国別データ保護責任者(DPO)要件ガイド(2026年)
データ保護責任者(DPO)は、世界数十の法域で法律により任命が義務付けられているコンプライアンス専門職である。EU一般データ保護規則(GDPR)第37条から第39条は、その後多くの国内制度が採用または適応してきた基本的な規則を定めている。本ガイドでは、誰がDPOを任命しなければならないか、この職務に何が求められるか、そして2026年5月時点で主要な国際的制度間でこの義務がどのように異なるかを解説する。
本情報は2026年5月19日時点で最終確認されている。本記事はまだ弁護士による審査を受けていない。
法域の範囲: 本記事は、EU GDPR、英国GDPR、およびブラジル、中国、インド、韓国、シンガポール、マレーシア、タイ、南アフリカ、UAE(連邦PDPL、DIFC、ADGM)、インドネシア、ベトナムにおける主要な国内プライバシー法に基づくDPOおよびDPO相当の要件を対象とする。各法令は2026年5月19日時点で施行されているものを引用している。
データ保護責任者とは何か
データ保護責任者とは、データ保護コンプライアンスに関する社内の権威として機能するよう組織によって指定された個人を指す。GDPR第39条は、DPOの中核的な職務を定義している。すなわち、データ保護に関する義務について管理者および処理者(ならびにその従業員)に情報提供および助言を行うこと、GDPRおよび管理者自身の方針の遵守状況を監視すること、データ保護影響評価(DPIA)について助言すること、監督機関と協力すること、そしてデータ主体および監督機関の連絡窓口として機能することである。
この概念は、2018年5月25日にGDPRが施行されて以降、世界的に浸透した。南米、アジア、アフリカの規制当局はその後、国内のプライバシー法にDPO相当の要件を組み込んできたが、具体的な発動条件、資格要件、報告系統は法域によって大きく異なる。
すべての組織にDPOが必要というわけではない。この義務は通常、処理されるデータの種類、処理活動の規模、そして組織が公的団体であるか否かによって決まる。多国籍組織にとっては、2つ以上の制度の下で重複する義務が同時に生じることもある。
GDPRのDPO規則:第37条、第38条、第39条
GDPRは、他の多くの法域が参照基準として用いてきた基本的なDPOの枠組みを定めている。規則(EU)2016/679の第37条から第39条は、任命の発動条件、資格要件、運用上の要件、および職務を定めている。
3つの義務的任命トリガー(第37条)
GDPR第37条(1)に基づき、管理者または処理者は、次の3つの条件のいずれか1つが満たされた場合にDPOを指定しなければならない。
トリガー1:公的機関または団体。 処理が公的機関または団体によって行われる場合(司法機能において行動する裁判所を除く)。これには、EUおよびEEA全域の政府省庁、自治体、公立大学、国有企業、および類似の団体が含まれる。
トリガー2:大規模な定期的かつ体系的な監視。 管理者または処理者の中核的活動が、大規模なデータ主体の定期的かつ体系的な監視を必要とする処理業務からなる場合。WP29ガイドライン(WP243rev.01、EDPBにより承認)は、モバイルアプリケーションを通じた位置情報追跡、および公共空間の体系的な防犯カメラ監視を例として挙げている。GDPRは「大規模」を正確な数値で定義していない。WP29ガイダンスは、管理者に対し、データ主体の数、データ量、地理的範囲、期間、処理の性質を考慮するよう指示している。患者集団の健康データを処理する単一の病院は該当するが、個々の患者を診療する開業医個人は該当しない。
トリガー3:特別カテゴリーまたは犯罪歴データの大規模処理。 管理者または処理者の中核的活動が、第9条に基づく特別カテゴリーのデータ(人種的・民族的出自、健康データ、生体データ、性的指向に関するデータを含む)、または第10条に基づく犯罪歴および犯罪行為に関する個人データの大規模処理からなる場合。
「中核的活動」という用語が重要である。EDPBは、これが補助的な支援機能ではなく、主たる事業活動を指すことを明確にしている。リスク評価のために健康データを処理する保険会社は中核的活動に従事しているが、従業員の給与データを処理する法律事務所は、給与処理が個人データを伴うとしても、これに該当しない。
「『中核的活動』の概念は、管理者または処理者の目的を達成するために必要な主要な業務として解釈できる。例えば、病院は患者の健康データを処理せずに医療を提供することはできないため、このデータの処理は中核的活動を構成する。」 -- WP29、データ保護責任者に関するガイドライン(WP243rev.01)、2017年4月5日
DPOの資格要件(第37条(5))
GDPR第37条(5)は、DPOが「データ保護法および実務に関する専門知識」を有することを要求している。EUレベルでは、特定の学位や職業資格は義務付けられていない。求められる専門性の水準は、組織のデータ処理業務の複雑さに応じて変動する。機微データを大規模に処理する事業者については高い水準の専門知識が求められる一方、処理が単純な小規模な公的団体については、それに見合った水準の知識で足りる。
