データ保護体制の構築

GDPRの施行が一週間後に迫ってきました。
データ保護のコンサルタントとしては少し落ち着かない気分になります。

GDPR対応はまだ端緒についたところのようで、大企業中小企業問わずこの時期でも問い合わせが多くあります。
とにかくスタートすることが大切なので、議事録をつけるという簡単なことからでも行動に移していただければ幸いです。

日本は大丈夫ではという声も聞こえてきますが、対応しておくことを強く勧めています。
欧州では大企業であれば数千万円から一億円以上かけて各社対応しているといいます。彼らはそれだけコストアップしているわけです。
これは欧州企業にとっては業績に対してネガティブ要素として働きます。グローバルにビジネスが展開する中、欧州が自分たちだけネガティブになるように動くというのは考えられません。欧州は、GDPRを世界標準とし世界中の企業が同じ土俵にのるよう促すことでしょう。

実際GDPRは世界標準となりつつあります。
韓国、シンガポール、南米諸国は法をGDPRに近しい形に変えつつあります。

何がいいたいかというと、最終的にはグローバルでGDPRと同様の体制が求められるということです。

現状、日本企業の対応は「欧州データだけ」というスタンスが多いのが事実です。
しかし、「欧州データだけ」というのは逆に複雑な対応を迫られる場合もあります。

世界の潮流がGDPRに向かっているのであれば、社内全体のデータ保護体制をGDPRにあわせてしまうというのが長期的に見てもっともコストがかからない方法だと思います。

データマッピングのポイント

コンサルティングをしている中で感じるデータマッピングのポイントを書いておきます。
データマッピングはデータの棚卸しをするために行います。データ保護体制の基本となるのですが、なぜかまだ標準的な方法が定まっていないようです。

日本企業の場合、データマッピング作業は初めて行うことが多いものです。
そのため規模の大きな会社では作業が膨大となり、通常2、3ヶ月を要します。欧州の個人データを扱っている業務が少ない会社でも、書き出してみると意外とわかっていないことが出てくるものです。現状把握作業とは、得てしてそういうものかもしれません。

規模が大きくなることが見込まれる場合、はじめからソフトウェアを導入したほうがよいでしょう。
規模が大きいかどうかの目安は、年間に行うデータ保護影響評価(DPIA)を行う件数で判断したらよいといわれています。
年間DPIAを実施する件数が20件以下であるならばエクセルで管理したらよいでしょう。これを超えるのであればソフトを導入したらよいと思います。

有事の説明責任を考慮するとソフトは英語で使用することを薦めます。
また、北米、欧州には安価で完成度の高いソフトを作成しているソフトウェア会社が数多くあります。
デモンストレーションも受けられるため、ベンダーリストを入手してしっかりと調査をしていただければと思います。

データマッピングを行う場合、GDPR第30条の処理記録を意識して作ってください。
データマッピングが終わったとき、GDPR第30条の処理記録が完成していることが理想です。
作業をいかにシンプルにするかを考えてください。

データマッピングを行う際、かならずデータフローも同時に追うことになります。
データフローは直感的に理解できるよう整理できれば一番ですが、これは少し慣れが必要です。

マイクロソフト社のVISIOを用いてプロセスとそこで得られるデータ種、保管形態、セキュリティ体制を整理していく手法がよいかと思います。
フレームワークとしてはSIPOCを活用するのが整理しやすいと思います。

SIPOCとは6シグマという手法で用いるフレームワークで、データの供給者からどういうインプットがあり、データの受領者にどういうアウトプットが出て行くのか、一行ずつ書き出します。一人で書くのは難しいので、チームで一緒に書くのが良いでしょう。チームと話をしながら書くことで抜け漏れが防げます。

WP243 rev.01 – DPOのガイドラインを読む(その18:最終回)

