ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

GDPRに基づくData Protection Officer (DPO)まとめ

情報法 GDPR

Guidelines on Data Protection Officers ('DPOs')の自分なりのまとめです。

英文→

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

日本語訳→

https://www.ppc.go.jp/files/pdf/dpo_guideline.pdf

 ( 2016年12月13日に採択後、修正のうえ2017年4月5日に採択)

※以下()内は、Guidelines on Data Protection Officers ('DPOs')該当箇所。

GDPR日本語訳→

https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

  

DPOを置くメリット

  • DPOがアカウンタビリティの礎
  • DPOの選任が法令遵守を促進し、ひいては企業にとって競争上の優位になりうる
  • DPOは、GDPR遵守違反があった場合、自ら責任を負うわけではない。管理者または処理者の責任である(Introduction、4.1)。

DPOの役割

  • データ保護遵守、助言、監視、監督当局との連絡、本人への対応
  • DPOは業務に優先順位をつけ、より高いリスクを生じさせ得る問題に注力するように(GDPR39Ⅱ、4.4)
  • DPOは記録作成を担当することも多い(GDPR30Ⅰ・Ⅱの義務、4.5)
  • アカウンタビリティツール(データ保護影響評価の促進及び監査の実行又は促進など)の実施を通じた法令遵守促進のほか、DPOは関連利害関係者(例えば、監督当局、データ主体及び組織内の事業部門)の仲介者の役割
  • 監督当局や本人が使う言語又は複数言語で連絡できる必要あり(2.3)
  • DPOへちゃんとアクセス可能でなければならない。EU域外事業者についてはDPOがEU内でもEU外でも良い(2.4)

DPOに関してやるべきこと

-DPOの詳細な連絡先の公開、監督当局への詳細な連絡先の連絡(GDPR37Ⅶ、2.6)

--本人(データ主体、Data Subject)や監督当局(Supervisory Authorities)が他の部門を通さず、直接容易にDPOに接触できるようにする

--郵便用住所、専用電話番号及び/又はメールアドレスが必要

--可能なら、専用ホットライン、専用フォーム

--DPOの氏名の一般公表義務はない(バイネームの公表まではいらない)が、監督当局へは氏名を連絡すること。また組織内ではDPO氏名を明らかにした方がよい

-秘密保持義務

--従業員がDPOに苦情を訴えられるように

--EU加盟国であれば、EU法又は加盟国法に基づきDPOは守秘義務を負う(GDPR38Ⅴ)。日本国の場合はそのような法令はないと考えられるので、契約上守秘義務を負わせた方が良い(水町私見)。守秘義務といっても、組織を守るための守秘義務ではなく、データ保護に関する問題や通報者の安全を守るための守秘義務と言えるだろう(水町私見)。

-組織内のデータ保護問題に対する早い段階からのDPOの関与(3.1)

--DPOをsenior and middle management会議に定期的に参加するようにする必要

--データ保護に影響する決定を下す際に、DPOを列席させる必要。DPOが適切な助言をできるよう、DPOにあらゆる関連情報を適時渡す必要。

--DPOの意見を常に十分考慮する必要有。見解の相違がある場合、DPOの助言に従わない理由を文書化すべき。

--データ漏えいその他の事案が発生したときに、DPOに速やかに相談する必要有

--DPOに相談しなければならない時期等を記載したガイドラインを組織内で作成しても有益

-組織によるDPOの支援義務(GDPR38Ⅱ、3.2)

--senior management(例えば取締役会レベル)によるDPOに対する積極的なサポート

--DPOが任務を全うするための十分な時間を与える

--資金、インフラ(敷地、施設、設備)、人員(適宜)に関する適切な支援

--組織内でDPOの存在と職務を確実に周知

--組織内の他サービス(人事、法務、IT、セキュリティ等)から必要なサポートや情報等を得られるように

--DPO自身の継続的な研修

-DPOの独立性(GDPR38Ⅲ、3.3)

--DPO職務遂行に関し、DPOは指示を受けない。罰を受けない(昇進の否定、福利厚生の拒否、キャリア開発の妨害、実際に実施しなくてもよく警告でも罰である)。解雇されない。DPOは最高経営者レベルに対して直接報告しなければならない。もっともDPOが、GDPR39に基づく任務を超えて決定権を有するという意味ではないし、任務遂行以外の理由では合法的に解雇されうる。

