WP243 rev.01 – DPOのガイドラインを読む(その17)

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.3 Cooperating with the supervisory authority and acting as a contact point(監督機関との協同およびコンタクト先としての役割)4.4 Risk-based approach(リスク・ベースド・アプローチ)を見ていきます。


【監督機関との協同およびコンタクト先としての役割】
GDPR第39条(1)(d)、(e)には「監督機関に協力」し、「第36条で触れられている事前相談を含め、処理に関する問題および、それが適切であれば、その他のことがらについての監督機関のコンタクト先と」なる存在がDPOであると規定されています。

DPOはいわば「ファシリテータ」のような役柄です。
監督機関が第57条で規定された職務を行うに当たって、組織内文書や組織内情報にアクセスする際のファシリテータを行います。また、監督機関が第58条で規定された職務を行うに当たって、調査、修正、許可、助言を執行するファシリテータの役割も行います。

DPOはその職務について秘密保持義務を負いますが、DPOが監督機関に連絡をしたり助言を求めることは可能です。
GDPR第39条(1)(e)は、適切であれば、DPOが監督機関に相談することを可能としています。

【リスクベースドアプローチ】
GDPR第39条(2)には「その性質、範囲、文脈、および目的に鑑みて処理のリスクに十分注意を払っている」ことがDPOの職務の一つとして挙げられています。

DPOは「常識」に基づいて日常業務を行います。データ保護リスクの高い、「優先度の高い活動」に注力するのは自然な振る舞いです。
これはリスクがそれほど高くない処理業務についてGDPR適合性を無視してもよいという意味ではなく、まず優先度の高い活動から取り組む、という意味です。

どのような手法でDPIAを行うべきか、データ保護について内部監査、外部監査をどの分野について行わなければならないか、データ処理活動に責任を持つスタッフやマネジメント層に対してどのような内部トレーニングを提供すべきか、時間とリソースをどの処理業務に使うべきか、ということをアドバイスする際にも、このような選択的かつ現実的なアプローチをとること効果的な方法といえるでしょう。

WP243 rev.01 – DPOのガイドラインを読む(その16)

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.2 Role of the DPO in a data protection impact assessment(データ保護影響評価におけるDPOの役割)を見ていきます。


GDPR第35条(1)は管理者が必要な場合にデータ保護影響評価(DPIA)を行うことと定めています。
しかし、DPOはDPIAを補助する存在となりえます。「設計段階からデータ保護を織り込む」原則に従い、GDPR第35条(2)は管理者がDPIAを行う際、DPOに「助言を求めること」と特記しています。GDPR第39条(1)(c)ではDPOの職務として「DPIAについて、要求された場合助言を与え、第35条にしたがって執り行われていることを監視する」ことをあげています。

WP29は管理者はDPOに対して特に以下の場合助言を求めるよう推奨しています。

  • DPIAを実施すべきかどうか
  • DPIAを行う際にとるべき手法
  • DPIAを社内で行うか社外で外注すべきか
  • データ主体の権利と利益に対するリスクを低減するためにどのような保護策を採用すべきか(技術的、組織的手法を含めて)
  • データ保護影響評価が正しく執り行われているかどうか、およびその結論(処理を続けるべきかやどのような保護策を適用すべきか)がGDPRに適合しているか
  • 管理者がDPOの助言に同意できない場合、DPIA結果は書面でまとめ、DPOの助言がなぜ採用されなかったかを特に説明しなければなりません。

    WP29はさらに、特にDPIAを行ううえでのDPOの職務を管理者が明確に規定し、従業員やマネジメント層(およびその他のステークスホルダに対しても)に周知しておくことを推奨しています。

    WP243 rev.01 – DPOのガイドラインを読む(その15)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は4 Tasks of the DPO (DPOの職務)のうち、
    4.1 Monitoring compliance with the GDPR(GDPR準拠状況をモニターする)を見ていきます。


    DPOはGDPRへの準拠状況をモニターするよう定められています。(GDPR第39条(1)(b)
    また、前文97では「管理者、処理者が社内でのGDPR準拠状況をモニターする支援をしなければならない」とも書かれています。

