15 コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

今回は, GDPR第37条～第39条のデータ保護監督者(DPO)に関する規定について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: データ保護監督者(DPO)とは？ GDPR上の規定内容は？

Q1: データ保護監督者(DPO)とは？ GDPR上の規定内容は？

A1: GDPR上, 「データ保護監督者」(data protection officer：DPO)とは, 管理者等によるGDPR遵守の監視者・助言者的立場にある者で, 一定の場合には管理者等には選任義務があり, その他任意でも選任できます。

なお, DPOの訳語については「データ保護責任者」等の訳もありますが, DPOは管理者等によるGDPR遵守の監視者・助言者的立場にあり(後述(7),(8)等参照), GDPRを遵守し個人データ保護を実施すべき「責任者」は管理者等自身です。従って, 本シリーズでは「データ保護監督者」と訳します。

以下にGDPR第37条～第39条のデータ保護監督者(DPO)に関する規定の内容を列記します。

(1).DPO選任義務

管理者および処理者(以下両者を総称して「管理者等」)は, 以下のいずれかの場合, データ保護監督者(DPO) を選任しなければならない(37(1))。

(a)処理が公的機関・団体(但し裁判所を除く)により行われる場合

(b)管理者等の中核的業務(core activities)が, その内容, 範囲および／または目的の観点から見て, データ主体の定期的かつ系統的な監視(regular and systematic monitoring)を大規模(large scale)に行うことを必要とする処理業務からなる場合

(c)管理者等の中核的業務が, 特別カテゴリーの個人データ(9)または有罪判決もしくは犯罪に関する個人データ(10)の大規模な処理からなる場合(以上37(1))

(d)EUの法令または加盟国の法令により要求される場合(37(4)) — (例)ドイツでは管理者等はGDPRで義務付けられている場合に加え, 個人データの自動処理を扱う者を原則として20人以上常時雇用している等の場合においてもDPOを選任しなければならない(ドイツ連邦データ保護法^[1](38(1))

(2).事業体グループの共通DPO

DPOが各拠点から容易にアクセスできる場合には共通のDPOを選任することができる(37(2))。

(3).DPOの任意選任

DPOは, 上記の選任義務がある場合の他, 任意に選任することができる(37(4))。

(4).DPOの選任条件

DPOは, 専門家としての資質(特にデータ保護に関する法令・実務の専門知識および後述の職務の遂行能力)に基づき選任されなければならない(37(5))。

個別のDPOに必要とされる専門知識のレベルは, 管理者等による個人データの処理内容と必要な保護のレベルに応じ決定されなければならない(前文97)。

(5).社内DPOおよび社外DPO

DPOは, 管理者等の従業員でもあってもよく, また、サービス提供契約に基づいて外部にその職務を委託してもよい(37(6))。

(6).DPOの連絡先の公表および通知

管理者等は, DPOへの連絡方法(contact details)を公表しかつ監督機関に通知しなければならない(37(7))。

(7).DPOの地位・管理者等が行うべきこと等

(a)管理者等は, DPOが個人データの保護に関する全ての問題に適切かつ適時に関与するようしなければならない(38(1))。

(b)管理者等は, DPOの任務(39)遂行に必要なリソースおよび個人データとその処理へのアクセスを提供し, また, DPOの専門知識維持に関し, DPOを支援しなければならない(38(2))。

(c)管理者等は, DPOが, その任務遂行に関し, いかなる指示も受けないようにしなければならない。

管理者等は, DPOを, その任務遂行に関連し解任または処罰(dismissed or penalised)してはならない。

DPOは, 管理者等の最高経営層(the highest management level)に直接報告しなければならない。(以上38(3))

(d)データ主体は, 個人データの処理およびデータ主体の権利行使についての全ての問題に関し, DPOにコンタクトできるものとする(38(4))。

(e)DPOは, EUまたは加盟国の法令に従い, その任務遂行に関し秘密保持(secrecy or confidentiality)義務を負う(38(5))。

(f)DPOは, GDPR(39)に定める任務以外の職務を兼任しまたは義務を負うことができる。但し, 管理者等は, その任務および義務がDPOの任務との間で利益相反(a conflict of interests)が生じないようにしなければならない(38(6))。

(8).DPOの職務

少なくとも以下の任務を含む(39(1))。

(a)GDPRその他関係法令上の義務に関し情報および助言(advise )を管理者等に提供すること。

(b)GDPRその他関係法令および管理者等の自社個人データ保護方針への遵守の監視, 従業員の意識向上(awareness-raising), トレーニングおよび監査。

(c)DPIAに関する助言およびDPIA実施の監視。

(d)監督機関との協力。

(e)監督機関への対応窓口(contact point)となること。

(9).その他DPOに関する規定

管理者は, 個人データ取得の際にデータ主体に情報提供すべき項目の一つとして, DPOへの連絡方法に関する情報も提供しなければならない(13(1)(b), 14(1)(b))。