-利益相反の禁止(GDPR38Ⅵ、3.5)

--DPOは組織内で個人データの取扱目的及び方法を決定することにつながる地位には就けない。幹部の地位(最高経営責任者最高執行責任者最高財務責任者、最高医務責任者、マーケティング部長、人事部長又はIT部長など)のほか、組織構造内でそれよりも低い地位でも、個人データの取扱目的及び方法を決定することにつながる地位には就けない。

--データ保護が絡む訴訟で、外部のDPOが事業者の代理を要請された場合にも、利益相反となる

--利益相反禁止のために以下のことを行うと良い

---DPOの役割と整合しない地位を特定する

---利益相反を避けるため、その趣旨の内規を作成する。

---to include a more general explanation about conflicts of interests利益相反に関するより一般的な説明を行う。

---DPOの職務に関して、DPOに利益相反はないと宣言する

---組織の内規に保護措置を取り入れ、利益相反を避けるためにDPOの地位の人材募集又は業務契約が十分厳密で、詳細なものであるように確実を期す

 

DPOの能力(GDPR37Ⅴ、前文97)

  • 専門知識の水準が、取り扱うデータの機密性・複雑性・量に見合うこと。また越境移転があるか否か、越境移転が常時か散発的かによっても、求められる水準は異なる(2.5)
  • 自国及び欧州データ保護法と実務の専門知識を有すること。GDPRに対する深い理解を持つことが必要(2.5)。監督当局がDPO向けの定期研修を促進すると有益
  • 事業分野や組織を知っていること。IT、データセキュリティ、データ保護の必要性を理解していること(2.5)
  • 誠実さや高い職業倫理感といった個人的資質も必要(2.5)
  • 社外の人や組織と業務契約を締結しDPOを依頼することも可だが、DPOチームにする場合は、DPOチーム内で任務の割り当てを明確に行い、主要窓口を明らかにすると良い(2.5)

DPO選任義務(GDPR37I)

-DPOを選任する義務がある場合はDPOを必ず置く。義務がない場合でも、置いた方が良いと推奨されている(Introduction)。DPO選任を義務づけられていないことが明白でない限り、関連要素が適切に考慮されたことを証明できるようにするため、DPOの選任の要否を決めるべく行われた内部分析を文書化する(2.1)。DPOを自主的に置いた場合でもGDPR37-39が適用(2.1)。DPOを設置しない場合、DPOと紛らわしい肩書は使わない(2.1)。

-各拠点から容易にアクセスできれば、企業グループが単一のDPOを設置してもよい(2.3)

-管理者・処理者のどちらに義務が生じるかによって、場合によっては管理者のみ又は処理者のみ、場合によっては管理者と処理者両方が、DPOを選任しなければならない(DPOは互いに協力すべき)(2.2)

--処理者から選任されたDPOは、処理者が管理者として取り扱うデータ(例えば、人事、IT等)についても監督すること

--処理者のみ設置義務がある例

---顧客数が少なく業務が比較的限定的である零細企業が、処理者のサービスを用いる場合で、処理者の中心的業務は、ウェブサイト分析サービスと、ターゲティング広告やマーケティングの支援の提供のとき。処理者はこの零細企業のような顧客を多数抱えており、合算すると、処理者の業務は、大規模な取扱いを実行。

---中規模のタイル製造企業が、職場の保険サービスを外部の処理者に外注し、処理者は同様の顧客を多数抱えて、取扱いが大規模の場合。

-DPOを選任する義務があるのは以下のいずれかに該当する場合

--(a) 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する(acting in their judicial capacity)場合を除く取扱い

--(b)管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合;又は、

--(c) 管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合。

 

-(a)の解説

--公的な機関及び又は団体は、国、地域、地方の機関を含むが、準拠する国内法に基づき、公法によって統轄される一定範囲の他の団体も含むのが通例。例えば、公的機関の情報の再利用に関する2003年11月17日の欧州議会及び理事会指令2003/98/ECの第2条(1)及び(2)における「公共団体」及び「公法により統轄される団体」の定義を参照(OJ L 345, 31.12.2003, p.90)。(2.1.1)