実務上は、国際プライバシー専門家協会(IAPP)が発行するCIPP/E(欧州認定情報プライバシー専門家)やCIPM(認定情報プライバシーマネージャー)などの資格が、必要な専門知識の証拠として広く扱われているが、EU法上はあくまで任意である。
地位と独立性(第38条)
第38条は、DPOの独立性を保護する運用上の要件を定めている。
- DPOは、個人データの保護に関するすべての事項に、適切かつ適時に関与しなければならない。
- 管理者および処理者は、DPOがその職務を遂行し、専門知識を維持し、個人データおよび処理業務にアクセスするために必要な資源を提供することにより、DPOを支援しなければならない。
- DPOは、管理者または処理者の最上位の経営陣に直接報告しなければならない。
- DPOは、その職務を遂行したことを理由に解雇または不利益を課されることはない。
- DPOはその他の職務を果たすことができるが、利益相反があってはならない。
利益相反の要件は、これまで重要な執行措置の焦点となってきた。EDPBは、データ処理の目的および手段を決定する役職は、本質的にDPOの地位と相反することを確認している。これには、最高経営責任者、最高執行責任者、最高技術責任者、IT部門長、人事部門長、マーケティング部門長、そしてほとんどの文脈において法務部門長(法律顧問がDPOが独立して監督すべきまさにその処理決定について助言する場合)が含まれる。
2025年、ポーランドの個人データ保護当局(UODO)は、DPOの不適切な配置(コンプライアンス、監査、リスク管理の各役職をDPOが同時に兼務していたことによる利益相反を含む)を理由に、ある組織に対し132,000ユーロの行政制裁金を科した(UODO決定、2025年)。ベルリンのデータ保護コミッショナーは別途、同様の第38条(6)違反を理由に、ある小売グループに525,000ユーロの制裁金を科した。
DPOの職務(第39条)
第39条は、5つのカテゴリーの義務的職務を定めている。
- GDPRおよびその他のEUまたは加盟国のデータ保護法に基づく義務について、管理者、処理者、およびその従業員に情報提供および助言を行うこと。
- 責任の割り当て、意識向上、処理業務に関わる職員の研修、および関連する監査を含む、遵守状況の監視。
- 要請があった場合にDPIAについて助言を提供し、第35条に基づくその実施を監視すること。
- 監督機関と協力すること。
- 処理に関する事項について監督機関の連絡窓口として機能し、適切な場合には協議すること。
DPO非遵守に対する制裁金(第83条(4))
必要なDPOを指定しなかったこと、DPOの独立性を妨げたこと、またはDPOの連絡先詳細を公表しなかったことは、第83条(4)(a)に該当し、最大1,000万ユーロまたは前会計年度における全世界年間総売上高の2%のいずれか高い方の制裁金が科され得る。
EDPBのDPOガイダンスと2024年協調執行アクション
2016年12月に採択され2017年4月に改訂されたWP29のデータ保護責任者に関するガイドライン(WP243rev.01)は、第37条から第39条に関する主要な解釈上の権威であり続けている。EDPBは2018年5月の第1回全体会合においてこのガイドラインを承認した。
2024年1月、EDPBは、DPOの指定と地位に関する2023年協調執行アクション(CEF 2023)の報告書を公表した。この調査には、EEA全域の25の個人データ保護当局が関与し、民間・公共両セクターの組織およびDPOから寄せられた17,000件超の回答を審査した。主な調査結果は次のとおりである。
- DPOの指定を義務付けられている組織のうち、相当数がこれを行っていなかった。
- 指定されたDPOの多くが、自らが監督する処理の複雑さに見合う十分な専門知識を欠いていた。
- DPOはしばしば資源不足を報告していた。時間、予算、人員が不十分であった。
- 独立性の不十分さは依然として広く見られ、一部のDPOは経営陣からコンプライアンス評価を変更するよう圧力を受けたと報告した。
- DPOは新しいデータ処理プロジェクトの初期段階から常に関与していたわけではなかった。
EDPBは、個人データ保護当局に対し、意識向上活動および的を絞った執行を強化するよう勧告した。全文報告書はedpb.europa.euで入手できる。
EU加盟国ごとの相違
GDPRは最低限の基準を定めているが、加盟国は国内実施法を通じて追加の要件を課すことができる。
ドイツ。 連邦データ保護法(Bundesdatenschutzgesetz、BDSG)第38条は、個人データの自動処理に従事する者を常時20名以上雇用する組織に対し、DPOの任命を義務付けている。この閾値はGDPRの大規模基準よりも大幅に低く、多くの中小企業を対象に含めることになる。
フランス。 CNILは広範なDPOの導入を推奨しているが、GDPRを超える義務的な任命トリガーは追加していない。フランスでは2024年までにCNILに80,000名を超えるDPOが登録されており、この役職の強力な制度的導入を反映している。
ルーマニア。 国家監督当局(ANSPDCP)は、DPOが当局に承認された正式な資格を有することを要求しており、ルーマニアは事実上の資格要件を課す数少ないEU加盟国の一つとなっている。
