データ保護責任者 (DPO) とは?GDPR 準拠に必要な新しい役割んについて学びます。

情報セキュリティの基本についてをシリーズData Protection 101で、組織のデータ保護を管理しGDPR の遵守を監督するDPO の役割について学びます。

データ保護責任者の定義

データ保護責任者 (DPO) は、EUの 一般データ保護規則 (GDPR) で要求されるエンタープライズ セキュリティにおけるリーダーシップの役割です。データ保護責任者は、データ保護の戦略と実装の監督を行い、 GDPR に準拠していることを確実にする責任があります。

データ保護責任者が必要な企業とは何でしょうか?

欧州議会、欧州理事会、欧州委員会が欧州連合(EU)市民のためのデータ保護の強化と整備を行うために、GDPR では、大量の個人データを処理または保管する組織に対して、従業員、組織外の個人、またはそれら双方のいずれであれ、DPO を必ず任命するように要求しています。DPO は「あらゆる公共機関、および、業務の管理者または処理者の中心的活動により大規模のデータ主体に対する定期的で体系的な監視を行う場所、または団体が特別分野の個人データを大規模に処理する場所で任命される」必要があり、取り扱うデータの内容は人種や民族または宗教的信条の詳細などです。

データ保護責任者の責任と要件

GDPR が 2018年 5 月 25 日に発効された際、EU 市民の個人データを収集または処理する企業は、第 37 条に基づいて、データ保護責任者を置くことが必須となりました。DPO は、重要なコンプライアンス要件における企業や従業員の教育、データ処理に関わるスタッフの教育、および常時セキュリティ監査の遂行といった責任を負います。DPO は、企業と、データ関連活動を監視する監督当局 (SA) との間の連絡窓口としての役割も果たします。

GDPR 第 39 条で概説されるように、DPO の責任は以下を含むものの、それに限定されません:

  • 重要なコンプライアンス要件における企業や従業員の教育
  • データ処理に関わるスタッフの教育
  • 監査によるコンプライアンスの確保と潜在的な問題に対する先見的な対応
  • 企業と、GDPR 担当監督当局との間の連絡窓口としての役割を果たす
  • パフォーマンスの監視とデータ保護の取り組みの影響に関するアドバイスの提供
  • 企業によるデータ処理活動の包括的な記録の維持(あらゆる処理活動の目的も含み、求められた場合に公開が必須)
  • 個人データの使用方法、個人データを消去させる権利、企業が個人情報の保護のために整備する方策

データ保護責任者のための資格

GDPR には、 DPOの特定の資格情報は含まれていませんが、第 37 条ではデータ保護責任者が「データ保護の法例とそれを実践するための専門知識」を備えることを要求しています。同規則では、DPO の専門知識が、組織のデータ処理作業、およびデータ管理者とデータ処理者が取り扱う個人データに必要なデータ保護の水準に沿ったものでなければならないと規定しています。

DPO は管理または処理の担当スタッフでもよく、組織は同じ個人がデータ保護をまとめて監督することができます。それはあらゆるデータ保護活動を同じ個人によって管理できるとともに、必要な場合にいつでも、関連組織の誰もが DPO に容易に連絡が取れる場合に限ります。DPO の情報は公表されてあらゆる規制監督当局に提供される必要があります。

DPOを 雇用するときのベストプラクティス

EU 市民のデータを取り扱う企業は 、EU に所在していない場合でも GDPR に準拠せねばならず、ある調査では、規制を受ける組織が GDPR におけるコンプライアンスを達成するためには、2018 年 5 月での同法の発効時に 28,000 名の DPO が必要になると予想しています。 企業や組織は自らの DPO を同規制の発効前に備えておく必要があるため、すぐにでも DPO の募集と雇用を始めることにより、同職務に対応した最高水準の専門家を確保し、期限が迫った際に高い需要が生まれることが確実な状況に対応することが重要です。

適切な DPO を雇うためには、データ保護の法令および実践での専門知識と、IT 基盤、テクノロジー、または技術的および組織的構造を完璧に把握していることが必要となります。既存の従業員を自社の DPO として指名したり、外部から DPO を雇うことができます。企業と組織は、データ保護とコンプライアンスを社内で管理できるとともにコンプライアンス違反を適切な監督機関に報告できる候補者を探さなければいけません。

理想的に DPO は、最高の管理技術を備えるとともに、あらゆるレベルの内部スタッフに加えて外部当局者と容易に連絡を取ることができなければいけません。適正な DPO には、社内コンプライアンスを確保するとともに、コンプライアンス違反において企業が高額の罰金を課せられる場合があることを理解したうえで当局者にコンプライアンス違反を警告できることが必要となります。