管理者等は, その記録義務(30)の対象項目の一つとして, DPOの氏名・名称および連絡方法を記録しなければならない(30(1)(a), 30(2)(b))。

管理者は, 監督機関に対する個人データ侵害通知に, DPOの氏名・名称および連絡方法を含めなければならない(33(3)(b))。

管理者は, データ保護影響評価を行う際, DPOの助言を求めなければならない(35(2))。

管理者は, DPIAの結果, 監督機関と協議を行わなければならない場合, 監督機関に対し, DPOへの連絡方法についても情報提供しなければならない(36(3)(d))。

第37～39条違反は, 1千万ユーロまたは「一事業体」の場合前会計年度の全世界年間売上高の2%, いずれか高い金額を限度とする制裁金の対象となり得る(83(4))。

page top

Q2: DPOに関するガイドラインは？

A2: DPOについては, WP29が作成したGuidelines on Data Protection Officers (‘DPOs’)(2017年4月5日最終改訂)^[2](以下「本ガイドライン」という)が公表されています。以下に, 本ガイドラインに記載されていて参考となる事項を説明します。

(1).DPO選任義務

管理者等は, 説明責任原則(accountability principle)(5(2))のもと, DPOの選任義務がないことが明らかでない限り, 当該義務の有無の判断・決定過程を文書化し, 考慮すべき要素を適切に考慮して判断・決定がなされたことを証明できるようにしておくことが推奨される。この文書は監督機関により提出要求されることがある。

DPOの選任義務がなく, かつ, 任意に選任する意思もない場合, 個人データの保護に関する業務を行う従業員, 外部コンサルタント等はDPOではないことを対内的にも対外的にも明確にしなければならない。

(2).「中核的業務」等の解釈

上記A1(1)の通り, 管理者等は, その中核的業務(core activities)等の内容によっては, DPO選任が法的義務として強制されるが, 本ガイドラインによれば, 「中核的業務」等の解釈は以下の通りである。

(a)「中核的業務」(core activities)

管理者等の事業目的を達成するための基本的(key)業務を意味する。

【該当する例】病院による患者の健康記録の処理／セキュリティー会社によるショッピングセンターおよび公共スペースにおけるモニタリング

【該当しない例】(付随的：ancillary業務)：従業員への給与支払／社内情報システム部門によるITサポート

(b)「大規模な」(on a large scale) (処理)

判断要素として, データ主体の数, 個人データの量, データ項目の範囲, 処理期間・永続性, 処理の地域的範囲が挙げられる。

【該当する例】ファストフード・チェーンの顧客のリアルタイム位置データ処理／保険会社・銀行による顧客データ処理／検索エンジン事業者による行動ターゲティング広告のための個人データ処理／インターネット・サービス・プロバイダーによるコンテンツ, トラフィック[通信のタイプ・形式・時間・発信元・発信先等のデータ], 位置データ等の処理

【該当しない例】個々の医師による患者データ処理／個々の弁護士による刑事犯罪等のデータの処理

(c)「定期的かつ系統的な」(regular and systematic)(モニタリング)

常時または一定間隔で行われ；システムにより；事前に準備・計画され；戦略的に, というような意味である。なお, 「モニタリング」(監視等)はオンライン環境におけるものに限定されない。

【明らかに該当する例】行動ターゲッティング広告(*)の目的を含め, 全てのインターネット上の追跡(tracking)およびプロファイリング。(*) [インターネット上のページ閲覧, クリック, 検索キーワード等の個人の「行動情報」に基づき個人の興味関心を推測しターゲットを絞り行われる広告配信]

【該当する可能性がある例】電気通信ネットワークの運営／電気通信サービスの提供／電子メールによるリターゲティング[個人の「行動情報」を基に広告メール等を配信]／データ・ドリブン・マーケティング [顧客データ, 販売データ等を分析し意思決定, 企画立案等に役立てるマーケティング手法]／クレジット・スコアリング [与信審査のための点数化]／保険料率査定／不正行為防止, マネーロンダリング検出等を目的としたプロファイリングまたはスコアリング／モバイルアプリ等よる位置追跡, ロイヤルティ・プログラム [日本でいうポイントサービス]／ウェアラブル・デバイスを介した健康データのモニタリング／監視カメラ(CCTV)／コネクテッド・デバイス：(例) スマートメーター, スマート・カー, ホームオートメーション

(3).処理者のDPO

DPOの選任義務の要否は, 管理者, 処理者, それぞれについて選任義務の要件を判断し, その結果, 一方または双方について選任が必要となる。

【具定例】

(a)小規模の家電販売店が, 自社サイトの分析およびターゲティング広告を, 他にも多くの顧客を抱える専門業者に委託する場合。— 家電販売店(管理者)は「大規模」な処理をしていないからDPO選任不要。他方, 専門業者(処理者)は, 大規模な処理を行っているから, 選任必要。

(b)中規模メーカーが, 従業員の健康保険の業務を, 他にも多くの顧客を抱える専門業者に委託する場合　— 専門業者(処理者)は, 大規模な処理を行っているから, 選任必要。メーカー(管理者)は必ずしも必要ない。

