GDPR 第37条に当てはまる場合はDPO(Data Protection Officer)と呼ばれるデータ保護オフィサーを選任する義務があります。
そもそもGDPRって何?という方はこちら → EU一般データ保護規則(GDPR)の概要
#TL;DR
DPOには
- 個人情報保護に対する専門知識を有する人を任命
- 社外の人を雇って任命してもいい
そしてDPOは以下を実行しなければならない
- 組織内のデータ管理者、処理者に対してGDPRの周知徹底、教育、遵守の監査、アドバイスをする
- 監督機関との連絡窓口として行動
- データ取り扱い業務の潜在的問題やリスクに対し先見的な対応
データ保護オフィサーを選任しなければいけない場合はどのような場合か
GDPRの第37条に定義があります。1
(a) 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する
(b) 管理者又は処理者の中心的業務が、 その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定
期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合
(c) 管理者又は処理者の中心的業務が、第9 条による特別な種類のデータ及び第10 条で定める有罪判決及
び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合。
日本の企業でもEUに支店等の拠点をおく場合で上記のいずれかに当てはまる場合
EUに拠点が無くとも、日本国内のサービス等でEU市民の個人情報を取り扱う場合で上記のいずれかに当てはまる場合
EUに拠点がなくても日本国内でEU市民の個人情報を取り扱う場合 というのがミソです。
DPOって誰がやればいいの?
GDPR第37条では以下のように規定されています。
データ保護オフィサーは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識
並びに第39 条で定める職務を充足するための能力に基づいて指定される。
簡単に言えば 個人情報の保護に対する専門知識を有していて、それを実践できる人 ですね。
また、第37条第6項にあるように、DPOの選任にはデータの管理者や処理者の中からでもいいですし、外部から業務委託などで雇ってもいいそうです。
6 . データ保護オフィサーは、管理者又は処理者の職員とすることができ、又は、業務契約に基づいてその職務
を果たすことができる。
DPOの責務と役割
具体的にDPOがすべきことは以下のようなことです。
第39条に記述がありますが簡単にまとめると次のようになります。
- 他のデータ管理者、処理者に対してデータの取り扱いについて教育
- GDPRに遵守して個人データが取り扱われているか監査
- 監督機関との連絡先として行動し、監督機関に協力する
- 取り扱いのデータについて範囲や性質を理解した上でリスクに注意を払う
- データ取り扱い者に対する責任の適正な割り当て
組織内での立場
DPOはデータの管理者もしくは処理者である場合、
通常と同じように業務として行うものの、独立性が守られています。
これは第38条で以下のように規定されています。
管理者及び処理者は、個人データの保護に関連する全ての問題に、適正かつ適時に、データ保護オフィサー
が関与することを確保しなければならない。
管理者及び処理者は、データ保護オフィサーが、その職務の遂行に関し、いかなる指示も受けないことを確
保しなければならない。当該データ保護オフィサーは、当該データ保護オフィサーの職務の遂行に関して、管
理者又は処理者から解任され、又は罰則を受けることがない。データ保護オフィサーは、管理者又は処理者の
最高経営者レベルに対して直接報告しなければならない。
DPOはデータの管理者、処理者からの指示や罰則は受けず、独立した立場から個人情報の取り扱いについて監査、助言します。
また、最高経営者レベルに対して直接報告する立場にあります。
まとめ
GDPRが適応されなくとも個人情報の取り扱いというのはリスクが大きいため、適切に対策する必要があります。
GDPRに対応しなければいけなくなった今、これをきっかけにして組織内での取り扱いや、個人個人への教育が行われるととても良いかと思います。
-
GDPR日本語訳(個人情報保護委員会) - https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf ↩