Global Reachグローバル展開する企業を支援

MENU

コラム|Column

データ保護責任者(Data Protection Officer、以下「DPO」といいます)は、多くの企業・団体にとってGDPRへの遵守を促進するための新しい法的枠組みの中心となります。第29条作業部会が2016年12月13日に公表したガイドライン(以下「DPOガイドライン」といいます)においても、DPOは説明責任の基礎であり、DPOを選任することで遵守を促進し、さらに企業の競争性を高めることが強調されています。また、DPOは関係する利害関係者(例えば、監督当局、データ主体、および組織の中の事業部門)間の仲介者としての役割を担う、ともされています。GDPRは、DPOを新しいデータガバナンスシステムの主要な役割として認識し、選任、地位、業務の条件を定めています。DPOガイドラインは2017年2月までパブリックコメントに付されていたため、今後、作業部会がDPOガイドラインに何らかの修正を加える可能性がありますが、本稿では、本稿執筆時点でのDPOガイドラインの内容を踏まえ、DPOに関して特に知っておくべき注意点を概説します。

DPOの選任義務の要件

管理者および処理者は、次に掲げるいずれかの場合には、DPOを選任する義務があります(37条1項、4項)。

  • ①処理が公的機関または団体によって行われる場合(ただし、司法上の権限に基づく裁判所の行為を除く。)
  • ②管理者または処理者の中心的業務が、その性質、適用範囲および/または目的によって、大規模にデータ主体の定期的かつ体系的な監視を必要とする処理作業である場合
  • ③管理者または処理者の中心的業務が、9条で言及された特別カテゴリーの個人データおよび10条で定める有罪判決および犯罪に関する個人データを大規模に処理する場合
  • ④EU法または加盟国の法律でDPO選任が要求されている場合

上記の4つの要件のうち、①から③の要件については、DPOガイドラインにおいて「公的機関または団体」、「中心的業務」、「大規模」および「定期的かつ体系的な監視」の文言についての作業部会の考え方が示されています。
これに対して、④については、今後の加盟国の法律においてDPOの義務的選任の要件が維持または導入されるかどうかを注視しておく必要があります。多くの日本企業・団体は上記①から③よりも、④に該当する結果として、GDPR上のDPOの選任義務を負うことになるケースが多いと考えられます。

たとえば、2017年1月30日、ドイツ連邦の新データ保護法(GDPRの施行のため)のサードドラフト(第三稿)が公表されました。このドラフトによると、以下の要件に該当する組織はドイツ法上のDPOの選任義務があることになり、その結果、当該組織はGDPR上もDPOの選任義務があることになると考えられます。

ドイツの拠点において雇用されている10名以上が、以下のいずれかに該当する場合

  • 継続的に個人データ処理に従事している場合
  • データ保護影響評価が必要となる個人データ処理を実行している場合
  • または移転の目的でデータ処理を行っている場合

これによれば、たとえば、ドイツのデュッセルドルフにおいて、12名の従業員を勤務させPCを貸与して作業させている日本企業のドイツ子会社では「継続的に個人データ処理に従事している場合」にあたるか、または当該ドイツ子会社が従業員データをグローバルタレントマネジメントの目的で日本に移転させている場合、すなわち「移転の目的でデータ処理を行っている場合」に該当し、当該ドイツ子会社にはDPOの選任義務があることになります。

また、上の例が「ドイツ子会社」ではなく「ドイツ支店」である場合、上記日本企業自体にDPOの選任義務があると考えられます。
御注意頂きたいのは、ドイツ連邦の新データ保護法のサードドラフトは、まだ最終的に法律になってはいないものであるということです。今後の立法動向を注視する必要があります。