--たとえ義務がなくとも、WP29は、望ましい慣行として、公的任務を遂行する又は公的権限を行使する民間組織が、DPOを選任することを勧告する。かかるDPOの活動は、公的任務の実行や公務執行に無関係なもの(例えば従業員データベースの管理)も含め、実行されるすべての取扱作業を対象とする(2.1.1)。

-(b)の解説

--中心的業務GDPR第37条(1)(b)(c)及び前文第97項参照)は、管理者又は処理者の目標達成に必要な重要作業と考えることができる(2.1.2)。

--ただし、「中心的業務」は、データ取扱いが管理者又は処理者の業務の切り離せない部分を形成している業務を除外すると解すべきでない。例えば、病院の中心的業務は医療の提供である。しかし、病院が患者の健康記録などの健康データを取扱わずに、安全かつ効果的に医療を提供するのは不可能であろう。それゆえ、このようなデータの取扱いは病院の中心的業務の一つと見なすべきで、病院はDPOを選任しなければならない。別の例として、ある民間警備会社が多くの民間ショッピングセンターや公共の場の監視を行っている。監視はこの会社の中心的業務であり、個人データの取扱いと不可分に結びついている。それゆえ、この会社もDPOを選任しなければならない。

--一方、あらゆる組織が、従業員の給与支払いや標準的なITサポート業務などの一定の業務を行っている。これらは、組織の中心的業務又は主たる事業にとって、必要なサポート機能の例である。これらの業務は必要又は不可欠のものであっても、一般的には、中心的業務ではなく、副次的機能と見なされる。

--大規模GDPR第37条(1)(b)(c)及び前文第91項参照)か否かは、以下の要素を勘案する(2.1.3)

---関係するデータ主体の数――具体的な数字又は関連する人口の割合

---取扱われるデータの量及び/又は異なるデータ項目の範囲

---データ取扱業務の期間又は永続性

---取扱業務の地理的範囲

--大規模に当たる例

---病院の通常業務内の患者データの取扱い

---市の公共交通機関を利用する個人の移動データの取扱い(例:乗車カードによる追跡

---専門的な処理者が統計目的のため行う国際的なファーストフードチェーンにおける顧客のリアルタイムな地理位置情報の取扱い

---保険会社又は銀行の通常業務内の顧客データの取扱い

---検索エンジンによる行動ターゲティング広告のための個人データの取扱い

---電話又はインターネットのサービス事業者によるデータ(コンテンツ、通信量、位置)の取扱い

--大規模に当たらない例

---個々の医師による患者データの取扱い

---個々の弁護士による有罪判決及び犯罪に関連した個人データの取扱い

--定期的かつ体系的監視(「データ主体の行動の監視」は前文第24項参照)

---行動ターゲティング広告の目的を含め、インターネット上のあらゆる形の追跡及びプロファイリングは明確に含まれる。ただし、監視の概念はオンライン環境に限定されない。

---定期的とは次の1つ以上の意味を有する

----現在継続している又は一定期間内において一定の間隔で発生する

----決まった時期に繰り返し発生又は繰り返される

----常時又は周期的(periodically)に発生する

---体系的とは次の1つ以上の意味を有する

----システムに従って発生する

----予め決められている、組織立っている又は方法論に従っている

----データ収集の全体計画の一環として行われる

----戦略の一環として行われる

---例

----電気通信ネットワークの運営;電気通信サービスの提供;リターゲティングメール;データドリブンマーケティング活動;リスク評価目的のプロファイリングとスコアリング(例えば、クレジットスコアリング、保険料の確定、不正防止、マネーロンダリングの検知のため);位置追跡(例えばモバイルアプリによる);ロイヤルティプログラム;行動ターゲティング広告ウェアラブルバイスを通じた健康データの監視;閉回路テレビ(CCTV);例えばスマートメーター、スマートカー、ホームオートメーションなどの接続機器

-(c)の解説

--「管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合」とあるが、「及び」ではなく「又は」と読むべき(2.1.5)。つまり、こうなる→「管理者又は処理者の中心的業務が、第9条による特別な種類のデータ又は第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合」

--条文のミスか

 

GDPRのDPO関連条文

Section 4 Data protection officer 第4節 データ保護オフィサー

Article 37 Designation of the data protection officer 第37条 データ保護オフィサーの指名

1. The controller and the processor shall designate a data protection officer in any case where:

1. 管理者及び処理者は、以下の場合において、データ保護オフィサーを指名しなければならない:

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

(a) 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する(acting in their judicial capacity)場合を除く取扱い;

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

(b)管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合;又は、

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of datapursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.