DPOのガイドラインもようやく最終回です。
ほぼ全訳をしてきましたが、読者の方のお役に立てたところがあれば幸いです。

GDPRの隠れたリスクは第27条で規定されているrepresentativeです。DPOについての情報は割と出回っているのですが、こちらの情報は非常に少ないですね。
欧州域内での選任義務があるので忘れず対応なさってください。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.5 Role of the DPO in record-keeping(記録保持におけるDPOの役割)を見ていきます。


GDPR第30条(1)、(2)で規定される記録義務は、管理者、処理者が負うべき義務ですが、実際にはDPOが個人データのインベントリや処理業務の記録をもつことが多くあります。

(法律上は管理者、処理者は「その責任の下処理の記録をメンテナンスする」または「管理者のために行っている処理活動の種類すべての記録をメンテナンスすること」を要求されています。)

このようなDPOの実際上のあり方は、現行法や欧州機関に適用されるデータ保護法の下確立されたものです。

GDPR第39条(1)に示されているDPOの業務は最低限のものでしかありません。
管理者、処理者が処理業務の記録をメンテナンスする業務を、管理者、処理者の責任の下DPOに依頼することはまったく問題ありません。
この記録を用いることでDPOは管理者、処理者が適法に処理を行っているかを監視し、情報を提供したり助言を与えたりすることができます。

どのような形態をとるにせよ、GDPR第30条が求める処理記録のメンテナンスは、管理者、監督機関にとって、
必要なときにその組織が行っている全個人データ処理活動を概観することができるツールとなると考えるべきです。したがって第30条処理記録は、適法性の前提条件であり、効果的なアカウンタビリティの手法として欠かせないものといえます。

WP243 rev.01 – DPOのガイドラインを読む(その17)

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.3 Cooperating with the supervisory authority and acting as a contact point(監督機関との協同およびコンタクト先としての役割)4.4 Risk-based approach(リスク・ベースド・アプローチ)を見ていきます。


【監督機関との協同およびコンタクト先としての役割】
GDPR第39条(1)(d)、(e)には「監督機関に協力」し、「第36条で触れられている事前相談を含め、処理に関する問題および、それが適切であれば、その他のことがらについての監督機関のコンタクト先と」なる存在がDPOであると規定されています。

DPOはいわば「ファシリテータ」のような役柄です。
監督機関が第57条で規定された職務を行うに当たって、組織内文書や組織内情報にアクセスする際のファシリテータを行います。また、監督機関が第58条で規定された職務を行うに当たって、調査、修正、許可、助言を執行するファシリテータの役割も行います。

DPOはその職務について秘密保持義務を負いますが、DPOが監督機関に連絡をしたり助言を求めることは可能です。
GDPR第39条(1)(e)は、適切であれば、DPOが監督機関に相談することを可能としています。

【リスクベースドアプローチ】
GDPR第39条(2)には「その性質、範囲、文脈、および目的に鑑みて処理のリスクに十分注意を払っている」ことがDPOの職務の一つとして挙げられています。

DPOは「常識」に基づいて日常業務を行います。データ保護リスクの高い、「優先度の高い活動」に注力するのは自然な振る舞いです。
これはリスクがそれほど高くない処理業務についてGDPR適合性を無視してもよいという意味ではなく、まず優先度の高い活動から取り組む、という意味です。

どのような手法でDPIAを行うべきか、データ保護について内部監査、外部監査をどの分野について行わなければならないか、データ処理活動に責任を持つスタッフやマネジメント層に対してどのような内部トレーニングを提供すべきか、時間とリソースをどの処理業務に使うべきか、ということをアドバイスする際にも、このような選択的かつ現実的なアプローチをとること効果的な方法といえるでしょう。

WP243 rev.01 – DPOのガイドラインを読む(その16)

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.2 Role of the DPO in a data protection impact assessment(データ保護影響評価におけるDPOの役割)を見ていきます。


GDPR第35条(1)は管理者が必要な場合にデータ保護影響評価(DPIA)を行うことと定めています。
しかし、DPOはDPIAを補助する存在となりえます。「設計段階からデータ保護を織り込む」原則に従い、GDPR第35条(2)は管理者がDPIAを行う際、DPOに「助言を求めること」と特記しています。GDPR第39条(1)(c)ではDPOの職務として「DPIAについて、要求された場合助言を与え、第35条にしたがって執り行われていることを監視する」ことをあげています。

