GDPRとは
GDPR(General Data Protection Regulation)すなわち「一般データ保護規則」とは、2018年5月25日に発行した、EU域内における個人情報の取り扱いについて定めた規則です。EU域内の個人情報を域外に越境移転する場合においては、日本をはじめ他国に所在する事業者にも域外適用されます。日本の個人情報保護法に相当しますが、透明性原則、データポータビリティの権利、コントローラーとプロセッサーの概念など、日本法とは異なる規制もあり、また個人情報に関する本人同意の取得方法等に関し、より厳格な規制が施されています。本稿で検討するDPO(Data Protection Officer)についても同様です。
DPO(Data Protection Officer)とは
GDPRにおけるDPOとは、個人情報を取り扱う事業者における個人情報管理の責任者のことであり、EU域内の個人情報を取り扱う企業において、一定の要件に該当する場合には、DPOを設置の上、監督機関に届け出なければなりません。
DPOの職務
DPOの職責は、事業者の個人情報保護の全般に渡り、監督機関との窓口や、データ主体(個人情報の本人)からの苦情や権利行使に関する窓口を務めます。具体的には、上記の窓口業務の他、
個人情報保護に関する法令等について事業者に助言し、
法令遵守および事業者が策定した指針の履行状況について監視し、
データ保護影響評価(DPIA)に関する管理監督を行う
ことがDPOの職務となります(GDPR第39条*)。
*"Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) ". EUR-LEX. 2016/5/4. https://eur-lex.europa.eu/eli/reg/2016/679/oj
DPOの要件
こうした業務を適正に遂行するため、DPOは、法令等による守秘義務を負うとともに、個人情報保護に関する利益相反を生じる業務に関与してはならず、またその地位の安全と独立性を事業者により保証される必要があります。具体的には、
個人情報の取り扱いに関する全ての事項へのアクセスが保証され、
個人情報保護のため必要な資源、知識、データの提供を受けることができ、
個人情報保護に関して、独立して任務を遂行し、解雇その他の不利益処分を受けず、
DPOは事業者の最高の意思決定者に直接報告する
ことが確保されている必要があります(GDPR第38条)。
DPOの任命義務
上記のように、DPOは、第29条作業部会のワーキングペーパー(WP243)*の言葉を借りれば、個人情報の取り扱いに関する「the heart」すなわち「核心」となるものですが、事業者は、EU域内の個人情報を取り扱う場合やEUから個人情報を持ち出す場合において、全ての場合でDPOを選任するべき義務を負うものではなく、特定の場合にDPOの任命義務と監督機関への届出義務が発生します。ただし任命義務がない場合においてもDPOを任意に選任することは差し支えなく、上記作業部会もこうしたボランタリーアクションを推奨しています。
DPOを任命するべき場合
具体的には、事業者は、下記のいずれかに該当するときにDPOを任命し、監督機関に届け出なければなりません(GDPR第37条)。
処理が公的機関または団体によって実施される場合(ただし、司法的な立場で行動する裁判所を除く)
コントローラーまたはプロセッサーの中核的活動が、その性質、範囲および/または目的により、データの定期的かつ体系的な監視を大規模に必要とする処理業務で構成されている場合。
コントローラーまたはプロセッサーの中核的活動が、第9条に基づく特別カテゴリーのデータ、および第10条に言及する有罪判決および犯罪に関連する個人データの大規模な処理からなる場合。
なおここで「コントローラー」とは、個人情報を取り扱う事業者のことであり、「プロセッサー」とは、その事業者の委託を受けて個人情報を取り扱う第三者のことを指します。また「第9条に基づく特別カテゴリー」とは、いわゆる機微情報のことであり、思想信条や人種、病歴、犯罪歴、労働組合加入状況や性的指向に関する情報を言います。民間の事業者であれば、こうした機微情報を取り扱う場合と、「データの定期的かつ体系的な監視を大規模に必要とする処理業務」を行う場合に、DPOの選任が必要となります。
*"Guidelines on Data Protection Officers ('DPOs') (wp243rev.01)". EUROPIAN COMMISION. 2017/10/30. https://ec.europa.eu/newsroom/article29/items/612048/en
「定期的かつ体系的な監視を大規模に必要とする処理業務」とは
DPOの選任要件にある「定期的かつ体系的な監視を大規模に必要とする処理業務」という文言は、複雑で分かりにくい部分がありますが、典型的にはターゲティング広告やプロファイリングのように、特定の個人の行動履歴や属性に関する情報を収集し、その情報に基づいて分析・予測を行うような業務を指します。上記第29条作業部会のワーキングペーパー(WP243)によれば、こうした業務の具体例として、
電気通信ネットワークの運営
電気通信サービスの提供
メールリターゲティング
データに基づくマーケティング活動
リスク評価のためのプロファイリングとスコアリング(例:信用スコアリング、保険料設定、不正防止、マネーロンダリングの検出など)
位置追跡(例:モバイルアプリによる追跡)
ロイヤルティプログラム
行動ターゲティング広告
ウェアラブルデバイスを通じたウェルネス、フィットネス、および健康データのモニタリング
閉回路テレビ
スマートメーター、スマートカー、ホームオートメーションなどの接続デバイス
が挙げられています。これらの具体例に該当しない場合でも、「定期的かつ体系的な監視を大規模に必要とする処理業務」に当たる場合は、DPOの選任が必要となります。なお人事評価や勤怠管理のような雇用管理業務もこうした業務に該当しますが、雇用管理は一般にメインの業務のための付随業務であり、「中核的業務」ではないため除外されます。
DPOの監督機関への届出
GDPRのEUにおける執行機関は、欧州委員会ですが、DPOの届出に関しては、現段階(2023/5)では、統一的な窓口というものはなく、個人情報を収集する国ごとに、当該国の監督機関に対して届出が必要となります。たとえば、ドイツから個人情報を越境移転する場合には、欧州委員会ではなく、ドイツの監督機関に対して届出を行うこととなります。
メル行政書士事務所では、GDPR対応のためのアドバイザリーを行っています。
GDPR対応に関してお悩みの際は、お気軽にご相談ください。