日本の十分性認定が夏ごろまでに認められる見込みだというニュースが出ました。
日本の個人情報保護委員会が出している資料に今後の方針が書かれていますのでご参照ください。

なおこのブログは明日以降、5月7日までお休みしますのでよろしくお願いします。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
（このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。）

今日は3 Position of the DPO (DPOの地位)のうち、
3.1 Involvement of the DPO in all issues relating to the protection of personal data(個人データ保護に関係する問題すべてにDPOがかかわること)を見ていきます。

—
第38条には次の一文があります。
「（管理者、処理者は）DPOが個人データ保護に関係するあらゆる問題について、適切に、遅滞なくDPOを関与させること」

DPOとそのチームはできるだけ早い段階から個人データ保護に関する問題に関与していることがとても大切です。
その観点から、GDPRではDPIA（データ保護影響評価）にDPOが関与すること、管理者・処理者がDPIAを行うときにはDPOに相談することを明確に要求しています。
DPOと情報が共有され個人データ保護の最初のステージからDPOが関与していれば、GDPRに準拠した体制が整い設計段階からプライバシーを考慮すること(Privacy bu design)も可能となります。WP29としては、これを組織ガバナンスにおけるの標準プロセスとすることを強く推奨しています。

DPOは組織内のデータ保護状況を監督する存在となるため、「監査役」のような立場になりがちです。
しかし、意図するところは異なっています。

WP29によると、DPOは「組織内における議論の相手(discussion partner within the organisation)」であるべきですし、
DPOは組織内のデータ保護活動を行うワーキング・グループのメンバーであるべきです。

以上の考え方を踏まえると、DPOにはたとえば以下のような存在であることがよいでしょう。

可能であれば、管理者・処理者はデータ保護ガイドラインまたはデータ保護プログラムを作り、DPOに相談すべきケースとはどのようなケースかを明確化しておくことが望ましいでしょう。

DPOの上記の地位をみると、DPOを外注するのはややハードルが高いかもしれません。
外注先として考えうるのは弁護士事務所やデータ保護を専門としたコンサルティング会社がよいように感じられます。
（DPOの判断に「雑念」が入りにくい存在を選択するのが妥当ということです）

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
（このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。）

今日は2 Designation of a DPO (DPOの任命)のうち、
2.6 Publication and communication of the DPO’s contact details(DPOの連絡先の公表と伝達)を見ていきます。

—
第37条(7)では、DPOの連絡先を公表し監督機関に伝達するよう要求しています。
これは、データ主体や監督機関が他の部門を経ることなくDPOに連絡が取れるようにするためです。

DPOとのコミュニケーションにおいては機密性も重要な要素となります。
例えば、従業員の場合、DPOとのやり取りについて秘密が護られないのであればDPOに苦情を言うことができなくなるでしょう。
データ主体の自由と権利を護るためには、機密性保護、秘密保護は欠かせません。第38条にあるように、DPOは欧州法、各国法に準拠した秘密保護、機密保護の義務を負っています。

DPOの連絡先公表については、どこまで公表すべきか気になるところと思います。
WP29のガイドラインによれば、データ主体や監督機関が「容易に」接触できるものであるべきです。
具体的には、郵便の送付先住所、DPO直通の電話番号、DPO直通のe-mail addressが挙げられています。

その他、専用ホットライン、ウェブサイト上のDPO用連絡フォームなどを採用すことも場合によっては可能とされています。

DPOの名前の公表は義務付けられていません。
管理者、処理者、またはDPO自身が必要と判断した場合は公表するのがよいでしょう。
また、DPOは監督機関と組織の橋渡し役となるので、監督機関には名前を伝達しておくことが望ましいといえます。（第39条(1)(e)）
(監督機関、データ主体にデータ侵害の発生を連絡する際にはDPOの名前を伝えなければならないことに注意してください。（第33条(3)(b)）)

WP29は、good practiceの一環として従業員にDPOの名前と連絡先を伝達しておくことを推奨しています。
イントラネットや社内報、社内電話番号、組織図に記載しておくとよいでしょう。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
（このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。）

今日は2 Designation of a DPO (DPOの任命)のうち、
2.5 Expertise and skills of the DPO(DPOの専門性とスキル)ののこりの部分を見ていきます。

—
DPOは「サービス契約」という形で管理者・処理者の組織外の個人・組織に委託することができます。
特に、「組織」に委託する場合は、DPOの役割を果たす組織の各メンバーが第37条から第39条に記載された要件を満たすことが非常に重要となります。（例えば利害が対立する関係にないこと、等）