    GDPRへの対応状況をモニターするために、DPOは以下のことを行うこととなるでしょう。

  • 処理活動を特定するために情報を収集すること
  • 処理活動を分析し、処理活動がGDPRに準拠していることを確認する
  • 管理者、処理者に情報を提供し、助言し、推奨対策を提示する
  • GDPRへの適合状況をモニターするというと不適合箇所に対してDPOが責任を負うと捕らえられそうですが、これは管理者の責任となります。
    GDPR第24条(1)に記載の通り、管理者は以下の義務を負います。

    「GDPRに適合した形で処理が行われていることを確実にし、示すことができるように適切な技術的、組織的手段を講じる」

    データ保護への準拠は会社としての責務であり、DPOだけの責務ではありません。

    WP243 rev.01 – DPOのガイドラインを読む(その14)

    このDPOのガイドラインもあと6回でおわりです。
    この後はTransparencyのガイドライン、Consentのガイドラインを順に読んでいこうと思いますご参照いただければ幸いです。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.5 Conflict of interests”(利益相反)を見ていきます。


    GDPRの第38条(6)ではDPOが兼務となることを許容しています。
    ただし、これには条件がついていて、「そのような業務および責務が利益相反とならないこと」となっています。

    利益相反とは英語で言うところのconflict of interestです。
    「社員の親戚と取引をする」、「出来の悪い友人の息子を雇う」などが該当します。
    ある行為が一方にとっては利益となることが、他方においては不利益となり得る場合、利益相反行為と呼ばれます。

    DPOは独立した「機関」として社内で機能しなければならないので、利益相反があってはなりません。
    DPOを兼務する場合は、DPO業務と兼務する業務の間に利益相反が生じ得ないものである必要があります。

    したがって、都合のよい解釈を行ってしまう可能性があるため、「組織内で個人データの処理の目的と手段を決定する」こととなる地位にDPOがつくことはできません。
    DPOが就き得る職務は組織ごとの事情に左右されるため、ケース・バイ・ケースで考えます。
    実際的な目安としては、以下を参照ください。

  • CEO、COO、CFO、CMO、マーケティング部門長、HR部門長、IT部門長といったシニア・マネジメントは利益相反となり得る地位である
  • シニア・マネジメントに限らず、処理の目的と手段を決定する役割となるような地位・役職も利益相反となり得るものである
  • さらに、外部DPOの選任に当たっては、データ保護に関する問題が生じた際に管理者、処理者を代表して法廷に立つような存在をDPOとしてしまうと、利益相反となる可能性があります。

    組織の活動内容や規模、構造によって要件は変わりますが、DPO選出の際は以下を参考にするとよいでしょう。

  • DPOの機能と両立し得ない地位を特定する
  • 利益相反を回避するために参照できる内規を作成する
  • 利益相反についての概説を内規に含める
  • DPOの機能において、DPOには利益相反が生じていないことを宣言し、DPOが利益そう反してはいけないことを印象付ける
  • 組織内規則に安全策を含め、DPOの地位に空きができた場合の公募や外部DPOとのサービス契約では、利益相反を避けるために十分正確で詳細な説明を行う(利益相反はDPOを内部で設定しても外部で設定しても、さまざまな形で生じ得ます)
  • WP243 rev.01 – DPOのガイドラインを読む(その13)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.4 Dismissal or penalty for performing DPO tasks”(DPOの業務に対する解雇処分またはペナルティー処分)を見ていきます。


    GDPRの第38条(3)には次のように書かれています。
    「管理者、処理者は(DPOが)行った職務に対して解雇処分またはペナルティー処分を行ってはならない」

    これは、DPOの独立性を担保するための条項の一つです。独立性を担保するためには適切な保護がされなければなりません。
    DPOとしての職務を執行した結果としてペナルティーをうけることをGDPRは禁止しています。

    例えば、DPOがある処理について「リスクが高い」と判断し、管理者、処理者に対してデータ保護影響評価を執り行うように助言したとします。
    管理者、処理者は「リスクが高い」と考えておらずDPOと意見が異なっていることがありえます。
    その場合、DPOが管理者、処理者の意に反する助言を与えたことによって解雇されるといったことはあってはならない、というのが本条項の意図です。