ポーランド。 ポーランドの個人データ保護当局(UODO)は、DPO任命について14日以内の通知を要求し、公開登録簿を公表している。2025年、UODOはDPOを指定しなかったこと、およびDPOの連絡先詳細を公表しなかったことを理由に5,814ユーロの制裁金を科した(UODO決定、2025年)。
英国(英国GDPRおよび2018年データ保護法)
ブレグジット以降、英国は英国GDPRおよび2018年データ保護法(DPA 2018)の下で運用されている。DPO任命のトリガーは、EU GDPR第37条の3部構成を反映している。情報コミッショナー事務局(ICO)はico.org.ukにおいてガイダンスを提供している。
2023年に提出されたデータ保護およびデジタル情報法案は、義務的なDPO要件をより柔軟な「上級責任者」(SRI)モデルに置き換えることを提案していた。2026年5月現在、同法案は成立しておらず、英国GDPRのDPO要件は依然として効力を有している。
他法域におけるDPO相当の要件
ブラジル(LGPD):エンカレガード(Encarregado)
2020年9月に施行されたブラジルの一般データ保護法(Lei Geral de Protecao de Dados、LGPD、法律13.709/2018号)第41条は、すべてのデータ管理者に対しエンカレガード(encarregado)の任命を義務付けている。GDPRとは異なり、ブラジルの義務は規模や処理の種類にかかわらずすべての管理者に適用される。エンカレガードは、データ主体からの苦情を受け付け、データ主体およびANPDに情報を提供し、ANPDと協力し、社内のコンプライアンス活動を指導する。
2022年1月のANPD決議CD/ANPD第2号は、ブラジル法上の中小企業および零細企業に分類される事業者について、この義務を緩和し、義務的ではなく任意の指定を認めている。特定の資格要件は定められていない。この役職は個人または外部組織が担うことができ、現地在住の要件はない。
中国(PIPL):個人情報保護責任者
2021年11月1日に施行された中国の個人情報保護法(PIPL)第52条は、100万人を超える個人の個人情報を処理する組織に対し、個人情報保護責任者の指定を義務付けている。責任者は中国国内に拠点を置かなければならず、または当該組織は中国国内に専門の事業体を設立するか代表者を指定しなければならない。責任者の氏名および連絡先情報は公開され、関連する国家インターネット情報弁公室(CAC)の部門に報告されなければならない。
責任者の指定を怠った場合を含む違反に対する制裁金は、5,000万人民元(約700万米ドル)または前年度の売上高の5%のいずれか高い方に達し得る。
インド(DPDPA 2023):重要データ受託者のDPO
2023年8月11日に制定されたインドのデジタル個人データ保護法(DPDPA)第10条(2)(a)は、「重要データ受託者」(SDF)に対し、インド国内に拠点を置くデータ保護責任者の任命を義務付けている。MeitYにより2025年11月13日に告示され、2026年から2027年にかけて段階的に施行されるDPDP規則は、SDFの基準およびDPOの責任を定めている。
SDFは、処理される個人データの量、データの機微性、データ主体へのリスク、国家安全保障上の考慮事項、およびデータ主体の権利への潜在的影響に基づき、政府によって分類される。DPOはインド国内に拠点を置くSDFの上級役員でなければならず、取締役会に報告しなければならず、インドデータ保護委員会の連絡窓口として機能する。SDFはまた、定期的なDPIAを実施し、独立したデータ監査人を任命しなければならない。非遵守に対する最大制裁金は250クローレ・インドルピー(約3,000万米ドル)である。
シンガポール(PDPA):普遍的な義務的DPO
個人データ保護委員会(PDPC)が所管するシンガポールの2012年個人データ保護法(PDPA)第11条(3)は、PDPAの適用を受けるすべての組織に対し、少なくとも1名をDPOとして指定することを義務付けている。最低処理量の閾値は存在しない。この義務は、持株会社、休眠会社、および事業を停止しつつも個人データの取り扱いを継続している組織にも及ぶ。
2025年6月1日以降、PDPCは組織に対しDPOの連絡先詳細を通知することを義務付けている。法律上特定の資格は義務付けられていないが、DPOは組織を効果的に指導するためにPDPAに関する十分な知識を有していなければならない。
マレーシア(2024年改正PDPA)
マレーシアの2010年個人データ保護法(PDPA)は、2024年個人データ保護(改正)法により大幅に改正された。この改正は、大量の個人データを処理する、機微な個人データを取り扱う、または個人の定期的かつ体系的な監視を行うデータ管理者および処理者に対し、DPOの任命を義務付けている。この改正は2025年1月から6月にかけて段階的に施行された。
主な要件:DPOは年間180日以上マレーシアに居住していなければならない。コミッショナーはDPOの任命について通知を受けなければならない。DPOはPDPAの義務について助言し、遵守状況を監視し、影響評価を実施し、コミッショナーとの連絡窓口として機能する。居住要件が満たされていれば、外部委託によるDPOサービスも認められる。