(c) 管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

2. 企業グループは、データ保護オフィサーが各拠点から容易にアクセス可能な場合に限り、1名のデータ保護オフィサーを指名できる。

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

3. 管理者又は処理者が公的機関又は公的組織である場合、その組織上の構造及び規模を考慮に入れた上で、複数の公的機関又は公的組織に対して単一のデータ保護オフィサーを指名できる。

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

4. 第1項で定める場合以外においては、管理者若しくは処理者、又は、様々な種類の管理者若しくは処理者を代表する団体その他の組織は、データ保護オフィサーを指名することができ、又は、EU法又は加盟国の国内法によって要求される場合、データ保護オフィサーを指名しなければならない。そのデータ保護オフィサーは、そのような団体その他の組織を代表する管理者又は処理者のために行動できる。

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

5. データ保護オフィサーは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びに第39条で定める職務を充足するための能力に基づいて指定される。

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

6. データ保護オフィサーは、管理者又は処理者の職員とすることができ、又は、業務契約に基づいてその職務を果たすことができる。

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to thesupervisory authority.

7. 管理者又は処理者は、データ保護オフィサーの連絡先の詳細を公表し、かつ、監督機関に対し、それを連絡しなければならない。

 

Article 38 Position of the data protection officer

第38条 データ保護オフィサーの地位

1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.

1. 管理者及び処理者は、個人データの保護に関連する全ての問題に、適正かつ適時に、データ保護オフィサーが関与することを確保しなければならない。

2. The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.

2. 管理者及び処理者は、第39条で定める職務の遂行において、その職務を遂行し、個人データ及び取扱業務にアクセスするため、並びに、データ保護オフィサーの専門的な知識を維持するために必要となるリソースを提供することによって、データ保護オフィサーを支援しなければならない。

3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor.

3. 管理者及び処理者は、データ保護オフィサーが、その職務の遂行に関し、いかなる指示も受けないことを確保しなければならない。当該データ保護オフィサーは、当該データ保護オフィサーの職務の遂行に関して、管理者又は処理者から解任され、又は罰則を受けることがない。データ保護オフィサーは、管理者又は処理者の最高経営者レベルに対して直接報告しなければならない。

4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.

4. データ主体は、その個人データの取扱い及び本規則に基づくその権利の行使に関連する全ての問題に関し、データ保護オフィサーと連絡をとることができる。

5. The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law. 

5. データ保護オフィサーは、EU法又は加盟国の国内法に従い、データ保護オフィサーの職務の遂行と関係する秘密又は機密を厳守しなければならない。

6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.

6. データ保護オフィサーは、他の職務を遂行し、義務を履行することができる。管理者又は処理者は、そのような職務及び義務が利益相反とならないことを確保しなければならない。

 

Article 39 Tasks of the data protection officer

第39条 データ保護オフィサーの職務

1. The data protection officer shall have at least the following tasks:

1. データ保護オフィサーは、少なくとも、以下の職務を行わなければならない:

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

(a) 管理者又は処理者及び取扱いを行う従業者に対し、本規則及びそれ以外のEU若しくは加盟国のデータ保護条項による義務を通知し、かつ、助言すること;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

(b) 取扱業務に関与する職員の責任の割当て、意識向上及び訓練、並びに、関連する監査を含め、本規則の遵守、それ以外のEU又は加盟国の個人データ保護条項遵守、並びに、個人データ保護と関連する管理者又は処理者の保護方針の遵守を監視すること;

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

(c) 要請があった場合、第35条によるデータ保護影響評価に関して助言を提供し、その遂行を監視すること;

(d) to cooperate with the supervisory authority;

(d) 監督機関と協力すること;

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

(e) 取扱いと関連する問題に関し、監督機関の連絡先として行動すること。第36条に規定する事前協議、適切な場合、それ以外の関連事項について協議することを含む。

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

2. データ保護オフィサーは、その職務を遂行する際、取扱いの性質、範囲、過程及び目的を考慮に入れた上で、取扱業務と関係するリスクに関し、適正に注意を払う