データ保護責任者(DPO)とは?
2018年5月から施行予定の欧州連合(EU)の新しいルール「一般データ保護規則」(GDPR:General Data Protection Regulation)では、高い独立性を有するデータ保護責任者(DPO:Data Protection Officer)の設置が義務づけられることとなった。以下では、GDPRで規定された条文や解説からDPOの概要を紹介する。なおEUでは、「個人情報」に相当する用語として「パーソナルデータ」又は単に「データ」が用いられているので、適宜読み替えて参照いただきたい。
DPOの設置義務がかかるのは、正確には、中核ビジネスにおいて、大規模に個人を定常的かつ機械的に取り扱ったり、大規模に機微情報等を取り扱ったりする事業者である。一方、公的機関は原則DPOを設置することとされている。なおDPOには、事業者内部の者に限らず、サービス契約に基づく外部の専門家(弁護士等)を任命してよいとされている*1 。
DPOの役割には、所属組織に対するものと監督機関に対するものとの両方が規定されている*2。
- 法令遵守のための情報提供、助言
- データ保護に関する法令、企業準則の遵守状況の監視
- データ保護影響評価(DPIA:Data Protection Impact Assessment)*3への助言と評価
- 監督機関への協力
- データ処理に関する監督機関とのコンタクトポイント
特徴的なのは、その高い独立性である。DPOは、企業に雇われてデータ保護の任務を遂行するも、経営者の都合で処分されない特権を与えられるという、「会計監査人」のような位置づけとなっている。GDPRでは、次のようにDPOの位置づけが規定されている *4。
- 事業者は、DPOが、パーソナルデータの保護に関する全ての課題に、適正かつ適時に関与することを確保しなくてはならない。
- 事業者は、DPOの任務遂行を支援しなくてはならない。
- 事業者は、DPOの任務遂行に対し、事業者から指示を受けることのないことを確保しなくてはならない。