韓国(PIPA):CPOおよび2026年CEO説明責任改正
2023年に大幅に改正された韓国の個人情報保護法(PIPA)第31条は、すべての個人情報管理者および処理者に対し、最高プライバシー責任者(CPO)の指定を義務付けている。CPOは組織内で意思決定権限を有していなければならない。公的機関は上級幹部レベルでCPOを指定しなければならない。CPOの氏名、部署、連絡先詳細は公表されなければならない。
2026年2月12日、国会はPIPAのさらなる改正を可決し、2026年3月10日に公布され、2026年9月11日に施行される。2026年改正は、CEOまたは事業代表者を「データ保護の最終責任者」と位置付け、一定規模を超える組織についてCPOの任命、配置転換、解任は正式な取締役会決議とPIPC(個人情報保護委員会)への通知を要求し、CPOがCEOと取締役会の双方に直接報告することを要求し、そして繰り返しまたは重大な違反に対し総売上高の最大10%に達する加重制裁金の上限を導入する。
タイ(PDPA)
2022年6月1日に全面施行されたタイの2019年(仏暦2562年)個人データ保護法(PDPA)第41条から第42条は、公的機関、大規模な定期的かつ体系的な監視を行う組織、および主たる活動が機微な個人データの処理を伴う組織に対し、DPOの任命を義務付けている。2023年12月13日に施行されたPDPCのデータ保護責任者任命に関する告示は、詳細な実施ガイダンスを提供している。
2025年10月9日の官報告示により、義務的なDPO要件がすべての国家機関に拡大された。DPOは従業員または外部の請負業者のいずれでもよい。DPOの連絡先情報はPDPCに提供されなければならない。2026年3月、PDPCはPDPAガイドラインの更新について公開協議を開始し、DPOの義務が優先分野の一つとされている。
南アフリカ(POPIA):インフォメーションオフィサー
2021年7月1日に全面施行された南アフリカの2013年個人情報保護法4号(POPIA)第56条は、すべての責任当事者(管理者)に対し、インフォメーションオフィサーを情報規制機関に登録することを義務付けている。民間セクターの組織については、組織の長がデフォルトのインフォメーションオフィサーとなる。日常のコンプライアンス業務のために副インフォメーションオフィサーを指定することもできる。すべてのインフォメーションオフィサーおよび副インフォメーションオフィサーは、情報規制機関の公開登録簿に登録されなければならない。非遵守に対する制裁金には、最大1,000万南アフリカランド(約55万米ドル)の罰金および最大10年の禁錮刑が含まれる。
UAE(連邦PDPL、DIFC、ADGM)
アラブ首長国連邦は、それぞれ異なるDPO要件を持つ3つの重複するが別個のデータ保護制度を有している。
連邦PDPL。 UAE連邦布告法2021年第45号(PDPL)は、次の場合に管理者にDPOの任命を義務付けている。処理が機微な個人データの体系的な大規模取り扱いを伴う場合、処理が個人データのプライバシーおよび機密性に高いリスクをもたらす場合、または処理が大規模、機微、もしくは体系的な自動プロファイリングを伴う場合。任命後、管理者または処理者はUAEデータオフィスにDPOの連絡先詳細を通知しなければならない。DPOは社内の従業員でも外部のサービスプロバイダーでもよい。
DIFC。 ドバイ国際金融センターは、DIFC法2020年第5号(データ保護法)の下で運用されている。DPOの任命は、DIFC団体、および高リスク処理活動を体系的または定期的に行うすべての管理者または処理者に義務付けられている。DPOは、その組織のグループ内で雇用され国際的に同等の機能を果たす場合を除き、UAE国内に居住していなければならない。組織はDPOの連絡先詳細を公表しなければならない。2023年9月に施行された改正データ保護規則は、この枠組みを国際基準にさらに整合させた。
ADGM。 アブダビ・グローバル・マーケットは、ADGMデータ保護規則2021年の下で運用されている。中核的活動が大規模な個人データの定期的かつ体系的な処理、または特別カテゴリーの個人データの大規模処理を伴う事業者は、DPOを任命しなければならない。管理者または処理者は、任命から1か月以内にADGMデータ保護コミッショナーにDPOの任命を通知しなければならない。
インドネシア(2022年PDP法)
2024年10月17日に全面施行されたインドネシアの2022年個人データ保護に関する法律第27号第53条は、処理が公共サービスの利益のために行われる場合、中核的活動が大規模な個人データの定期的かつ体系的な監視を必要とする場合、または中核的活動が特別カテゴリーの個人データの大規模処理を伴う場合に、DPOの任命を義務付けている。
2025年7月、インドネシア憲法裁判所(判決第151/PUU-XXII/2024号)は、義務的なDPO任命の範囲を当初の法定閾値を超えて拡大する判決を下したが、改訂された基準を定める実施規則は2026年5月現在なお未整備である。
ベトナム(2025年PDPL)