同時に、各メンバーはGDPRの条項によって護られていることも重要です。（DPOとしての活動にかかるサービス契約を不当に打ち切らないこと、DPOの仕事を行う組織内のメンバーを不当に解雇しないこと、等）

また、複数の個人がチームとして働き、それぞれの能力と強みを組み合わせることでサービスを提供するということはよりよいサービスを提供できる可能性がある、とWP29は考えています。

法律上の透明性、全体の統率の観点、チームメンバー間での利益の対立を防ぐという点から、DPOチーム内での仕事分担は明確に切り分けておくことが推奨されます。
また、主な窓口となる存在を一人決め、クライアントごとに「担当者」を一人アサインするとよいでしょう。

一般にこれらの内容はサービス契約で明確化しておくことが推奨されます。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
（このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。）

直前のお知らせで恐縮ですが、４月26日にIAPP東京チャプターでは「中国サイバーセキュリティ法とその対応」と題して無料勉強会を開催しております。
ご関心のある方はぜひご一報の上ご参加ください。

中国サイバーセキュリテイ法は、GDPR後次に話題になるデータ保護のトピックです。
私も今月末、中国で現地調査を行ってきます。

今日は2 Designation of a DPO (DPOの任命)のうち、
2.5 Expertise and skills of the DPO(DPOの専門性とスキル)の部分を見ていきます。

—
DPOの専門性とスキルについてはGDPRの第37条(5)で次のように述べられています。
「(DPO)は、データ保護法とその実践についての専門家としての知識、および第39条で述べられている職務を遂行することができる能力をもつものとする」
前文97では更に、実際に行われているデータ処理業務と処理されているデータの必要とする保護の度合いによって「専門家としての知識」のレベルは決まる、としています。

専門性のレベル(Level of expertise):
要求される専門性のレベルは、厳密には定義されていません。
その組織が処理しているデータがどの程度配慮の必要なものか（sensitivity）、複雑なものか(complexity)、どれくらい量のあるものか(amount of data)によって要求されるレベルは異なるでしょう。

たとえば、処理しているデータが特に複雑で、配慮が必要なデータ（いわゆる機微なデータ）で、かつ量が多いのであれば、DPOは高い専門性を備えているべきですし、高度なサポートを必要とするでしょう。

組織が個人データを定期的に欧州域外に移転しているか、欧州域外への移転はまれかによってもDPOに求められる専門性は異なります。
組織内に生じ得るデータ保護に関する問題の性質を十分考慮した上で、DPOの選任は注意深く行わなければなりません。

専門家としての能力(Professional qualities):
GDPRの第37条(5)には考慮すべき「専門家としての能力」については規定されていません。
しかし、加盟国データ保護法および欧州データ保護法とその実践について専門性を持ち、かつGDPRについての深い理解を備えている必要があります。

監督機関はその意味で、DPOに向けた適切で定期的なトレーニングを推進すべきでしょう。

管理者の行っているビジネス分野についての知識や管理者の属する組織についての知識があれば有用なものとなります。
そこで行われているデータ処理業務、使用されている情報システム、管理者のデータセキュリティやデータ保護の必要性についてもDPOは十分理解している必要があります。

公的機関の場合は、DPOは行政法や組織内の手続きについての知識も必要となります。

職務を遂行する能力(Ability to fulfil its tasks):
「職務を遂行する能力」については、DPOその人の人間性と知識だけでなく、組織内での地位も考慮しなければなりません。

DPOに求められる人間性の一例としては、「真摯さ(integrity)」と「高い職業倫理(high professional ethics)」とが挙げられます。DPOの第一の関心事項は「GDPRへの準拠」である必要があります。

DPOは組織内でデータ保護文化を醸成する中心的な役割を担い、データ処理の原則（GDPR 第2章）、データ主体の「権利」（GDPR第3章）、設計時におけるデータ保護および既定状態としてのデータ保護(data protection by design and by default)（GDPR第25条）、データ処理の記録（GDPR第30条）、処理を行う際のセキュリティ（GDPR第32条）、データ侵害発生時の通知とコミュニケーション(GDPR第33条およびGDPR34条)といった、GDPRの本質的な要素を実装する旗振り役となる存在です。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
（このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。）

先日はJETROの仕事で長野に伺いました。長野はわりと輸出している産業が多くあるようです。
ただ、欧州に輸出しているとなると数は少ないようでした。

GDPR対応も佳境に近づいているようで、主要な会社は続々と対応状況を公表し始めました。
こうやって少しずつ情報が出揃い始めると、GDPRへの準拠も大分負荷が減ってきますね。