さらに、日本企業の本社は、自らが管理者/処理者としてDPOの選任義務があるかどうかにかかわらず、当該日本企業のグループ企業においてDPOの選任義務があると判断される場合には、当該グループ企業におけるDPOの人選に十分に関与することが必要であると考えます。たとえば、ある日本企業のドイツ子会社にはGDPR上のDPOの選任義務あり、日本企業の本社自体にはDPOの選任義務なしという分析結果が出た場合、当該日本企業の本社は、DPOの選任義務の問題を、ドイツ子会社に任せてしまうことには慎重になるべきであり、ドイツ子会社のDPOの人選にきちんと関与することが必要です。GDPRにおいてDPOに与えられる地位(38条各項)は強大であり、DPOの人選ミスはDPOの地位がきちんと保障されているかを巡って管理者/処理者とDPOとの間で紛争になるリスクを高めます。こうした紛争はデータ保護監督当局によるGDPR違反調査に直結し、最終的に管理者/処理者によるDPOの地位の保障義務違反として、制裁金が科せられる問題に発展するリスクも否定できません。

DPOの地位と能力

DPOの選任義務があるとして、DPOにはどのような地位を与える必要があるのでしょうか。

GDPRは管理者および処理者に対しDPOの待遇について様々な義務を定めています(38条)。以下の①から③のような地位を最低限与え、④の能力を持つ者を選任する必要があるとされています。

①個人データ保護問題への関与の確保(38条1項)

管理者および処理者は、DPOが個人データ保護に関するすべての問題に適切かつ直ちに関与できることを確実にしなければなりません。DPOガイドラインによれば、以下のように定義されています。

DPOが最初の時点から情報を与えられ、相談を受けることでGDPRへの遵守が促進され、設計におけるデータ保護(Data Protection by Design)のアプローチを確保し、それが組織内のガバナンスの標準的な手続とされるべきである。さらに、DPOは組織内のディスカッションパートナーとみなされることおよび組織内のデータ処理活動に関わる関連するワーキンググループの一員であることが重要である。その結果、組織は例えば次のことを確保すべきである。

  • DPOが経営陣および中間管理職の会議に定期的に参加するよう招待されること。
  • DPOの意見は常に重視されなければならない。意見の相違がある場合、第29条作業部会は良いプラクティスとして、DPOの助言に従わない理由を文書化することを推奨している。
  • データ侵害やその他の事件が発生した場合、速やかにDPOに相談しなければならない。
  • 適切な場合、管理者または処理者はDPOにどういうときに相談が必要かを規定するデー タ保護ガイドラインまたはプログラムを作成することができる。
  • データ保護影響評価におけるDPOの役割

②必要な支援(38条2項)

管理者および処理者は、39条で定める業務遂行においてDPOを支援しなければならず、その支援は、当該業務の実行、個人データおよび処理作業へのアクセス、およびDPOの専門知識を維持するのに必要な資源を提供することによってなされるものとするとされています。

③独立性の確保(38条3項)

管理者または処理者は、DPOがその業務の遂行に関してあらゆる指図を受けないことを確実にしなければならないとされています。当該DPOは管理者または処理者によって当該DPOの業務遂行に関して解雇または処罰を受けることがあってはならないとされ、DPOは管理者または処理者の最高経営レベルに直接報告するものとされています。38条3項はDPOが組織内で十分な程度の自立性を持って任務を遂行できることを保証するうえで有用とする基本的保証を幾つか設定しています。
GDPRの下ではDPOがDPOとしての任務を遂行した結果として不利益を被る場合にのみ、解雇や処罰が禁止されています。例えば、DPOはある特定の処理が高リスクをもたらすと考え、管理者または処理者にデータ保護影響評価を行うよう助言しても、管理者または処理者が評価に同意しないかもしれません。このような状況では、DPOはこの助言を提供したことにより解雇されてはならないということです。

④DPOの専門性および技能

37条5項では、DPOは「専門家としての資質、特にデータ保護法およびプラクティスの専門知識、ならびに第39条に述べられている任務を遂行する能力に基づいて選任されること」と規定しています。

このように見てくると、DPOの選任にあたっては、様々な考慮事項があることがわかります。DPOの選任にあたっての各種の義務違反は、いずれも制裁金につながりうるものであるため、いずれの考慮事項についても慎重な判断が必要となります。