    ペナルティーには直接、間接を問わずさまざまなものが含まれます。
    次のようなものはペナルティーと考えられるものの一例です。

    昇進できなくなること。昇進が遅れること。キャリアを進めることを妨害すること。他の従業員が受けている手当て等を受けられなくなること。

    ペナルティーが実際に実施されたかどうかが問題ではなく、DPOの活動に関連して(意図に従わない場合)ペナルティーを受ける可能性があることを示唆するだけでもペナルティーとして理解されます。

    一方で、通常のマネジメント規則、各国の契約法、雇用契約法、犯罪法等、DPOの業務を行うことに関連しないことがらに関してDPOが違反したような場合には、
    DPOの解雇処置を妨げるものではありません。窃盗、身体的・心理的・性的ハラスメント等は当然許されるものではありません。

    本条項の意図を取り違えないようにご注意ください。
    DPOの地位が安定的であり不当な(unfair)な解雇等から護られていれば、DPOが独立して職務を行うことができる可能性が高まると考えるのは自然でしょう。
    WP29はこのことを期待しているということを忘れないようにしてください。

    WP243 rev.01 – DPOのガイドラインを読む(その12)

    中国のインターネット安全法(中国サイバーセキュリティ法)にそろそろ動きが出てきました。
    国家標準GB/T 35273-2017が2018年5月1日から施行されました。7月にはさらにいくつかのインターネット情報安全関連の資料が施行されるようです。
    GDPRに続いてモニターが必要な領域です。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.3 Instructions and “performing their duties and tasks in an independent manner”(指示についてと「独立してDPOの責務と業務の執行すること」)を見ていきます。


    DPOは組織の中で十分な独立性を保ちつつ業務を行える必要があります。
    GDPRの第38条(3)はDPOの独立性を保証しています。特に「業務の執行に当たってDPOは(管理者、処理者の)介入(指示)を一切受けない」状態を確実なものとするように求めています。前文97ではこれに加えて次のように述べています。
    「DPOが従業員であるかを問わず、DPOは独立した方法で責務と業務を執行する地位でなければならない。」

    これはつまり、GDPRの第39条で規定されているDPOの業務を行ううえで、達成すべきこと、対応状況をどのように調査するか、監督機関に相談すべきか、といった実務上の手法について指示されることがあってはならない、ということです。データ保護法についての特定の解釈を持つ等、データ保護法に関するある特定の立場をとるように指示されるということがあってもいけません。

    DPOは高い独立性を持った存在ですが、第39条に規定された業務を超えて意思決定を行う権限は持っていません。

    データ保護法の遵守は管理者、処理者の責任ですし、適法性を証明するのも彼らの責務です。
    GDPRに準拠しない決断やDPOのアドバイスと異なる決定を管理者、処理者が行った場合、DPOは役員レベルのスタッフに同意できない旨を直接伝えることができ、また、そのような決定を行った存在に対しても同様のことができます。第38条(3)で「管理者、処理者の役員レベルのスタッフに直接報告可能である」というのは、上記の目的のためです。

    直接報告可能であることによって、シニア・マネジメントはDPOの助言やDPOが何を推奨しているかについて認識可能となります。
    「DPOの活動についての年次報告」もシニア・マネジメントへ直接報告するケースの一例です。

    WP243 rev.01 – DPOのガイドラインを読む(その11)

    アンダーソン・毛利・友常法律事務所の中崎弁護士が「Q&Aで学ぶGDPRのリスクと対応策」という本を上梓されました。
    中崎弁護士とはIAPPのTokyo Chapterの事務局でご一緒させていただいていますが、お人柄が伝わってくる内容です。

    私もさっそく拝読しましたが、非常によくできた本です。少し勉強した人が読めば、ここに書かれていることを参考にするだけでGDPR対応ができるのではないかと思います。
    ぜひ、お手にとってお読みください。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.2 Necessary resources(必要なリソース)を見ていきます。


