GDPRの施行日が近づくにつれ、「GDPRが施行される5月26日に何が起こるか」ということに関心が集まっています。
IAPPが毎年3月に行っているGlobal Privacy Summitでは、欧州の監督機関のトップがゲストスピーカーとして招待され、GDPR施行後の見通しについて話をしました。
今回はGDPRそのものではなく、GDPRに関する最新情報をお伝えします。
この記事はIAPPの以下の三つの記事をもとに書いています。もしよろしければ原文もお読みください。
New WP29 chair talks enforcement, role of the DPO
Falque-Pierrotin: We understand GDPR is a learning curve
What will happen on May 26? We asked Helen Dixon
今回登場するのは、次の三人です。
アンドレア・ジェリネック(Andrea Jelinek): Article 29 Working Partyの議長、オーストリアデータ保護当局 長官
イザベル・ファルク・ピエロタン(Isabelle Falque-Pierrotin):Article 29 Working Partyの前議長、現 CNIL(情報処理及び自由に関する国家委員会) 委員長
ヘレン・ディクソン(Helen Dixon)アイルランドデータ保護委員会 委員長
アンドレア・ジェリネックはGDPR施行後発足するEDPBの初代長官となる可能性が高いので、特に発言に注目が集まります。
アンドレア・ジェリネックによると、大切なのは監督機関と企業との対話です。DPO(データ保護責任者)はその対話の窓口となる存在なので、非常に重要な役割を担います。DPOは日常的に自社の主監督機関とコミュニケーションを密にとらなければなりません。「DPOはDPA(監督機関)にとって翻訳者のような存在だ」とアンドレア・ジェリネックはいいます。DPOは自社の取締役に何をすべきかを伝え、監督機関には情報提供を行う存在だからです。
アンドレア・ジェリネックによると監督機関としては、「主監督機関がDPOがどのような人で顔が思い浮かぶくらい知っていることが望ましい」と考えています。
また、「是正命令が生じたとしても、それはDPOの責任とならない」ともいっています。「是正命令が発せられるのは、マネジメントの問題であり、会社に対して発せられるものだ。DPOに対してではない。DPOは独立した存在でなければならない」というのが当局の立場です。
アンドレア・ジェリネックは監督機関同士の協力についても発言しています。GDPRではone-stop shopという仕組みが取り入れられるため、監督機関同士の協力が欠かせないからです。現状GDPRについては欧州各国法の整備自体も遅れており、この連携がうまくできるかどうかは見通しが立っていない状態です。アンドレア・ジェリネックが率いるオーストリアの監督機関では、GDPR施行後ハンガリー、ルクセンブルグの監督機関と共同して、one stop shopサービスのシミュレーションを行うことになっています。
企業でも同様にDPOがシミュレーションを実施するとよいでしょう。72時間以内の通知義務というのはなかなかハードルが高いからです。
アンドレア・ジェリネックは制裁金についても言及しています。ただし、彼女によるとこれは最終手段です。制裁金を決定するまでには多くの対話がなされます。丁寧なコミュニケーションが必要です。
CNILのイザベル・ファルク・ピエロタンは、「GDPRは学習段階にある」といっています。監督機関も、すべての企業が5月26日時点で完全に準備が整っているわけではないことを理解しているといっています。
“Even if you’re not finished [preparing for the GDPR] on the 25th,” Falque-Pierrotin said, “this is not a problem. This is a learning curve, and we will take into account, of course, that this is a learning curve.”
これは少し安心できる発言といえるでしょう。ただし、だからといって何もしないわけではありません。大切なのは「今日から」準備を始めることです。
当局は、現実的で、合理的(proportionate)であるべきだというのがイザベル・ファルク・ピエロタンの考えです。
同時に、「プライバシーの問題は法務のみの問題として取り扱ってはならない。会社全体の問題として考えなければならない。すべての会社内の階層で提起され、トップマネジメントの戦略的な決断として決定されなければならない」といいます。
アイルランドデータ保護委員会委員長のヘレン・ディクソンもDPAと企業との間の対話の重要性に触れています。DPOとなる人は、主監督機関を頻繁に訪れ良好な関係を築くことが重要となるでしょう。
ヘレン・ディクソンが特に強調するのは「説明責任」です。説明責任を果たせない場合に制裁金が課せられる可能性があることを示唆しています。
どのようなリスクを重点的に取り締まるのかという質問に対しては、「苦情が多いものから」と明快です。ヘレン・ディクソンは、72時間以内の通知がひとつの分水嶺となると見ています。ここで対応できない企業は、「個人データの濫用や個人データ保護の欠如を露呈するだろう」といいます。
同時に、「透明性」の原則が非常に重要であるとも述べています。現状のプライバシー・ノーティスでは「透明性」が十分担保されていないというのがヘレン・ディクソンの考えです。「X、Y、Zの目的で使用するかもしれない」という書き方は「透明性」に欠いた記載といいます。「過去に個人データをどのように使用して製品等の何を改善したのか記載する」ことが必要ではないかといっています。データ主体にとって、具体的な記載があることで「どこまでなら許容できる」ということを考えられるからです。
ヘレン・ディクソンはまた、主監督機関を定めることを強く勧めています。one-stop shopの制度を用いると、話し相手が一つの監督機関に限定されるからです。複数の監督機関と同時並行で話をしなければならなくなると、有事の場合、複雑なコミュニケーションによって大きな混乱が生まれる可能性があると指摘しています。
監督機関の話を聞くと、GDPR対応のポイントが浮かび上がります。現地の監督機関との対話、説明責任、そして透明性の原則が重要視されています。また、主監督機関の決定や、72時間以内の通知体制を整備することも重要です。
欧州はコミュニケーションを重視する社会です。正しい言葉で正しく説明することが重要となります。DPOは欧州や米国で選出するのが賢明かもしれません。