WP243 rev.01 – DPOのガイドラインを読む(その10)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

日本の十分性認定が夏ごろまでに認められる見込みだというニュースが出ました。
日本の個人情報保護委員会が出している資料に今後の方針が書かれていますのでご参照ください。

なおこのブログは明日以降、5月7日までお休みしますのでよろしくお願いします。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は3 Position of the DPO (DPOの地位)のうち、
3.1 Involvement of the DPO in all issues relating to the protection of personal data(個人データ保護に関係する問題すべてにDPOがかかわること)を見ていきます。


第38条には次の一文があります。
「(管理者、処理者は)DPOが個人データ保護に関係するあらゆる問題について、適切に、遅滞なくDPOを関与させること」

DPOとそのチームはできるだけ早い段階から個人データ保護に関する問題に関与していることがとても大切です。
その観点から、GDPRではDPIA(データ保護影響評価)にDPOが関与すること、管理者・処理者がDPIAを行うときにはDPOに相談することを明確に要求しています。
DPOと情報が共有され個人データ保護の最初のステージからDPOが関与していれば、GDPRに準拠した体制が整い設計段階からプライバシーを考慮すること(Privacy bu design)も可能となります。WP29としては、これを組織ガバナンスにおけるの標準プロセスとすることを強く推奨しています。

DPOは組織内のデータ保護状況を監督する存在となるため、「監査役」のような立場になりがちです。
しかし、意図するところは異なっています。

WP29によると、DPOは「組織内における議論の相手(discussion partner within the organisation)」であるべきですし、
DPOは組織内のデータ保護活動を行うワーキング・グループのメンバーであるべきです。

以上の考え方を踏まえると、DPOにはたとえば以下のような存在であることがよいでしょう。

  • シニア/ミドル・マネジメントとの会議に定期的に参加する
  • データ保護の実装について決定がなされるときにはDPOが立ち会っている(DPOは適切な助言が可能であるよう関連する情報を適切なタイミングで提供されている必要があります)
  • データ保護についての意見が十分に尊重される。意見の相違がある場合はDPOの助言に従わない理由を文書化することをWP29は推奨しています
  • データ侵害やその他の事故が発生したときには速やかに相談される
  • 可能であれば、管理者・処理者はデータ保護ガイドラインまたはデータ保護プログラムを作り、DPOに相談すべきケースとはどのようなケースかを明確化しておくことが望ましいでしょう。

    DPOの上記の地位をみると、DPOを外注するのはややハードルが高いかもしれません。
    外注先として考えうるのは弁護士事務所やデータ保護を専門としたコンサルティング会社がよいように感じられます。
    (DPOの判断に「雑念」が入りにくい存在を選択するのが妥当ということです)