	第3章　GDPR対応テンプレートを用いた優先項目の対応方法
		3－1節 GDPR対応テンプレートの中身の確認
		3－2節テンプレートを使った対応の進め方
		3－3節業務一覧の暫定確定
		3－4節 30条処理記録のサンプル修正と追加業務への記載
		3－5節データ主体からの問合せ対応窓口の整理
		3－6節 EU代理人の選任（必要な場合）
		3－7節 DPOの選任と監督機関への届出（必要な場合）
		3－8節プライバシーノーティスの作成
		3－9節残課題の整理
	第4章　経営トップのリスク認識・全社プロジェクト体制の確立
		4－1節経営トップにリスクをご理解頂く
		4－2節管掌役員を任命頂く
		4－3節全社プロジェクト体制をつくる
		4－4節専任のプロジェクトマネージャのアサインが成功の鍵
		4－5節プロジェクト計画の立案・必要なメンバーの巻き込み・キックオフ
	第5章　GDPR対応アセスメント
		5－1節現状調査
		5－2節欧州現地法人等各種協力依頼
		5－3節既存ドキュメントの確認とインタビュー
		5－4節データマッピングシートの分析
		5－5節 To Do Listの作成
	第6章　中期対応計画の立案
		6－1節各未対応箇所における個人データ漏えい時のプライバシー侵害度合い・制裁額・リスクの評価
		6－2節各未対応箇所における対応コストと対応期間の評価
		6－3節優先度の最終確定と対応方針の確定
	第7章　DPOの任命、DPOチーム態勢確立、監査・役割の定義
		7－1節 DPO任命の義務、義務ではないが任命した方がよいであろう会社
		7－2節 DPOの役割
		7－3節 DPOに適する方
		7－4節 DPOに求められる能力
		7－5節 DPOはどこに配置するべきか？
		7－6節チームでの対応
		7－7節各人の役割の定義、年間スケジュール作成
		7－8節 Ad hocな作業と最新情報を追いかけられる時間的余裕が必要
		7－9節 DPAとの関係構築
	第8章　DPIAの実施
		8－1節既存業務にも評価は必要？
		8－2節 DPIAの必要性の評価
		8－3節 DPIAの実施
		8－4節 DPOによるレビュー
		8－5節 DPAへの相談
	第9章　個人データのEEA域外移転の適法化
		9－1節法的根拠
		9－2節 SCCか？BCRか？
		9－3節アメリカへの移転：遠くない将来の危険性
	第10章　個人データ処理の法的根拠と透明性の確保
		10－1節法的根拠
		10－2節法的根拠の適用
		10－3節同意のむずかしさ
		10－4節プライバシーノーティス
		10－5節個人データの種類ごとの注意点
第11章　各種契約書、規約、Terms & Conditions、外注処理契約の見直し
	11－1節契約書、規約、Terms & Conditionsの一覧作成
	11－2節 EU法と各国法のギャップの取り扱いは弁護士へ相談
	11－3節外注処理契約の見直し
第12章　優先度の高いIT対策
	12－1節個人データを取り扱う人・ITシステムの特定と台帳管理
	12－2節まずは基本のログの確保・時刻の正確性の確保
	12－3節権限設定の再点検・定期的な点検
	12－4節個人データを取り扱う端末のエンドポイントセキュリティ対策・DLPの導入
	12－5節個人データ保管データベースの暗号化
	12－6節バックアップの暗号化
	12－7節リストアテスト
	12－8節保管データの完全性チェック
	12－9節冗長構成の確保、Disaster Recovery対策
	12－10節いかに早くMalware感染に気付くか？
	12－11節メールによる個人データの転送：誤送信対策は？
	12－12節定期的な脆弱性検査と対策
第13章　グローバル教育体制の見直し
	13－1節グローバルプライバシー教育ポリシーの見直し
	13－2節現地語（英語）での教育コンテンツの作成
	13－3節 e-learningの活用
	13－4節重要拠点から優先度をつけて展開
	13－5節 DPOチームによる教育浸透度合いの定期的なチェック
第14章　データ主体の権利行使対応（問い合わせ対応）
	14－1節法的根拠とデータ主体の権利の整理
	14－2節データ主体からの問合せ窓口と体制の確立
	14－3節問合せ対応の実務
第15章　個人データ保護違反時の72時間以内の報告対応体制確立
	15－1節どうやって個人データ保護違反に気づくのか？
	15－2節影響を受けたデータ主体の特定
	15－3節エスカレーション体制の確立
	15－4節報告文書のドラフト作成
	15－5節データ主体への報告文書のドラフト作成
	15－6節監督機関への報告
	15－7節データ主体への報告
16章　EU代理人の設置
	16－1節 EU代理人の設置義務のある会社
	16－2節 EU代理人のポジション
	16－3節 EU代理人選任時の注意点
第17章　2年目の目標設定・実行計画・トラッキング
	17－1節 1年目の総括
	17－2節 2年目の目標設定・実行計画の策定
	17－3節 DPOチームによる監査・アセスメントの再実施
	17－4節未展開拠点への教育展開
	17－5節継続的なIT対策の実施
	17－6節新規ビジネスに対する設計段階からのプライバシー保護策の取り込み
おわりに
	おわりに