DPOの地位
GDPRは38条1項から6項をもって、DPOの地位に関する事項を規定しています。
ガイドラインでは、DPOが個人データ保護に関連するすべての問題に早期に関与することで、GDPRの遵守がより促進され、これにより場当たり的でない“デザインされたデータ保護対応(Data protection by Design)”を確保することが重要であるとしています。
また、DPOはその組織内において、データ保護に関するディスカッションパートナーとみなされること、そしてデータ処理活動に関する作業部会の一員であることも併せて重要であるとしています。
かかる趣旨をうけ、ガイドラインは組織に対し下記のようなアクションを推奨しています。
- DPOがマネジメント層との定期的なミーティングに参加すること。
- DPOの意見は常に比重を置かれるべきであり、仮に意見の相違があった場合には、その理由を文書化しておくこと。
- セキュリティ侵害が発生した場合、DPOに速やかに報告すること。
上記のほかに、管理者及び取扱者は、DPOが業務遂行するにあたり必要な資源(業務遂行のための十分な時間、予算、施設、カンファレンス参加等の訓練を含む)を提供する必要があります(38条2項で規定)。
また、DPOは38条3項および38条6項の利益相反規定においてその強い独立性を担保されています。
ガイドラインは具体例として、DPOがデータ処理につき高度のリスクがあるとして、管理者または処理者に行った業務遂行を要因に、解雇または罰則を受けることはないということを挙げています。
また、ガイドラインは、利益相反が生じると考え得るポジションとして、最高経営責任者(CEO)、最高業務執行責任者(COO)、最高財務責任者(CFO)、マーケティング部門責任者、人事部門責任者、IT部門責任者などのシニアマネジメント層を例として挙げています。かかるポジションは、個人データの処理の目的及び方法を決めるポジションに当たり得るため、DPOの業務遂行との関係で利益相反が生じると考えられます。
以上のことから、DPOはただ設置をするだけではなく、その地位や独立性を担保するための組織体制の構築まで求められます。
まとめ
DPOの設置はコストや人材の確保等の理由により日本企業のGDPR対応にとって大きなハードルとなり、規制の存在を認識していながらDPOの設置をしていない企業もあるそうです。しかしながら、GDPR適用開始以降、監督当局が同規定の任務懈怠に対しどのような対応をとっていくかは未知数であり、多額の制裁金が課される可能性も否定できません。さらに、ガイダンスは、仮にDPOを自発的に任命しないことを決定した場合であっても、DPOの選任義務を満たさないと考える理由を文書化することを推奨しているため、監督当局に仮に理由を求められた場合に、これに応じられるような対策を取っておくことが懸命といえます。
※本記事は、著者の所属会社(パロアルトネットワークス株式会社)としての公式見解ではないため、GDPRに関する法的助言については専門家にお問い合わせください。