今日は2 Designation of a DPO (DPOの任命)のうち、
2.3 Designation of a single DPO for several organisation(複数の組織に対してDPOを１人任命する場合)と2.4 Accessibility and localisation of the DPO(DPOのアクセス性とローカライゼーション)の部分を見ていきます。

—
GDPRの第37条(2)では複数の企業がDPOを一人だけ任命することができるとしています。
ただしこれには条件がついています。それは、DPOに「各事業所が容易にアクセス可能である」ことです。

DPOの職務のひとつは、管理者・処理者、従業員に対してGDPRに準拠した義務を履行するよう情報提供したりアドバイスをしたりすることです。
データ主体に対する窓口、監督機関に対する窓口、組織内の窓口という点からアクセスが容易に行えなければなりません。
その意味で、DPOの詳細な連絡先がGDPRの要求にしたがって公表されていることが重要です。

DPOは、データ主体と効率よくコミュニケーションでき、関係する監督機関と効率よく協調して働くことができる必要があります。
したがって、データ主体が使用する言語、関係する監督機関が使用する言語でやり取りを行わなければなりません。DPOとやり取り可能であるという状態が、データ主体がDPOに連絡取り得るということの本質です。

WP29は、DPOのアクセス性を担保するには管理者・処理者の事業所のEU域内有無にかかわらず、DPOをEUに置くことを推奨しています。
しかし、管理者・処理者の事業所がEU内に存在しない場合はDPOがEU域外に所在するほうがより効率的に機能する可能性を排除はしない、しています。
EU域内を推奨するが、現実的に難しい場合はEU域外も容認する、ということです。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
（このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。）

今日教えてもらったのですが、欧州ではDPOとして監督機関のOBが引く手あまたとのことです。
日本でもDPO人材不足が話題になる日が近いのではないかということです。

DPOとして仕事をするにはデータ保護の専門家としての素養が欠かせません。
Privacy Professionalのキャリアパスの一つとして定着するとよいと思っています。

今日は2 Designation of a DPO (DPOの任命)のうち、
2.2 DPO of the processor(処理者でDPOが任命必要になる場合)の部分を見ていきます。

—
GDPRの第37条は管理者、処理者ともに該当します。
管理者に任命義務があるからと、必ずしも処理者に任命義務があるとは限りません。
しかし、WP29としては管理者にDPOがいるのであれば処理者にDPOをおくのは推奨できる方法だといっています。

DPOの任命は、

– 管理者だけに任命義務がある場合、
– 処理者だけに任命義務がある場合、
– 管理者・処理者両方ともに任命義務がある場合

ということもありえます。

特に管理者・処理者ともにDPOを任命する場合は、両者が相互に協力することが大切となります。

処理者でDPOを任命するケースの例を二例あげます。

一つ目の例は以下です。

一つの町で家庭用品を販売している家族経営の会社があるとします。
この会社がウェブサイト運営を外注しており、外注先はウェブサイトの分析、行動ターゲティング広告、マーケティングを支援しているとします。
ここで例として取り上げている家族経営の会社の場合、顧客数や営業エリアを考えると、「大規模な」データ処理を伴わないと判断できます。

外注先、つまり処理者のほうは、どうでしょうか？
同様の家族経営の会社を顧客として数多く持っており併せると大規模なデータ処理をしていることになります。

したがって、処理者には37条1項(b)により、DPOの任命義務が生じます。
しかし、家族経営の会社にはDPOの任命義務は生じません。

二つ目の例は以下です。

中規模のタイル製造会社が外注業者に社内の職業保険サービスを委託しているとします。
その外注業者（処理者）には似たような顧客が複数いるものとします。

この場合、処理が大規模に行われているのであれば、処理者は第37条1項(c)によりDPOの任命義務が生じます。
一方で、中規模のタイル製造会社にはかならずしもDPOの任命義務は生じません。

処理者によって任命されたDPOは当然処理者の組織の活動も監督します。
処理者の組織が管理者として振舞う場合は管理者のDPOとして監督することになります。（人事やIT、物流等）

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
（このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。）

今日は2 Designation of a DPO (DPOの任命)のうち、
2.1 Mandatory designation(任命義務がある場合)の部分を見ていきます。

—
DPOの任命は、GDPR上、37条1項で規定されています。
これによると、以下の場合、DPOを任命しなければなりません。

a) where the processing is carried out by a public authority or body
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.