2025年6月26日に制定され2026年1月1日に施行されたベトナムの個人データ保護に関する法律第91/2025/QH15号は、管理者および処理者に対し、社内のデータ保護部門または担当者の任命、あるいは外部のデータ保護サービスプロバイダーの利用を義務付けている。スタートアップ、中小企業、事業世帯、および零細企業は、この義務およびデータ保護影響評価義務から除外される。
世界のDPO要件:比較表
| 法域 | 法律 | 役職名 | 任命義務者 | 現地拠点の要否 | 外部委託DPOの可否 | 最大制裁金 |
|---|---|---|---|---|---|---|
| EU/EEA | GDPR第37条 | データ保護責任者 | 公的団体、大規模な体系的監視、大規模な特別データ処理 | 不要(連絡可能であること) | 可 | 1,000万ユーロ/売上高の2% |
| ドイツ | BDSG第38条 | データ保護責任者 | 自動処理に従事する者20名以上(GDPRのトリガーに加えて) | 不要 | 可 | 1,000万ユーロ/売上高の2% |
| 英国 | 英国GDPR/2018年DPA | データ保護責任者 | GDPRと同様(SRIモデルは提案のみで未成立) | 不要 | 可 | 1,750万ポンド/売上高の4% |
| ブラジル | LGPD第41条 | エンカレガード | すべての管理者(ANPD決議2/2022による中小企業適用除外あり) | 不要 | 可 | 売上高の2%(違反1件あたり最大5,000万レアル) |
| 中国 | PIPL第52条 | 個人情報保護責任者 | 100万人以上の個人を処理する管理者 | 必要 | 不可(内部任命が想定される) | 5,000万人民元/売上高の5% |
| インド | DPDPA第10条/DPDP規則2025 | データ保護責任者 | 重要データ受託者(閾値は規則で規定) | 必要(インド拠点) | 不可(SDFの上級役員) | 250クローレ・インドルピー(約3,000万米ドル) |
| シンガポール | PDPA第11条(3) | データ保護責任者 | 個人データを取り扱うすべての組織 | 不要 | 可 | 100万シンガポールドル |
| マレーシア | PDPA(2024年改正) | データ保護責任者 | 大量/機微/体系的監視を行う管理者および処理者 | 必要(年間180日居住) | 可(居住要件を満たす場合) | 100万リンギット/禁錮刑の可能性 |
| 韓国 | PIPA第31条(2023年+2026年改正) | 最高プライバシー責任者 | すべての個人情報管理者および処理者 | 不要 | 不可(内部、意思決定権限を有すること) | 総売上高の10%(2026年改正) |
| タイ | PDPA第41-42条/2023年12月告示 | データ保護責任者 | 公的団体、大規模監視、機微データ処理 | 不要 | 可 | 500万タイバーツ(約14万米ドル) |
| 南アフリカ | POPIA第56条 | インフォメーションオフィサー | すべての責任当事者 | 不要 | 副IOの指定は可能 | 1,000万南アフリカランド/禁錮10年 |
| UAE(連邦) | PDPL/施行規則 | データ保護責任者 | 高リスクまたは機微な大規模処理 | 不要 | 可 | 二次規則待ち |
| DIFC | DIFC DPL第5/2020号 | データ保護責任者 | DIFC団体、高リスク処理事業者 | 必要(UAE居住、グループ例外あり) | DPLによる | DIFCコミッショナーによる規制措置 |
| ADGM | ADGM DP規則2021 | データ保護責任者 | 大規模な体系的または特別データ処理 | 不要 | 規則による | ADGMコミッショナーによる規制措置 |
| インドネシア | PDP法第27/2022号第53条 | データ保護責任者 | 公共サービス、大規模監視、大規模特別データ処理 | 不要 | 規則待ち | 600億インドネシアルピア(約370万米ドル)/禁錮6年 |
| ベトナム | PDPL第91/2025号 | データ保護担当者/部門 | すべての管理者/処理者(中小企業適用除外あり) | 不要 | 可(外部プロバイダー) | 二次規則待ち |
| 日本 | APPI | 正式なDPOは不要 | 該当なし(任意のベストプラクティス) | 該当なし | 該当なし | 1億円(約67万米ドル) |
| オーストラリア | 1988年プライバシー法 | 正式なDPOは不要 | 該当なし(任意、改革提案が進行中) | 該当なし | 該当なし | 5,000万オーストラリアドル |
| カナダ | PIPEDA/C-27法案 | プライバシーオフィサー(提案中のCPPAでは義務化) | すべての組織(CPPAは未成立) | 不要 | 該当なし | 2,500万カナダドル/売上高の5%(提案) |
内部DPOと外部DPO
主要なプライバシー制度の多くは、独立性および専門性の基準が満たされる限り、外部の請負業者または共有サービスDPOがDPOの役割を担うことを認めている。GDPR第37条(2)は、企業グループが単一のDPOを指定することを明示的に認めており、その者が「各拠点から容易にアクセス可能」であることを条件としている。
