DPOの選任方法
DPOの選任方法については、GDPR37条2項、3項、5項、6項において規定されています。このうち、2項と5項に焦点をあて解説します。
ガイドラインでは、「容易にアクセスできる」すなわち、事業体内部あるいは外部に関係なく、DPOの連絡先が容易に知りうる状況にることを推奨しています。
また、データ主体や監督当局等、各々が異なる言語をもってDPOにアクセスすることが想定される状況下においても、円滑に対応できることも求められています。具体的には、マルチリンガルの人材や適切な翻訳メカニズムにアクセスできることが要求されるでしょう。しかしながら現実的にはそのような人材の発掘、翻訳メカニズムの実装は困難といえます。したがって、多国籍のメンバーをもって構成されたチームとしてのDPOの選任がより現実的であると考えられます。
5項では、処理する個人データに求められる保護の程度に応じて、必要とされる専門知識を決定すべきとしています。DPOには法務・コンプライアンスやデータセキュリティなどのデータ保護に関する専門知識が求められるほか、処理される個人データのありようや、データ量が多いほどより高度な知見が必要となります。
以上からDPOは、マルチリンガルかつ、個人情報を扱う形態に合わせた専門知識を兼ねそなえた人選およびチームをEU内で選任しなければいけません。これらの条件の高さが、日本の企業のGPO設置における大きなハードルとなっている可能性があります。