DPOの満たすべき他の要件

次に、DPOの満たすべき他の要件はどうでしょうか。

(1)「各拠点から容易にアクセスできる」

第37条2項は、事業者グループが「各拠点から容易にアクセス」できるという要件で、単一のDPOを選任することを認めていますが、日本でDPOを選任し、拠点はドイツにあるという場合、この要件は満たされるのでしょうか。DPOガイドラインによれば「DPOは、効率的に、データ主体と連絡できる立場にあり、かつ関連する監督当局と協力しなければならない。これは、関連する監督当局およびデータ主体によって使用されている言語または複数言語で連絡を行わなければならないことを意味している。」とされています。選任された日本に所在するDPOがドイツ語を話さないとすれば、関連するドイツの監督当局とドイツのデータ主体はDPOとドイツ語で連絡を取ることができず「各拠点から容易にアクセス」の要件を満たさない可能性があるということと考えられます。

(2)利益相反の回避義務

DPOは他の業務または義務を遂行することができるものの、管理者または処理者は、当該業務および義務が利益相反を招かない状況を確保しなければなりません(38条6項)。利益相反がないことは独立性を持って行動するという要件に密接に関連しています。DPOは他の機能を持つことは認められていますが、他の作業および義務が利益相反を引き起こさないという条件でのみこれらを任されることができます。これは特にDPOが組織の中で個人データの処理の目的および手段を決定するような地位に就けないことを意味しています。各組織の個別の組織構造により、ケースバイケースで検討されなければなりません。

DPOガイドラインは、大体の目安として、相反する地位には、経営陣(例えば、最高経営責任者、最高執行責任者、最高財務責任者、最高医療責任者、マーケティング部門長、人事部門長またはIT部門長など)が含まれることを明らかにしました。さらに、上記の地位よりも、組織構造の中でより低い役割であっても、そのような地位や役割が、処理の目的や手段を決定することにつながる場合も含まれるとしています。

DPOガイドラインは、DPOに利益相反がないことを確保するため、組織の活動、規模および構成によって管理者や処理者は次のことを行うのが良いプラクティスであるとしています。

  • DPOの機能と両立しない地位を特定する
  • 利益相反を避けるためにこの趣旨の内部規則を作成する
  • 利益相反に関するより一般的な説明を含める
  • 本要件の認知度を高める方法として、DPOはそのDPOとしての機能に関して利益相反がないことを宣言する
  • 組織の内部規則に保護措置を組み込み、利益相反を避けるためにDPOの地位に空きがあることの通知またはサービス契約が十分に正確で詳細に亘っていることを保証する
    (この観点からまた利益相反はDPOが内部より起用されたのか外部より雇用されたのかによって、様々な形態があり得ることも頭に入れておく必要がある)

DPOの選任にあたってのその他の留意事項

(1)サービス契約に基づくDPO

DPOの機能は、個人と、または管理者・処理者の組織外の組織と締結されたサービス契約に基づいて果たすこともできます。後者の場合は、DPOの機能を果たす組織の各メンバーがGDPR第37条第4項のすべての関連する要件を満たすこと(例えば、誰も利益相反がないこと)が不可欠であるとされています。各メンバーは、GDPRの条項により保護されることも同様に重要であるとされています(例えば、DPOの活動のサービス契約を不当に終了させないことに加え、DPOとしての業務を行う組織の個人メンバーを不当に解雇しない)。同時に、個々のスキルと特長を組み合わせることによりチーム体制で作業する複数の人がより効果的に顧客にサービスを提供することができると考えられます。

(2)DPOの選任義務がない場合の自主的なDPOの選任

DPOの選任義務がない場合には、自主的にDPOを選任することのインパクトについてよく認識した上で、DPOの選任を行う必要があります。すなわち、組織が自主的にDPOを選任する場合、選任が義務的である場合と同様に、選任、地位および任務には第37条から第39条の下での同じ要件が適用されることになるということです。本稿において繰り返し述べているDPOの人選を慎重に行う必要がある、という点は自主的にDPOを選任する場合にも、そのまま当てはまるということです。