外部DPOサービスはほとんどの法域で商業的に提供されており、中小企業の間で人気がある。GDPR、LGPD、タイのPDPAの下では、外部DPOは内部DPOと同一の独立性要件を満たさなければならない。すなわち、自らが監督すべき処理決定について同時に助言することはできず、組織はコンプライアンスについて完全に責任を負い続ける。
内部任命を要求する法域には、中国(責任者は組織内で権限を有する内部の個人でなければならない)、韓国(CPOは内部の意思決定権限を有していなければならない)、インド(DPOはSDF自身の上級役員でなければならない)が含まれる。
注意: 法律事務所やデータプライバシーコンサルタントをDPOとして利用しても、独立性要件を自動的に満たすわけではない。EDPBは、同じ顧客に処理に関する提言も行う法律顧問は利益相反を抱える可能性があると指摘している。外部プロバイダーを利用する場合は、助言サービスとDPOの監督機能との間で明確な業務範囲の分離を維持すべきである。
DPOを効果的に任命し位置付ける方法
EDPBのWP243rev.01ガイドラインおよび2024年1月のCEF報告書の調査結果に基づき、以下のステップはコンプライアンスリスクを低減する。
ステップ1:任命が義務的かどうかを判断する。 組織が設立されている、または個人データを処理しているすべての法域をマッピングする。各法域のトリガーを適用する。分析を文書化し、毎年、または業務が実質的に変化した際に見直す。
ステップ2:資格のある候補者を選定する。 求められる「専門知識」の水準は、組織の処理の複雑さに応じて変動する。病院のDPOには、小規模な自治体のDPOよりも深い専門知識が求められる。資格(CIPP/E、CIPM、CDPSE)は専門知識の一般的な証拠となるが、EU法上は法的に義務付けられていない。
ステップ3:利益相反の審査を実施する。 候補者が現在保有している、または今後保有する予定の役職のうち、データ処理の目的または手段を設定することに関わるものをすべて特定する。2026年韓国PIPA改正の下では、CPOの任命、配置転換、解任には正式な取締役会決議が必要である。ベストプラクティスとして、他の法域における同様のガバナンスの仕組みも検討する。
ステップ4:十分な資源を提供する。 CEF 2023報告書は、資源不足を最も一般的な運用上の失敗として特定した。DPOは、保護された時間、予算、そして処理業務および関連職員へのアクセスを有していなければならない。パートタイムのDPOは認められるが、その役割に十分な時間を確保しなければならない。
ステップ5:直接の報告系統を確立する。 DPOはGDPR第38条(3)の下で最上位の経営陣に報告しなければならない。インドのDPDP規則および韓国の2026年PIPA改正は、法律により取締役会レベルの報告を要求している。
ステップ6:必要な場合に登録・通知する。 通知義務が存在する法域:シンガポール(PDPC、2025年6月以降)、マレーシア(PDPAコミッショナー)、ポーランド(UODO、14日以内)、南アフリカ(情報規制機関)、ADGM(コミッショナー、1か月以内)、UAE連邦(UAEデータオフィス)。組織のプライバシー通知およびウェブサイトにDPOの連絡先詳細を公表する。
最近の動向(2024年から2026年)
EDPB CEF 2023報告書(2024年1月)。 EDPBの協調執行アクションは、25のEEA監督機関にわたるDPOおよび組織からの17,000件超の回答を審査した。DPOの資源および独立性における体系的な不足が特定された。各国当局は、2025年から2026年にかけて的を絞った調査と執行を行うよう勧告された。
EU AI法によるDPOの業務量の拡大。 EU AI法(規則(EU)2024/1689)は、2026年8月2日に全面適用が開始される高リスクAIシステムに関する義務を定めている。多くの組織は、特にDPIAをGDPRの下で必要とする個人データも処理する高リスクAIシステムについて、AIコンプライアンスの監督を既存のDPOに割り当てつつある。
マレーシアの義務的DPO(2025年6月)。 2024年個人データ保護(改正)法は2025年6月までに全面施行され、要件を満たす管理者および処理者に対し、居住要件および通知義務を伴う義務的なDPO要件を確立した。
インドDPDP規則(2025年11月)。 MeitYは2025年11月13日にDPDP規則を告示し、SDF分類の枠組みおよび指定事業体に対するDPO義務を発効させた。インドデータ保護委員会も同時に設立された。
韓国の2026年PIPA改正(2026年9月施行)。 2026年2月12日に可決、2026年3月10日に公布。CEOを最終責任者と位置付けること、CPOの変更に取締役会決議を要求すること、加重違反について総売上高の10%を上限とする制裁金、そして2027年7月1日から大規模管理者に対するISMS-P認証の義務化を導入する。
ベトナムのPDPL(2026年1月)。 ベトナム初の独立したデータ保護法が施行され、スタートアップおよび零細企業を除くほとんどの組織にデータ保護担当者または部門を義務付けている。
