資格認定制度

I. 日本の個人情報保護法・マイナンバー法（20問）

個人情報保護法（17問）

1.1　適用範囲

①目的及び適用対象、②適用除外、③適用の特例、④域外適用

n  個人情報の保護に関する法律（平成15年5月30日法律第57号）

n  個人情報の保護に関する法律施行令（平成15年12月10日政令第507号）

n  個人情報の保護に関する法律施行規則（平成28年10月５日個人情報保護委員会規則第３号）

n  個人情報の保護に関する基本方針（平成16年４月２日閣議決定、令和４年４月１日一部変更）

n  個人情報の保護に関する法律についてのガイドライン

Ø  通則編

Ø  外国にある第三者への提供編

Ø  第三者提供時の確認・記録義務編

Ø  仮名加工情報・匿名加工情報編

n  「個人情報の保護に関する法律についてのガイドライン」に関するQ&A

1.2　基本概念

定義（個人情報、個人識別符号、要配慮個人情報、個人情報データベース等、個人データ、保有個人データ、仮名加工情報、匿名加工情報、個人関連情報、漏えい等、個人情報取扱事業者等）

1.3　個人情報取扱事業者等の義務

①個人情報の利用目的（利用目的の特定、通知・公表、制限の遵守等）、②不適正利用の禁止、③個人情報の取得（適正取得、要配慮個人情報の取得等）、④個人データの管理（安全管理措置、従業者・委託先の監督、正確性の確保等）、⑤個人データの漏えい等の報告等、⑥個人データの第三者への提供（制限の遵守、確認・記録、域外移転等）、⑦個人関連情報の第三者提供の制限等、⑧保有個人データに関する事項の公表等、⑨保有個人データの開示・訂正等・利用停止等、⑩個人情報の取扱いに関する苦情処理、⑪仮名加工情報取扱事業者の義務、⑫匿名加工情報取扱事業者の義務

1.4　執行

「勧告」、「命令」、「緊急命令」等についての考え方

マイナンバー法（3問）

1.5　基本概念

定義（個人番号、個人番号カード、特定個人情報、個人番号利用事務、個人番号関係事務等）

n  行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年5月31日法律第27号）（「マイナンバー法」）

n  特定個人情報の適正な取扱いに関するガイドライン（事業者編）

1.6　事業者の義務

①特定個人情報の利用制限、②特定個人情報の安全管理措置等、③特定個人情報の提供制限等（提供の要求、求めの制限、提供制限、収集・保管制限等）、④第三者提供の停止に関する取扱い、⑤特定個人情報保護評価

II.　欧州連合（EU: European Union）の一般データ保護規則（GDPR: General Data Protection Regulation）（10問）

2.1　適用範囲

GDPRの地理的適用範囲

n  一般データ保護規則（GDPR: General Data Protection Regulation）前文（1項、26項、75項、76項）

n  GDPR条文（2条～10条、12条～22条、24条～39条、44条～49条、84条）

n  欧州データ保護会議（EDPB: European Data Protection Board）ガイドライン

Ø  管理者及び処理者の概念に関するガイドライン

Ø  データポータビリティの権利に関するガイドライン

Ø  データ保護オフィサー（DPO）に関するガイドライン

Ø  管理者又は処理者の主監督機関の特定に関するガイドライン8 2022

Ø  データ保護影響評価（DPIA）及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン

Ø  個人データ侵害通知に関するガイドライン09_2022

Ø  個人データ侵害通知の事例に関するガイドライン01_2021

Ø  同意に関するガイドライン

Ø  透明性に関するガイドライン

Ø  規則第49条の例外に関するガイドライン

Ø  GDPRの地理的適用範囲（第3条）に関するガイドライン 03_2018 – バージョン2.1）

2.2　基本概念

定義（個人データ、特別な種類の個人データ、処理、移転、管理者、処理者、共同管理者、同意等）

2.3　管理者・処理者の義務

①個人データ処理の諸原則、②処理の法的根拠（個人データの処理、特別な種類の個人データの処理）、③処理活動の記録、④データ主体への情報通知・権利行使対応、⑤適切な技術的・組織的措置の実施、⑥個人データ侵害への対応、⑦データ処理契約の締結・更新、⑧EU代理人、⑨データ保護責任者の選任義務、⑩データ保護影響評価の実施義務、⑪域外移転規制等

III. プライバシーガバナンス（10問）

3.1　個人情報保護マネジメントシステム

プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針

J.1組織の状況、J.2リーダーシップ、J.3計画、J.4支援、J.5運用、J.6パフォーマンス評価、J.7改善、J.8取得、利用及び提供に関する原則、J.9適正管理、J.10個人情報に関する本人の権利、J.11苦情及び相談への対応

n  プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023 準拠 ver1.0】

3.2　プライバシーガバナンス

n  プライバシーの考え方

n  企業のプライバシーガバナンスの重要性

n  経営者が取り組むべき三要件（プライバシーガバナンスに係る姿勢の明文化、プライバシー保護責任者の指名、プライバシーへの取組に対するリソースの投入）

n  プライバシーガバナンスの重要項目（体制の構築、運用ルールの策定と周知、企業内のプライバシーに係る文化の醸成、消費者とのコミュニケーション、その他のステークホルダーとのコミュニケーション）

n  プライバシーリスク対応の考え方（関係者と取り扱うパーソナルデータの特定とライフサイクルの整理、プライバシー問題の洗い出し、プライバシーリスクの特定、プライバシー影響評価（PIA））

n  DX時代における企業のプライバシーガバナンスガイドブックver1.3

n  お役立ちツール（※中小企業向け）

n  個人データの取扱いに関する責任者・責任部署の設置に関する事例集

n  PIAの取組の促進について-PIAの意義と実施手順に沿った留意点

n  漏えい等の対応とお役立ち資料

n  データマッピング・ツールキット（本編）

IV.　EUデータ法（EU Data Act）（5問）

4.1　基本概念・適用範囲

n  EUデータ法（REGULATION (EU) 2023/2854 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)(Text with EEA relevance)）1条から11条、37条～42条、50条、前文14～16項、20項、22項、24項、25項、29項

n  Data Act explained

n  Frequently Asked Questions about the Data Act

4.2　ユーザーとの関係における製造者・データ保有者の義務

4.3　第三者との関係における製造者・データ保有者の義務

4.4　営業秘密の保護（セーフガードに関する規定）

4.5　執行制度

V. EU AI法（EU Artificial Intelligence (AI) Act）（5問）

5.1　基本概念・適用範囲・執行制度

n  EU AI法（REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)）1～3条、64条～70条、99条、101条、113条

5.2　禁止されたAI慣行、汎用AIモデル・システミックリスクを有する汎用AIモデルの提供者の義務

n  EU AI法5条、51条～55条

5.3　高リスクAIシステムの提供者の義務

n  EU AI法6条～27条

5.4　高リスクAIシステムの配備者・認定代理人・輸入業者・流通業者の義務

5.5　特定AIシステムの提供者・配備者が負う透明性義務

n  EU AI法50条