また、DPOを自主的に選任することを望まず、DPOを選任することを法的に要求されていない組織であっても、個人データの保護に関連する任務に従事する職員、または外部コンサルタントを採用することが制限されるわけではありません。この場合、当該人物の肩書き、地位、役職、および任務に関して混乱がないことを確認することが重要です。すなわち、企業内ならびにデータ保護当局、データ主体および一般市民とのやり取りにおいて、個人またはコンサルタントの肩書きが「DPO」ではないことが明確にされなければなりません(たとえば、データ保護担当者という肩書の英語訳を「Data Protection Officer」とし社内の組織図上もそれを明らかにする、といったことがないようにする必要があります。)。
DPOを任意に選任したものと間違われないよう、GDPR上のDPOではないことを明確にする必要があります。

まとめ

DPOの選任義務については、1の通りDPOガイドラインを参照するとともに、企業または団体がEEA内に拠点を有する加盟国において加盟国法上DPOの選任が義務付けられるか否かについて検討を行う必要があります。その上で、選任義務がある管理者または処理者において、2のようなDPOの地位を与えるのにふさわしい適任者を選ぶ必要があります。DPOの人選を誤ると、管理者または処理者とDPOとの間で争いが生じ、DPOに保障される強力な地位との関係で、その争いが制裁金につながりかねないところにDPOの選択の難しさがあります。さらに、3の通り監督当局やデータ主体の言語によるDPOへの連絡を確保する必要がある関係で、欧州言語での対応が可能なDPOを選任することにもハードルがあります。また、利益相反の回避義務はIT部門長等をDPOの候補から除外しており、それがさらにDPOの人選を難しくします。

もっとも、DPOガイドラインは、管理者/処理者が、チームとしてのDPOを選任する余地を残していると考えられます。例えば、日本企業の本社においてDPOチームのヘッドを選任し、この方にDPOとしての実質的な機能・権限を与え、当該日本企業のEEA内の各拠点には、監督当局やデータ主体から現地の言語で連絡があったときに備え、「DPOチームの中の現地言語での連絡取次担当」という役割をあたえるDPOチームのメンバーを選任することで、DPOのチームとしては「各拠点からの容易なアクセス」を確保するといった方法が考えられます。こうすることで、企業とDPOチームとの間での紛争リスクを低くすることできる場合もありうるでしょう。ただし、管理者/処理者がサービス契約に基づかず管理者/処理者内部でチームとしてのDPOを選任することができるのかについては、DPOガイドラインが特に言及しておらず、サービス契約との関係でのみチームとしてのDPOを選任する方法に言及していることから、作業部会の立場は必ずしも明確ではありません。しかしながら、管理者/処理者内部でチームとしてのDPOを選任することも、サービス契約でチームとしてのDPOを選任する際の注意点としてDPOガイドラインが挙げている点を遵守すれば、許容されると解するべきでしょう。今後DPOガイドラインの修正版が公表される可能性がありますので、修正版の中で、この論点についての作業部会の立場が明確化されることが望まれます。もし、作業部会としての立場が明確化されないのであれば、管理者/処理者内部でチームとしてのDPOを選任する場合には、チームとしてのDPOが選任されると考えるに至った分析の過程を文書化しておき、将来的にデータ保護監督当局にDPOの選任について質問を受けたときに備えることが必要となるでしょう。

いずれにしても、DPOは、各企業・団体において、それぞれの個人データの処理の目的・手段等の状況を踏まえ、慎重に人選を行うことが重要な問題であると考えられます。

IIJではGDPRを始めとする世界各国のプライバシー保護規制対応支援するソリューションや、お客様のGDPR遵守対応をサポートするDPOのアウトソーシングサービスをご提供しています。
IIJプライバシー保護規制対応ソリューション
IIJ DPOアウトソーシングサービス

杉本 武重

S&K Brussels法律事務所 代表パートナー

弁護士(日本、ニューヨーク州、ブリュッセル(B-List))

2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。