インドネシア憲法裁判所の判決(2025年7月)。 判決第151/PUU-XXII/2024号は、2022年PDP法の下での義務的DPO閾値を拡大したが、改訂された基準を定める実施規則は依然として保留中である。
シンガポールのDPO通知(2025年6月)。 PDPCは、組織がDPOの連絡先詳細を登録することを求める通知義務を導入し、説明責任を強化し、的を絞った監督上のアウトリーチを可能にした。
さらに詳しく知るには
GDPRの対象となる組織にとって、基本的な参照資料は、EDPBが承認したWP29のデータ保護責任者に関するガイドライン(WP243rev.01)であり、edpb.europa.euで入手できる。DPO義務が組み込まれているより広範なGDPRコンプライアンスの枠組みについては、GDPRコンプライアンスチェックリストおよび本サイトのEUデータプライバシー法ハブを参照されたい。
複数の法域にまたがって事業を行う組織は、DPOの体制を確定する前に、関連する各領域の資格を有するデータ保護専門の弁護士から助言を得るべきである。
免責事項
本記事は、2026年5月19日時点における複数の法域にわたるデータ保護責任者要件に関する一般的な法律情報を提供するものである。法的助言ではない。ここで説明されている法律および規則は頻繁に変更され、確認日以降に改正されている可能性がある。読者は、自らの事業に関連する特定の法域において資格を有し免許を受けた弁護士による助言の代替として本記事に依拠すべきではない。本記事を読むことによって弁護士・依頼者関係が成立することはない。
引用当局
- 規則(EU)2016/679(GDPR)、第37条から第39条、第83条(4)。https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- WP29、データ保護責任者に関するガイドライン(WP243rev.01)、2017年4月5日(EDPB承認)。https://ec.europa.eu/newsroom/article29/items/612048
- EDPB、DPOの指定と地位に関するCEF 2023報告書、2024年1月16日。https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en
- 連邦データ保護法(BDSG)2018年、第38条。https://www.gesetze-im-internet.de/bdsg_2018/__38.html
- ICO(英国)、アカウンタビリティとガバナンスガイド:データ保護責任者。https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/guide-to-accountability-and-governance/accountability-and-governance/data-protection-officers/
- ブラジルLGPD、法律13.709/2018号、第41条。https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- ANPD決議CD/ANPD第2号、2022年1月27日。https://www.gov.br/anpd/pt-br
- 中国PIPL、2021年11月1日施行、第52条。http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- インドDPDPA 2023、第10条。https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
- インドDPDP規則2025、2025年11月13日告示。https://www.meity.gov.in
- シンガポールPDPA 2012(2021年改正)、第11条(3)。https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
- マレーシア個人データ保護(改正)法2024。https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-amendment-act-2024/
- 韓国PIPA、第31条(2023年改正)。https://www.law.go.kr/LSW/eng/engLsSc.do?menuId=2§ion=lawNm&query=personal+information+protection&x=0&y=0
- 韓国PIPA改正(2026年3月10日公布、2026年9月11日施行)。https://iapp.org/news/a/south-korea-overhauls-pipa-and-ties-fines-to-ceo-accountability
- タイPDPA仏暦2562年(2019年)、第41-42条。PDPC DPO任命告示(2023年12月13日施行)。https://www.mdes.go.th/law
- 南アフリカPOPIA、2013年法律第4号、第56条。https://www.gov.za/documents/protection-personal-information-act