    組織はDPOをサポートすることを義務付けています。
    GDPRの第38条(2)をみてみましょう。
    「DPOの職務を執り行うこと、個人データおよび処理業務へのアクセス、DPOの専門知識を維持することに必要なリソースを提供すること」が要求されています。

    具体的には以下の項目を特に検討する必要があります。

  • シニア・マネジメント(取締役レベル)によってDPO機能を支持すること
  • DPOがその職務を全うするために十分な時間を提供すること。(特に社内DPOが兼務となる場合や社外DPOが他の業務と兼業となる場合は重要となります。)DPOとしての業務が他の業務のために行えない状況が生まれてはなりません。フルタイムでDPOを設置するのであれば、業務のうちどの程度の時間をDPO業務に割り当てるかあらかじめ決定しておくのが好ましいでしょう。その他、DPO業務に必要な時間の設定、DPO業務内での適切な優先度付、DPOまたはDPOチームによる業務計画策定といったことも取り決めておくとよいでしょう。
  • 予算面、インフラ面(事務所、設備、備品)、必要であればスタッフ面での適切なサポートを提供すること
  • 組織内にその存在と機能を周知するためにDPOの任命を公式に伝達すること
  • DPOが本質的なサポート、インプット、情報を得られるように、必要に応じて人事部門、IT部門、セキュリティ部門といった他部門と連携可能であること
  • 継続的なトレーニングを受けられる環境を整えること。DPOはデータ保護の分野について最新情報を入手できる状態であるべきです。DPOはその専門レベルを継続的に向上しなければなりません。そのためデータ保護についてのコースやその他の専門性を高めるようなトレーニングに積極的に参加するとよいでしょう。
  • 組織のサイズや構造によってはDPOチーム(DPOとそのスタッフ)が必要となります。その場合、チーム内構造やチームメンバーの業務と責任範囲は明確に定めておくことが重要です。DPOの機能を外部委託する場合は、外部委託内でのクライアント窓口を選任し、その責任の下でDPO業務を効果的に実行可能な用体制としなければなりません。
  • 個人データの処理業務が複雑で、かつ取り扱いに注意を要するデータを多く扱っていればいるほどDPOは多くのリソースを必要とすることになります。
    執り行われているデータ処理の内容にしたがって適切なデータ保護機能の実装と、適切なリソースの配分を行わなければなりません。

    WP243 rev.01 – DPOのガイドラインを読む(その10)

    日本の十分性認定が夏ごろまでに認められる見込みだというニュースが出ました。
    日本の個人情報保護委員会が出している資料に今後の方針が書かれていますのでご参照ください。

    なおこのブログは明日以降、5月7日までお休みしますのでよろしくお願いします。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.1 Involvement of the DPO in all issues relating to the protection of personal data(個人データ保護に関係する問題すべてにDPOがかかわること)を見ていきます。


    第38条には次の一文があります。
    「(管理者、処理者は)DPOが個人データ保護に関係するあらゆる問題について、適切に、遅滞なくDPOを関与させること」

    DPOとそのチームはできるだけ早い段階から個人データ保護に関する問題に関与していることがとても大切です。
    その観点から、GDPRではDPIA(データ保護影響評価)にDPOが関与すること、管理者・処理者がDPIAを行うときにはDPOに相談することを明確に要求しています。
    DPOと情報が共有され個人データ保護の最初のステージからDPOが関与していれば、GDPRに準拠した体制が整い設計段階からプライバシーを考慮すること(Privacy bu design)も可能となります。WP29としては、これを組織ガバナンスにおけるの標準プロセスとすることを強く推奨しています。

    DPOは組織内のデータ保護状況を監督する存在となるため、「監査役」のような立場になりがちです。
    しかし、意図するところは異なっています。

    WP29によると、DPOは「組織内における議論の相手(discussion partner within the organisation)」であるべきですし、
    DPOは組織内のデータ保護活動を行うワーキング・グループのメンバーであるべきです。