(4).DPOへのアクセス

DPOは, 企業グループの場合, 各構成企業が容易にアクセス(問合せ, 連絡等)できるのであれば, グループ全体について1 名であってもよい(37(2))。この「アクセスできる」とは, データ主体, 監督当局のみならず, 管理者の従業員等からも連絡が容易であることを意味する。従業員にとり連絡が容易であるためには, DPOへの連絡方法(contact details)が周知されていなければならない。

DPOは監督当局およびデータ主体の用いる言語に通じていなければならない。

データ主体がDPOに容易に連絡できるように, DPOは, 従業員と同じ施設にいるか, または, ホットライン等により連絡可能でなければならない。

(5).DPOの専門家としての知識・能力

以下のような考慮要素が挙げられている。

(a)DPOとしての専門的資質およびGDPRに定める任務の遂行能力に基づき選任されるべきである。

(b)専門知識・能力のレベルは, 個人データの機微性, 処理の複雑性, 量, EU域外への移転の有無・頻度, 発生しうる問題等に見合うものでなければならない。

(c)GDPRや, 管理者等の所在国の国内法およびデータ保護の実務に関する十分な知識・理解を要する。

(d)管理者等の属する業界および管理者等の企業組織についての知識は有益である。

(e)個人データの処理の内容, 情報システム, 管理者等のデータ・セキュリティーおよびデータ保護ニーズに対する十分な理解を要する。

(6).DPOの執務場所

DPOは, アクセス可能であれば, EU域内にいることは, 必須ではないが推奨される。管理者等がEU域内に何ら拠点を持たない場合, DPOが域外の管理者等の拠点にいた方がよいことはあり得る。

(7).社内DPOの兼任と利益相反

一般的には, 次の職務については利益相反が生じ得る。

(a)上級管理職(例：CEO, COO, CFO, マーケティング責任者, 人事責任者, IT責任者)。

(b)処理の目的および手段の決定に関与する者

(8).DPO業務の外部委託

DPOの業務を, 外部の個人または組織に, サービス契約を締結して委託してもよい。外部組織に委託する場合, 当該組織の担当チームメンバー全員について, DPOと同様に, 利益相反がないこと等の資格要件が満たされ, かつ, 全員に対し不当な解任等が禁止される。当該チーム内の連絡担当者その他各メンバーの役割分担, 管理者等の連絡担当者等を定め, サービス契約に規定することが有益である。

外部弁護士をDPOとする場合, データ保護の問題に関する裁判で管理者等を代理させることは利益相反の問題が生じさせる可能性がある。[法務部門の現任の責任者・担当者等もこれと同様の問題があると思われる。]

(9).その他

1)DPOの連絡先

管理者等は, DPOへの連絡方法(contact details)を公表し, また, 監督機関に通知しなければならない(37(7))。[データ主体への情報提供義務の対象でもある(13(1)(b), 14(1)(b))]。その目的は, データ主体および監督機関が, 容易に直接DPOと連絡がとれるようにすることである。公衆向けに, 専用ホットライン, 管理者等のウェブサイト上のDPO宛専用コンタクトフォーム等を設けてもよい。従業員向けには, DPOの連絡先をイントラネット, 社内電話帳, 組織図等で公開してもよい。

2)DPOの地位・管理者等が行うべきこと等

管理者等には, 以下が求められる。

(a)データ保護に関する全ての問題に関し, 適時に情報提供し, 可能な限り早期に関与させること。

(b)上級管理者および中堅管理者の会議に参加要請すること。

(c)DPOの意見に従わない場合その理由を文書化すること(推奨)

(d)個人データの関する問題が発生した場合直ちに相談すること。

3)DPOの独立性

管理者等は, DPOに, その職務遂行に関し, 結論の内容, 苦情の調査方法, 監督当局との相談の要否, GDPR等の解釈等について指示してはならない。

4)解雇, 処罰等の禁止

管理者等は, データ保護監督者に, その任務の遂行に関連し解任(dismiss)または処罰(penalise)してはならない(38(3))。処罰には, 昇進をさせないこと, 昇進を遅らせること, 他の従業員が受けている給付・便益を与えないこと等も含まれる。

5)DPOの助言

管理者等は, DPIAに関し, 実施の要否／方法／社内実施または外部委託の選択／リスク軽減策／DPIAの適正確認／結論(処理の可否, 対策等)のGDPR準拠等に関しDPOの助言を得るべきである。なお, DPの助言に同意しない場合, DPIA文書にその理由を記載しなければならない。

page top

今回は以上です。

【筆者の最近の個人情報保護関連書籍】

NEW!! 「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[3]

【注】

^[1] 【ドイツ連邦データ保護法】　Federal Data Protection Act (BDSG)(連邦司法省英訳)

^[2] 【DPOガイドライン】 Guidelines on Data Protection Officers (‘DPOs’)(2017年4月5日最終版確定)　日本の個人情報保護委員会の原文併記和訳

[3]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録