a) 公的機関、公的団体が処理を行う場合
b) 管理者または処理者の中心的な活動が、大規模、定期的かつ系統だててデータ主体を監視することにある場合
c) 管理者または処理者の中心的な活動が多数の特別カテゴリデータの処理又は多数の犯罪履歴・違反履歴に関する処理である場合
—
37条1項 b)にある【定期的かつ系統だった】とは具体的にはどのようなものでしょうか。
GDPRの前文24には「データ主体の行動監視」が取り上げられています。
それによると、行動ターゲティングマーケティング広告を含む、インターネット上でのトラッキングやプロファイリングをすべて含むと明言されています。
しかし、「監視」とはオンライン上のことのみではなく、上記の例はデータ主体の行動監視の一例として捕らえてください。

WP29の「定期的」についての解釈は以下のいずれか、もしくは組み合わせです。

「系統だった」についての解釈は以下のいずれか、もしくは組み合わせです。

例としては次のようなものが挙げられています。
テレコミュニケーション・ネットワークの運用をすること
テレコミュニケーション・サービスを提供すること
emailのリターゲティングを行うこと
データを活用したマーケティング活動
リスクアセスメントを目的としたプロファイリングやスコアリング（信用スコア、保険プレミアの設定、詐欺防止、資金洗浄の検出等）
たとえばモバイルアプリによる地理情報の追跡
ロイヤルティ・プログラム
行動ターゲティング広告
ウェアラブル・デバイスを通じて、健康・運動等の状態を監視すること
CCTV(監視カメラ)
スマート・メータ等のコネクティド・デバイス
ホーム・オートメーション

37条1項 c)の【特別カテゴリーのデータや犯罪履歴・違反に関するデータ】というは第9条、第10条の内容です。いずれかについて扱っている場合、と解釈してください。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。

今日も2 Designation of a DPO (DPOの任命)のうち、2.1 Mandatory designation(任命義務がある場合)の部分を見ていきます。

DPOの任命は、GDPR上、37条1項で規定されています。
これによると、以下の場合、DPOを任命しなければなりません。

a) where the processing is carried out by a public authority or body
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.

a) 公的機関、公的団体が処理を行う場合
b) 管理者または処理者の中心的な活動が、大規模、定期的かつ系統だててデータ主体を監視することにある場合
c) 管理者または処理者の中心的な活動が多数の特別カテゴリデータの処理又は多数の犯罪履歴・違反履歴に関する処理である場合

37条1項 b) c)には【中心的な活動】という言葉が出てきています。
GDPRの前文97には次のようにあります。
” the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities”
(管理者の中心的な活動とは、その主要な活動に関するもので、補助的な活動に関連して個人データを処理することは除く)

「中心的な活動」とは、管理者または処理者の目的を達するために必要な鍵となる活動を指します。
中心的な活動とは字義通り捕らえるわけではなく、大きな支点から理解しなければなりません。
例えば病院の中心的な活動は医療活動ですが、医療活動を行うためには健康データを処理する必要があります。
この場合病院の中心的な活動には健康データの処理が含まれると考えるべきです。したがって病院はDPOの任命義務があります。

ショッピングセンターや人が集まる場所の監視を行う民間警備会社があるとします。
この警備会社にとって中心的な活動は監視ですが、個人データの処理が不可避的に関わります。したがって、この警備会社もDPO任命義務があります。

他方、多くの企業は従業員への給与支払いやITサポートを行っていますが、これらは企業のメインビジネスをサポートするために必要な機能として提供されているものであり、通常企業の中心的な活動として捉えられません。

37条1項 b) c)の【大規模に】という言葉はどう解釈すべきでしょうか。
GDPR上には「大規模」についての定義はありませんが、前文91にヒントがあります。
「大規模」かどうかを定義する正確な数字というものはありません。将来的にはDPO任命義務が生じるケースについてのデータ数を公表することで一定の指標が定められる予定となっています。

WP29は、処理が大規模なものかどうかを考慮するには以下の点を考慮するように述べています。

大規模な処理の例としては以下のものが挙げられています。

大規模な処理と考えられない処理の例としては以下のものが挙げられています。

次回は37条1項b)中の【定期的かつ系統だった】の解釈を取り上げます。

引き続き、WP29のDPOのガイドライン(WP243 rev.01)を読んでいきます。
このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。

DPOは、今非常に関心が集まっているトピックのようです。
GDPRへの対応方法の記事でも書いたように、DPOまたはプライバシー・リーダーはGDPR対応の最初に選ぶのがよいものです。前回の繰り返しになりますが、DPOは中心的役割を果たします。

欧米のプライバシー・マネジメント・ソフトはすべて、「プライバシー・チーム」の活動を中心に組み立てられています。
DPOは、「プライバシー・チーム」の長となる存在でもあります。

（弊社でもプライバシー・マネジメント・ソフトや様々なツールを取扱っています。
ソフトではGDPR準拠に必要なテンプレート等も用意されていますので、ご要望があればご連絡ください。）

