電子帳簿保存法とは？対象書類や保存要件・改正内容についてわかりやすく解説 | 経営者から担当者にまで役立つバックオフィス基礎知識 | クラウド会計ソフト freee
法令/監査対応なら基本はオリジナル側で対応。もしデータロードした業務DB側でも法令/監査対応が必要なら要件を聞いて対応
データロードした業務DB側は利用上の保管の必要性があるようなら削除しない
法令上必要なもの: 帳簿、取引記録、財務、電子帳簿、金融取引、税法、賃金出勤、電気通信ログ、個人情報保護、マイナンバーあたり
　検索して閲覧ができ状況を追えるようになっていればよさそう
　オリジナルかどうか: EDIは最低の加工ができそう。領収書等は原本が必要。それぞれ要件が細かくある

■GDPR (General Data Protection Regulation)
EUのデータは持ち出せなかったのでは？
個人情報や購買情報、行動履歴等の分析やデータ処理ができなかったのでは？

EU域内の個人データを対象
　EUに拠点がない企業でも、EU域内の個人(データ主体)のデータを処理する場合にはGDPRが適用される可能性がある
　EU域内の個人データを取り扱う場合の例: EU居住者向けのウェブサービス、オンラインストア、マーケティング活動
　EU居住者の行動を監視する場合の例:ウェブサイトでのクッキーを使ったトラッキング

GDPRでの個人データは、特定の個人を識別できるあらゆる情報を指します。例えば:
　名前、住所、メールアドレス、電話番号、IPアドレス、クッキーID、健康データ、財務情報など

正当な個人データ処理の根拠を確保することが必要です。例えば:
　データ主体の同意(具体的で明示的な同意が必要)
　契約の履行(契約を遂行するための必要性)
　法的義務の遵守(例えば税務関液データ)
　データ主体または第三者の重大な利益保護
　特に日本の企業がマーケティング目的でデータを利用する場合、明確な同意の取得が重要です。

データ主体(個人)の権利を尊重する。以下の権利を持っています：
　データへのアクセス権:自分のデータの確認を求める権利
　修正権:不正確なデータを修正する権利
　削除権:「忘れられる権利」として知られるデータ削除を要求する権利
　データポータビリティ権:自分のデータを他社に移転する権利
　日本の企業がこれらのリクエストを受けた場合、適切に対応できる体制を整える必要があります。

データ保護体制が必要です。例えば：
　一定規模以上のデータ処理を行う場合、DPO (Data Protection Officer) を任命することが求められます
　データの収集、処理、保管方法を文書化し、必要に応じて提出できる体制を整える
　必要に応じてデータを匿名化または暗号化して保護する

データ時の対応計画が必要です。例えば：
　GDPRでは、データ漏洩が発生した場合72時間以内に監督当局(例:EUのデータ保護機関)および影響を受けたデータ主体に報告する義務がある
　漏洩時の対応手順を事前に策定しておくことが重要

日本での具体的対応：
　プライバシーポリシーの見直し
　GDPRに基づいたデータ収集目的、保管期間、権利行使方法の明記
　データ処理者(プロセッサー)との契約確認
　データを処理する外部業者(例:クラウドプロバイダー) もGDPR準拠が求められます。契約内容を確認し適切な管理を行う
　越境データ移転の対応: EUから日本へのデータ移転には特定の条件が必要です。日本は「十分性認定」を受けており、一定の条件下でEUから日本へのデータ移転が認められます。

+++2010-08-09+++++++++++
個人情報保護法と特定電子メール法 ー Information privacy & antispam law
で下記を書いていたが滅茶苦茶ではないか？古い

■個人情報保護法
- 不要なものは破棄しろ
- あらかじめ伝えた目的外に使うな
- 要求にはできる範囲で対応しろ
- 利用目的、問い合わせ先を開示しろ
- 本人からの照会、訂正依頼には対応しろ
- データを管理しろ、データ委託先を監督しろ（責任はこっち持ちだ）
個人情報は同意を元に収集しその方法でのみ使用
　利用目的が変わると同意の取り直しが必要
委託等第三者へ提供する場合本人に同意をとる
　第三者から受け取った場合は記録を残す
　安全管理を徹底させる

※例外としてのデータ提供が可能
警察、検察、弁護士会、からの照会、国への協力
生命、児童や公衆衛生に関する場合

※過剰反応はするな
5000人以下なら守らなくてもよい
目的に同意をもらえば名簿を配布できる等
http://www.caa.go.jp/seikatsu/kojin/index.html

↓
個人を識別できる情報
　氏名だけ　携帯のIMEI等の番号だけ　顔写真　生存人物（プライバシーマーク：Pマークは死者も個人情報）
　　コンテキストによって地域と性別と身長などだけでも個人識別できれば個人情報になりえる
↓
以前は履歴情報や特性情報は氏名を切り離せば良かった
厳しくなるが利用すべきという声も
↓
　免許証番号→個人情報
　生体情報→個人情報
匿名加工情報→個人情報ではなく商店街や地域連携ができ目的外利用も
　個人情報への紐づけをなくさなければならない
　類推で個人特定できたもだめ（A町の198cm男はBさん）
匿名加工情報の具体的な作成方法　https://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/tokumeikakou.pdf

■特定電子メール法
- 事前に同意を取れ（オプトイン）
- 同意の時期と方法を記録しろ（送信しなくなってから1ヶ月経過するまで）
- 送付者は誰か、受信拒否の通知先を表示しろ
- 不要意思があれば送るな（オプトアウト）

※次の場合は同意なしに送付できる
名刺をもらった相手、取引関係、サービス契約者に付随的に広告宣伝を含む場合、公表しているメールアドレス

http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html
http://www.caa.go.jp/representation/index.html
http://www.dekyo.or.jp/soudan/
http://www.caa.go.jp/representation/pdf/091214premiums_1.pdf
http://www.caa.go.jp/representation/pdf/100401premiums2.pdf

■警視庁vs総務省
警察庁「サイバー犯罪条約では上限3カ月の保存を要請」
日本のISP事業者の多くが平均で半年間、大手では2～3年程度のログ記録を保全
総務省「情報流出によるプライバシー侵害を恐れ、早期消去を主張」