WP29は管理者はDPOに対して特に以下の場合助言を求めるよう推奨しています。

  • DPIAを実施すべきかどうか
  • DPIAを行う際にとるべき手法
  • DPIAを社内で行うか社外で外注すべきか
  • データ主体の権利と利益に対するリスクを低減するためにどのような保護策を採用すべきか(技術的、組織的手法を含めて)
  • データ保護影響評価が正しく執り行われているかどうか、およびその結論(処理を続けるべきかやどのような保護策を適用すべきか)がGDPRに適合しているか
  • 管理者がDPOの助言に同意できない場合、DPIA結果は書面でまとめ、DPOの助言がなぜ採用されなかったかを特に説明しなければなりません。

    WP29はさらに、特にDPIAを行ううえでのDPOの職務を管理者が明確に規定し、従業員やマネジメント層(およびその他のステークスホルダに対しても)に周知しておくことを推奨しています。

    WP243 rev.01 – DPOのガイドラインを読む(その15)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は4 Tasks of the DPO (DPOの職務)のうち、
    4.1 Monitoring compliance with the GDPR(GDPR準拠状況をモニターする)を見ていきます。


    DPOはGDPRへの準拠状況をモニターするよう定められています。(GDPR第39条(1)(b)
    また、前文97では「管理者、処理者が社内でのGDPR準拠状況をモニターする支援をしなければならない」とも書かれています。

    GDPRへの対応状況をモニターするために、DPOは以下のことを行うこととなるでしょう。

  • 処理活動を特定するために情報を収集すること
  • 処理活動を分析し、処理活動がGDPRに準拠していることを確認する
  • 管理者、処理者に情報を提供し、助言し、推奨対策を提示する
  • GDPRへの適合状況をモニターするというと不適合箇所に対してDPOが責任を負うと捕らえられそうですが、これは管理者の責任となります。
    GDPR第24条(1)に記載の通り、管理者は以下の義務を負います。

    「GDPRに適合した形で処理が行われていることを確実にし、示すことができるように適切な技術的、組織的手段を講じる」

    データ保護への準拠は会社としての責務であり、DPOだけの責務ではありません。

    WP243 rev.01 – DPOのガイドラインを読む(その14)

    このDPOのガイドラインもあと6回でおわりです。
    この後はTransparencyのガイドライン、Consentのガイドラインを順に読んでいこうと思いますご参照いただければ幸いです。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.5 Conflict of interests”(利益相反)を見ていきます。


    GDPRの第38条(6)ではDPOが兼務となることを許容しています。
    ただし、これには条件がついていて、「そのような業務および責務が利益相反とならないこと」となっています。

    利益相反とは英語で言うところのconflict of interestです。
    「社員の親戚と取引をする」、「出来の悪い友人の息子を雇う」などが該当します。
    ある行為が一方にとっては利益となることが、他方においては不利益となり得る場合、利益相反行為と呼ばれます。

    DPOは独立した「機関」として社内で機能しなければならないので、利益相反があってはなりません。
    DPOを兼務する場合は、DPO業務と兼務する業務の間に利益相反が生じ得ないものである必要があります。

    したがって、都合のよい解釈を行ってしまう可能性があるため、「組織内で個人データの処理の目的と手段を決定する」こととなる地位にDPOがつくことはできません。
    DPOが就き得る職務は組織ごとの事情に左右されるため、ケース・バイ・ケースで考えます。
    実際的な目安としては、以下を参照ください。

  • CEO、COO、CFO、CMO、マーケティング部門長、HR部門長、IT部門長といったシニア・マネジメントは利益相反となり得る地位である
  • シニア・マネジメントに限らず、処理の目的と手段を決定する役割となるような地位・役職も利益相反となり得るものである
  • さらに、外部DPOの選任に当たっては、データ保護に関する問題が生じた際に管理者、処理者を代表して法廷に立つような存在をDPOとしてしまうと、利益相反となる可能性があります。

