WP243 rev.01 – DPOのガイドラインを読む(その14)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

このDPOのガイドラインもあと6回でおわりです。
この後はTransparencyのガイドライン、Consentのガイドラインを順に読んでいこうと思いますご参照いただければ幸いです。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は3 Position of the DPO (DPOの地位)のうち、
3.5 Conflict of interests”(利益相反)を見ていきます。


GDPRの第38条(6)ではDPOが兼務となることを許容しています。
ただし、これには条件がついていて、「そのような業務および責務が利益相反とならないこと」となっています。

利益相反とは英語で言うところのconflict of interestです。
「社員の親戚と取引をする」、「出来の悪い友人の息子を雇う」などが該当します。
ある行為が一方にとっては利益となることが、他方においては不利益となり得る場合、利益相反行為と呼ばれます。

DPOは独立した「機関」として社内で機能しなければならないので、利益相反があってはなりません。
DPOを兼務する場合は、DPO業務と兼務する業務の間に利益相反が生じ得ないものである必要があります。

したがって、都合のよい解釈を行ってしまう可能性があるため、「組織内で個人データの処理の目的と手段を決定する」こととなる地位にDPOがつくことはできません。
DPOが就き得る職務は組織ごとの事情に左右されるため、ケース・バイ・ケースで考えます。
実際的な目安としては、以下を参照ください。

  • CEO、COO、CFO、CMO、マーケティング部門長、HR部門長、IT部門長といったシニア・マネジメントは利益相反となり得る地位である
  • シニア・マネジメントに限らず、処理の目的と手段を決定する役割となるような地位・役職も利益相反となり得るものである
  • さらに、外部DPOの選任に当たっては、データ保護に関する問題が生じた際に管理者、処理者を代表して法廷に立つような存在をDPOとしてしまうと、利益相反となる可能性があります。

    組織の活動内容や規模、構造によって要件は変わりますが、DPO選出の際は以下を参考にするとよいでしょう。

  • DPOの機能と両立し得ない地位を特定する
  • 利益相反を回避するために参照できる内規を作成する
  • 利益相反についての概説を内規に含める
  • DPOの機能において、DPOには利益相反が生じていないことを宣言し、DPOが利益そう反してはいけないことを印象付ける
  • 組織内規則に安全策を含め、DPOの地位に空きができた場合の公募や外部DPOとのサービス契約では、利益相反を避けるために十分正確で詳細な説明を行う(利益相反はDPOを内部で設定しても外部で設定しても、さまざまな形で生じ得ます)