編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向
対応を迫られるGDPR

「同意」「データ保護責任者」「事故発生時の報告義務」とは何か--対応を迫られるGDPR(3) - (page 2)

大場 敏行 (デロイト トーマツ サイバーセキュリティ先端研究所)

2017-08-03 07:00

データ保護責任者の任命

 GDPRでは、特定の条件を満たす管理者または処理者において、次の要件や地位、役割を有する「データ保護責任者」を任命することが求められています。

図表3 データ保護責任者(DPO)の概要

要件
  • 専門家としての資質、特にデータ保護の法令や実務に関する専門知識、責務を遂行する技量にもとづいて選任される。
  • 企業グループは、各組織から簡単にアクセスできることを条件に単一のDPOを選任することができる。
  • 管理者または処理者の従業員、もしくは業務委託契約にもとづいて責務を遂行する者のいずれかでよい。
地位
  • 管理者・処理者は、DPOが個人データ保護に関する一切の事柄について適切、適時に取り組むことを確実にしなければならない。
  • データ主体は、データ処理およびGDPRにもとづく権利の行使に関わる一切の事柄についてDPOに連絡をとることができる。
  • DPOは、責務の遂行に関わる指示を一切受けないことを確実にしなければならない。
  • DPOは、管理者または処理者の最高経営レベルに直接報告を行なうものとする。
役割
  • GDPRおよびその他のEU加盟国の法令にもとづく義務について情報と助言を提供する。
  • 監督機関に協力する。
  • 事前相談や個人データの処理に関する事項について監督機関との窓口となる。

 また、そもそもこのようなデータ保護責任者を任命しなくてはならない、管理者または処理者の特定の条件として、次の3つが規定されています。

  • (i)処理が公的機関または公的団体によって行われる場合
  • (ii)管理者または処理者の主な活動が、データ主体の定期的及び体系的監視を大規模に求める処理活動である場合
  • (iii)管理者または処理者の主な活動が、特別カテゴリのデータまたは有罪判決および犯罪に関連する個人データの大規模な処理である場合

 民間企業の場合は、上記のうち多くのケースで(i)は除外できると想定されますので、特に自身の組織が(ii)または(iii)に該当するかどうかを確認のうえ、該当する場合はデータ保護責任者の任命を行うことになります。

  • データ主体が、特定の目的のために自身の個人データが処理されることに同意している
  • 個人データの処理が管理者等にとっての正当な利益のために必要である
  • データ主体が当事者となる契約を履行する場合またはデータ主体の要請による場合、もしくは管理者が負う法的義務を遵守する

 上記の「要件」にあるように、企業グループの場合は、単一のデータ保護責任者を任命する(容易にアクセスできるとき)か、または企業ごとにデータ保護責任者を任命するかのいずれかを選択することが可能です。

 ただし、EU加盟国の中には、その国内法によりデータ保護責任者の任命を求めている国がありますので、グループで単一の任命にあたっては、そのような国内法もあわせて遵守されるよう注意が必要になります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]