    組織の活動内容や規模、構造によって要件は変わりますが、DPO選出の際は以下を参考にするとよいでしょう。

  • DPOの機能と両立し得ない地位を特定する
  • 利益相反を回避するために参照できる内規を作成する
  • 利益相反についての概説を内規に含める
  • DPOの機能において、DPOには利益相反が生じていないことを宣言し、DPOが利益そう反してはいけないことを印象付ける
  • 組織内規則に安全策を含め、DPOの地位に空きができた場合の公募や外部DPOとのサービス契約では、利益相反を避けるために十分正確で詳細な説明を行う(利益相反はDPOを内部で設定しても外部で設定しても、さまざまな形で生じ得ます)
  • WP243 rev.01 – DPOのガイドラインを読む(その13)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.4 Dismissal or penalty for performing DPO tasks”(DPOの業務に対する解雇処分またはペナルティー処分)を見ていきます。


    GDPRの第38条(3)には次のように書かれています。
    「管理者、処理者は(DPOが)行った職務に対して解雇処分またはペナルティー処分を行ってはならない」

    これは、DPOの独立性を担保するための条項の一つです。独立性を担保するためには適切な保護がされなければなりません。
    DPOとしての職務を執行した結果としてペナルティーをうけることをGDPRは禁止しています。

    例えば、DPOがある処理について「リスクが高い」と判断し、管理者、処理者に対してデータ保護影響評価を執り行うように助言したとします。
    管理者、処理者は「リスクが高い」と考えておらずDPOと意見が異なっていることがありえます。
    その場合、DPOが管理者、処理者の意に反する助言を与えたことによって解雇されるといったことはあってはならない、というのが本条項の意図です。

    ペナルティーには直接、間接を問わずさまざまなものが含まれます。
    次のようなものはペナルティーと考えられるものの一例です。

    昇進できなくなること。昇進が遅れること。キャリアを進めることを妨害すること。他の従業員が受けている手当て等を受けられなくなること。

    ペナルティーが実際に実施されたかどうかが問題ではなく、DPOの活動に関連して(意図に従わない場合)ペナルティーを受ける可能性があることを示唆するだけでもペナルティーとして理解されます。

    一方で、通常のマネジメント規則、各国の契約法、雇用契約法、犯罪法等、DPOの業務を行うことに関連しないことがらに関してDPOが違反したような場合には、
    DPOの解雇処置を妨げるものではありません。窃盗、身体的・心理的・性的ハラスメント等は当然許されるものではありません。

    本条項の意図を取り違えないようにご注意ください。
    DPOの地位が安定的であり不当な(unfair)な解雇等から護られていれば、DPOが独立して職務を行うことができる可能性が高まると考えるのは自然でしょう。
    WP29はこのことを期待しているということを忘れないようにしてください。

    WP243 rev.01 – DPOのガイドラインを読む(その12)

    中国のインターネット安全法(中国サイバーセキュリティ法)にそろそろ動きが出てきました。
    国家標準GB/T 35273-2017が2018年5月1日から施行されました。7月にはさらにいくつかのインターネット情報安全関連の資料が施行されるようです。
    GDPRに続いてモニターが必要な領域です。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.3 Instructions and “performing their duties and tasks in an independent manner”(指示についてと「独立してDPOの責務と業務の執行すること」)を見ていきます。


    DPOは組織の中で十分な独立性を保ちつつ業務を行える必要があります。
    GDPRの第38条(3)はDPOの独立性を保証しています。特に「業務の執行に当たってDPOは(管理者、処理者の)介入(指示)を一切受けない」状態を確実なものとするように求めています。前文97ではこれに加えて次のように述べています。
    「DPOが従業員であるかを問わず、DPOは独立した方法で責務と業務を執行する地位でなければならない。」