今日は2 Designation of a DPO (DPOの任命)のうち、2.1 Mandatory designation(任命義務がある場合)の部分を見ていきます。

DPOの任命は、GDPR上、37条1項で規定されています。
これによると、以下の場合、DPOを任命しなければなりません。

a) where the processing is carried out by a public authority or body
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.

a) 公的機関、公的団体が処理を行う場合
b) 管理者または処理者の中心的な活動が、大規模、定期的かつ系統だててデータ主体を監視することにある場合
c) 管理者または処理者の中心的な活動が多数の特別カテゴリデータの処理又は多数の犯罪履歴・違反履歴に関する処理である場合

DPOの任命が明らかに不要な場合を除き、DPOを任命すべきかどうか検討した内部資料を残しておくようWP29は推奨しています。
内部資料には、適切に考慮した結果DPO任命の要否が決定されたという内容を記載します。
こうした内部検討資料も説明責任を果たす上で必要な資料となります。

内部検討資料は一度作ったら終わりというわけではなく、37条1項に該当しそうな活動に取り組み始めたとき、もしくはそのようなサービスを提供し始めたときに再度実施する必要があります。

DPOを自発的に任命した場合は、37条から39条の内容が適用され、DPOの任命が義務のときと同等の立場としてDPOを処遇します。

DPOの任命義務がない場合、もしくはDPOを自発的に任命したくない場合、個人データ保護をタスクとしたスタッフや外部コンサルタントを雇うこともできます。
ただし、彼らはDPOではないため、その点は明確にしておいてください。

37条1項 a)中の【公的機関、団体】とはどのような存在なのでしょうか。

GDPR上には「公的機関、団体」についての定義がありません。
WP29は、各国法で公的とみなされるものであれば「公的機関、団体」に該当すると考えています。（DPOの任命が義務となる）

その他、加盟国の交通サービス、水道・電力サービス、道路インフラ、公共放送、公共住宅といったものの運営は、民営化されていても公的な任務となるため、データ主体は公的機関に対する立場と似た立場におかれることになります。他に選択肢がない状態で個人データを渡すこととなりますので、これらの機関は準公的機関と考えられ、DPOの任命を行うのがよいでしょう。

公的な性格を帯びた業務を取り扱う会社も、DPOの任命が好ましいでしょう。
（その場合、DPOは公的な性格を帯びた業務のみならず、すべての業務を見ることとなります）

少し長くなったので、続きは次回に。
次回は37条1項 b)中の【中心的な役割】、【大規模】の解釈の方法を取り上げます。

今日からしばらく、WP29のDPOのガイドライン(WP243 rev.01)を読んでいきます。

WP29のガイドラインはGDPRの解釈の指針となるものです。
GDPRについて調べる際は、まずこれから目を通すのがよいでしょう。

英語も平易なので、英語が苦手な方でも比較的わかりやすく書かれています。

DPOのガイドライン(WP243 rev.01)は、大きく４章から成る本文と、付録から構成されています。

1. Introduction(はじめに)の部分からはじめましょう。

最初に触れられているのは、GDPRは説明責任（アカウンタビリティ）を基礎としたフレームワークを提供しているということです。
何度も触れられていることですが、GDPRでは説明責任を果たせる体制づくりが重要です。

ガイドラインによると、DPOは、多くの組織にとってGDPRへの準拠体制を整える核心的役割を担います。
DPOは説明責任を果たすためのツール(DPIA（Data Protection Impact Assessmentデータ保護影響評価）、内部監査)を整備し、ステークスホルダ(監督機関、データ主体、組織内のビジネスユニット)間の介在者となる存在だからです。

（この点は以前の記事でも繰り返し指摘されていましたね。
監督機関は、DPOの説明能力に大きな期待を寄せている様子です。）

実はDPOという概念は新しいものではありません。
DPOはドイツをはじめ、いくつかの国では以前から取り入れられていました。

それが、GDPRになって初めて、（一定の要件下で）義務付けられました。

DPOは法律上護られた存在です。
データ漏洩が生じた場合、DPOが個人的に責任を負わされることはありません。
責任は、管理者または処理者が責任を負います。（GDPR 第24条(1)）

管理者や処理者はDPOがその職務を果たせるよう環境を整える必要があります。
DPOを指名後、DPOに独立性を保証しかつその任務を効果的に遂行できるようリソースを提供することが、管理者や処理者には義務付けられています。

企業に派遣されている公務員のような雰囲気がある存在です。
次回はDPOの任命が義務となる場合について説明をしていきます。