    以上の考え方を踏まえると、DPOにはたとえば以下のような存在であることがよいでしょう。

  • シニア/ミドル・マネジメントとの会議に定期的に参加する
  • データ保護の実装について決定がなされるときにはDPOが立ち会っている(DPOは適切な助言が可能であるよう関連する情報を適切なタイミングで提供されている必要があります)
  • データ保護についての意見が十分に尊重される。意見の相違がある場合はDPOの助言に従わない理由を文書化することをWP29は推奨しています
  • データ侵害やその他の事故が発生したときには速やかに相談される
  • 可能であれば、管理者・処理者はデータ保護ガイドラインまたはデータ保護プログラムを作り、DPOに相談すべきケースとはどのようなケースかを明確化しておくことが望ましいでしょう。

    DPOの上記の地位をみると、DPOを外注するのはややハードルが高いかもしれません。
    外注先として考えうるのは弁護士事務所やデータ保護を専門としたコンサルティング会社がよいように感じられます。
    (DPOの判断に「雑念」が入りにくい存在を選択するのが妥当ということです)

    WP243 rev.01 – DPOのガイドラインを読む(その9)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は2 Designation of a DPO (DPOの任命)のうち、
    2.6 Publication and communication of the DPO’s contact details(DPOの連絡先の公表と伝達)を見ていきます。


    第37条(7)では、DPOの連絡先を公表し監督機関に伝達するよう要求しています。
    これは、データ主体や監督機関が他の部門を経ることなくDPOに連絡が取れるようにするためです。

    DPOとのコミュニケーションにおいては機密性も重要な要素となります。
    例えば、従業員の場合、DPOとのやり取りについて秘密が護られないのであればDPOに苦情を言うことができなくなるでしょう。
    データ主体の自由と権利を護るためには、機密性保護、秘密保護は欠かせません。第38条にあるように、DPOは欧州法、各国法に準拠した秘密保護、機密保護の義務を負っています。

    DPOの連絡先公表については、どこまで公表すべきか気になるところと思います。
    WP29のガイドラインによれば、データ主体や監督機関が「容易に」接触できるものであるべきです。
    具体的には、郵便の送付先住所、DPO直通の電話番号、DPO直通のe-mail addressが挙げられています。

    その他、専用ホットライン、ウェブサイト上のDPO用連絡フォームなどを採用すことも場合によっては可能とされています。

    DPOの名前の公表は義務付けられていません。
    管理者、処理者、またはDPO自身が必要と判断した場合は公表するのがよいでしょう。
    また、DPOは監督機関と組織の橋渡し役となるので、監督機関には名前を伝達しておくことが望ましいといえます。(第39条(1)(e)
    (監督機関、データ主体にデータ侵害の発生を連絡する際にはDPOの名前を伝えなければならないことに注意してください。(第33条(3)(b)))

    WP29は、good practiceの一環として従業員にDPOの名前と連絡先を伝達しておくことを推奨しています。
    イントラネットや社内報、社内電話番号、組織図に記載しておくとよいでしょう。

    WP243 rev.01 – DPOのガイドラインを読む(その8)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は2 Designation of a DPO (DPOの任命)のうち、
    2.5 Expertise and skills of the DPO(DPOの専門性とスキル)ののこりの部分を見ていきます。


    DPOは「サービス契約」という形で管理者・処理者の組織外の個人・組織に委託することができます。
    特に、「組織」に委託する場合は、DPOの役割を果たす組織の各メンバーが第37条から第39条に記載された要件を満たすことが非常に重要となります。(例えば利害が対立する関係にないこと、等)

    同時に、各メンバーはGDPRの条項によって護られていることも重要です。(DPOとしての活動にかかるサービス契約を不当に打ち切らないこと、DPOの仕事を行う組織内のメンバーを不当に解雇しないこと、等)

    また、複数の個人がチームとして働き、それぞれの能力と強みを組み合わせることでサービスを提供するということはよりよいサービスを提供できる可能性がある、とWP29は考えています。

    法律上の透明性、全体の統率の観点、チームメンバー間での利益の対立を防ぐという点から、DPOチーム内での仕事分担は明確に切り分けておくことが推奨されます。
    また、主な窓口となる存在を一人決め、クライアントごとに「担当者」を一人アサインするとよいでしょう。

    一般にこれらの内容はサービス契約で明確化しておくことが推奨されます。