    これはつまり、GDPRの第39条で規定されているDPOの業務を行ううえで、達成すべきこと、対応状況をどのように調査するか、監督機関に相談すべきか、といった実務上の手法について指示されることがあってはならない、ということです。データ保護法についての特定の解釈を持つ等、データ保護法に関するある特定の立場をとるように指示されるということがあってもいけません。

    DPOは高い独立性を持った存在ですが、第39条に規定された業務を超えて意思決定を行う権限は持っていません。

    データ保護法の遵守は管理者、処理者の責任ですし、適法性を証明するのも彼らの責務です。
    GDPRに準拠しない決断やDPOのアドバイスと異なる決定を管理者、処理者が行った場合、DPOは役員レベルのスタッフに同意できない旨を直接伝えることができ、また、そのような決定を行った存在に対しても同様のことができます。第38条(3)で「管理者、処理者の役員レベルのスタッフに直接報告可能である」というのは、上記の目的のためです。

    直接報告可能であることによって、シニア・マネジメントはDPOの助言やDPOが何を推奨しているかについて認識可能となります。
    「DPOの活動についての年次報告」もシニア・マネジメントへ直接報告するケースの一例です。

    WP243 rev.01 – DPOのガイドラインを読む(その11)

    アンダーソン・毛利・友常法律事務所の中崎弁護士が「Q&Aで学ぶGDPRのリスクと対応策」という本を上梓されました。
    中崎弁護士とはIAPPのTokyo Chapterの事務局でご一緒させていただいていますが、お人柄が伝わってくる内容です。

    私もさっそく拝読しましたが、非常によくできた本です。少し勉強した人が読めば、ここに書かれていることを参考にするだけでGDPR対応ができるのではないかと思います。
    ぜひ、お手にとってお読みください。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.2 Necessary resources(必要なリソース)を見ていきます。


    組織はDPOをサポートすることを義務付けています。
    GDPRの第38条(2)をみてみましょう。
    「DPOの職務を執り行うこと、個人データおよび処理業務へのアクセス、DPOの専門知識を維持することに必要なリソースを提供すること」が要求されています。

    具体的には以下の項目を特に検討する必要があります。

  • シニア・マネジメント(取締役レベル)によってDPO機能を支持すること
  • DPOがその職務を全うするために十分な時間を提供すること。(特に社内DPOが兼務となる場合や社外DPOが他の業務と兼業となる場合は重要となります。)DPOとしての業務が他の業務のために行えない状況が生まれてはなりません。フルタイムでDPOを設置するのであれば、業務のうちどの程度の時間をDPO業務に割り当てるかあらかじめ決定しておくのが好ましいでしょう。その他、DPO業務に必要な時間の設定、DPO業務内での適切な優先度付、DPOまたはDPOチームによる業務計画策定といったことも取り決めておくとよいでしょう。
  • 予算面、インフラ面(事務所、設備、備品)、必要であればスタッフ面での適切なサポートを提供すること
  • 組織内にその存在と機能を周知するためにDPOの任命を公式に伝達すること
  • DPOが本質的なサポート、インプット、情報を得られるように、必要に応じて人事部門、IT部門、セキュリティ部門といった他部門と連携可能であること
  • 継続的なトレーニングを受けられる環境を整えること。DPOはデータ保護の分野について最新情報を入手できる状態であるべきです。DPOはその専門レベルを継続的に向上しなければなりません。そのためデータ保護についてのコースやその他の専門性を高めるようなトレーニングに積極的に参加するとよいでしょう。
  • 組織のサイズや構造によってはDPOチーム(DPOとそのスタッフ)が必要となります。その場合、チーム内構造やチームメンバーの業務と責任範囲は明確に定めておくことが重要です。DPOの機能を外部委託する場合は、外部委託内でのクライアント窓口を選任し、その責任の下でDPO業務を効果的に実行可能な用体制としなければなりません。
  • 個人データの処理業務が複雑で、かつ取り扱いに注意を要するデータを多く扱っていればいるほどDPOは多くのリソースを必要とすることになります。
    執り行われているデータ処理の内容にしたがって適切なデータ保護機能の実装と、適切なリソースの配分を行わなければなりません。