WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)
直前のお知らせで恐縮ですが、4月26日にIAPP東京チャプターでは「中国サイバーセキュリティ法とその対応」と題して無料勉強会を開催しております。
ご関心のある方はぜひご一報の上ご参加ください。
中国サイバーセキュリテイ法は、GDPR後次に話題になるデータ保護のトピックです。
私も今月末、中国で現地調査を行ってきます。
今日は2 Designation of a DPO (DPOの任命)のうち、
2.5 Expertise and skills of the DPO(DPOの専門性とスキル)の部分を見ていきます。
—
DPOの専門性とスキルについてはGDPRの第37条(5)で次のように述べられています。
「(DPO)は、データ保護法とその実践についての専門家としての知識、および第39条で述べられている職務を遂行することができる能力をもつものとする」
前文97では更に、実際に行われているデータ処理業務と処理されているデータの必要とする保護の度合いによって「専門家としての知識」のレベルは決まる、としています。
専門性のレベル(Level of expertise):
要求される専門性のレベルは、厳密には定義されていません。
その組織が処理しているデータがどの程度配慮の必要なものか(sensitivity)、複雑なものか(complexity)、どれくらい量のあるものか(amount of data)によって要求されるレベルは異なるでしょう。
たとえば、処理しているデータが特に複雑で、配慮が必要なデータ(いわゆる機微なデータ)で、かつ量が多いのであれば、DPOは高い専門性を備えているべきですし、高度なサポートを必要とするでしょう。
組織が個人データを定期的に欧州域外に移転しているか、欧州域外への移転はまれかによってもDPOに求められる専門性は異なります。
組織内に生じ得るデータ保護に関する問題の性質を十分考慮した上で、DPOの選任は注意深く行わなければなりません。
専門家としての能力(Professional qualities):
GDPRの第37条(5)には考慮すべき「専門家としての能力」については規定されていません。
しかし、加盟国データ保護法および欧州データ保護法とその実践について専門性を持ち、かつGDPRについての深い理解を備えている必要があります。
監督機関はその意味で、DPOに向けた適切で定期的なトレーニングを推進すべきでしょう。
管理者の行っているビジネス分野についての知識や管理者の属する組織についての知識があれば有用なものとなります。
そこで行われているデータ処理業務、使用されている情報システム、管理者のデータセキュリティやデータ保護の必要性についてもDPOは十分理解している必要があります。
公的機関の場合は、DPOは行政法や組織内の手続きについての知識も必要となります。
職務を遂行する能力(Ability to fulfil its tasks):
「職務を遂行する能力」については、DPOその人の人間性と知識だけでなく、組織内での地位も考慮しなければなりません。
DPOに求められる人間性の一例としては、「真摯さ(integrity)」と「高い職業倫理(high professional ethics)」とが挙げられます。DPOの第一の関心事項は「GDPRへの準拠」である必要があります。
DPOは組織内でデータ保護文化を醸成する中心的な役割を担い、データ処理の原則(GDPR 第2章)、データ主体の「権利」(GDPR第3章)、設計時におけるデータ保護および既定状態としてのデータ保護(data protection by design and by default)(GDPR第25条)、データ処理の記録(GDPR第30条)、処理を行う際のセキュリティ(GDPR第32条)、データ侵害発生時の通知とコミュニケーション(GDPR第33条およびGDPR34条)といった、GDPRの本質的な要素を実装する旗振り役となる存在です。