WP243 rev.01 – DPOのガイドラインを読む(その11)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

アンダーソン・毛利・友常法律事務所の中崎弁護士が「Q&Aで学ぶGDPRのリスクと対応策」という本を上梓されました。
中崎弁護士とはIAPPのTokyo Chapterの事務局でご一緒させていただいていますが、お人柄が伝わってくる内容です。

私もさっそく拝読しましたが、非常によくできた本です。少し勉強した人が読めば、ここに書かれていることを参考にするだけでGDPR対応ができるのではないかと思います。
ぜひ、お手にとってお読みください。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は3 Position of the DPO (DPOの地位)のうち、
3.2 Necessary resources(必要なリソース)を見ていきます。


組織はDPOをサポートすることを義務付けています。
GDPRの第38条(2)をみてみましょう。
「DPOの職務を執り行うこと、個人データおよび処理業務へのアクセス、DPOの専門知識を維持することに必要なリソースを提供すること」が要求されています。

具体的には以下の項目を特に検討する必要があります。

  • シニア・マネジメント(取締役レベル)によってDPO機能を支持すること
  • DPOがその職務を全うするために十分な時間を提供すること。(特に社内DPOが兼務となる場合や社外DPOが他の業務と兼業となる場合は重要となります。)DPOとしての業務が他の業務のために行えない状況が生まれてはなりません。フルタイムでDPOを設置するのであれば、業務のうちどの程度の時間をDPO業務に割り当てるかあらかじめ決定しておくのが好ましいでしょう。その他、DPO業務に必要な時間の設定、DPO業務内での適切な優先度付、DPOまたはDPOチームによる業務計画策定といったことも取り決めておくとよいでしょう。
  • 予算面、インフラ面(事務所、設備、備品)、必要であればスタッフ面での適切なサポートを提供すること
  • 組織内にその存在と機能を周知するためにDPOの任命を公式に伝達すること
  • DPOが本質的なサポート、インプット、情報を得られるように、必要に応じて人事部門、IT部門、セキュリティ部門といった他部門と連携可能であること
  • 継続的なトレーニングを受けられる環境を整えること。DPOはデータ保護の分野について最新情報を入手できる状態であるべきです。DPOはその専門レベルを継続的に向上しなければなりません。そのためデータ保護についてのコースやその他の専門性を高めるようなトレーニングに積極的に参加するとよいでしょう。
  • 組織のサイズや構造によってはDPOチーム(DPOとそのスタッフ)が必要となります。その場合、チーム内構造やチームメンバーの業務と責任範囲は明確に定めておくことが重要です。DPOの機能を外部委託する場合は、外部委託内でのクライアント窓口を選任し、その責任の下でDPO業務を効果的に実行可能な用体制としなければなりません。
  • 個人データの処理業務が複雑で、かつ取り扱いに注意を要するデータを多く扱っていればいるほどDPOは多くのリソースを必要とすることになります。
    執り行われているデータ処理の内容にしたがって適切なデータ保護機能の実装と、適切なリソースの配分を行わなければなりません。