- UAE連邦布告法2021年第45号(PDPL)、第10条。https://uaepdpl.com/article-10/
- DIFCデータ保護法2020年第5号。https://www.difc.ae/business/laws-regulations/legal-database/data-protection-law-difc-law-no-5-2020/
- ADGMデータ保護規則2021。https://www.adgm.com/operating-in-adgm/office-of-data-protection/guidance
- インドネシア2022年個人データ保護に関する法律第27号、第53条。https://jdih.kominfo.go.id
- ベトナム個人データ保護に関する法律第91/2025/QH15号(2026年1月1日施行)。https://www.ey.com/en_vn/technical/tax/tax-and-law-updates/legal-alert-july-2025-personal-data-protection-law
- ポーランドUODO、DPOの不適切な配置に対する132,000ユーロの行政制裁金(2025年)。https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-132-000-eu-improper-positioning-dpo-and_en
- ポーランドUODO、DPO不指定に対する5,814ユーロの行政制裁金(2025年)。https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-5-814-eu-failure-designate-data-protection_en
- BlnBDI(ベルリン)、DPO利益相反(GDPR第38条(6))に対する525,000ユーロの行政制裁金。https://gdprhub.eu/index.php?title=BlnBDI_(Berlin)_-_Berlin_DPO_Conflict_of_Interest
最終更新日:2026年5月19日。引用された法令は2026年5月19日時点で施行されているバージョンを反映している。
Frequently Asked Questions
GDPRの下で、DPO任命を義務付ける3つのトリガーとは何ですか?
GDPR第37条(1)は、次の場合にDPOの任命を義務付けている。(1)公的機関または団体(司法機能における裁判所を除く)、(2)中核的活動がデータ主体の大規模な定期的かつ体系的な監視を必要とする管理者または処理者、(3)中核的活動が特別カテゴリーデータ(第9条)または犯罪歴データ(第10条)の大規模処理を伴う管理者または処理者である。いずれか1つのトリガーを満たすだけで任命は義務となる。
すべての企業にデータ保護責任者が必要ですか?
いいえ、普遍的にではない。GDPRの下では、第37条の3つのトリガーの少なくとも1つを満たす組織のみがDPOを任命しなければならない。ただし、シンガポールのPDPAは規模にかかわらず個人データを取り扱うすべての組織に適用される。韓国のPIPAは、すべての個人情報管理者および処理者にCPOの任命を義務付けている。南アフリカのPOPIAは、すべての責任当事者にインフォメーションオフィサーの登録を義務付けている。ブラジルのLGPDは、中小企業の適用除外を条件としつつ、すべての管理者にエンカレガードの任命を義務付けている。
GDPRの下でDPOにはどのような資格が必要ですか?
第37条(5)は「データ保護法および実務に関する専門知識」を要求している。特定の学位や資格は義務付けられていない。求められる水準は処理の複雑さに応じて変動する。IAPPのCIPP/EおよびCIPM資格は、必要な専門知識を示すものとして広く扱われているが、あくまで任意である。ルーマニアは現在、国内法を通じて正式な資格要件を課している唯一のEU加盟国である。
DPOはその職務を遂行したことを理由に解雇されることがありますか?
いいえ。GDPR第38条(3)は、DPOがその職務を遂行したことを理由に解雇または不利益を課されないと定めている。この保護により、DPOは報復を受けることなくコンプライアンス上の懸念を提起できる。同様の雇用保護規定は、ブラジルのLGPDおよびタイのPDPAにも見られる。DPOの職務と全く無関係な理由によるものであり、その理由がコンプライアンス業務から明らかに独立していることが証明できる場合には、DPOを解雇することができる。
1人のDPOが複数のグループ企業に対応できますか?
できる。GDPR第37条(2)の下では、DPOが『各拠点から容易にアクセス可能』であることを条件に、企業グループが単一のDPOを指定することができる。これは、EU域内の事業についてEU多国籍グループで広く利用されている。ただし、中国のPIPLおよびインドのDPDPAは現地拠点の個人を要求するため、欧州拠点のグループDPOではこれらの義務を満たすことができない。韓国は内部の意思決定権限を有するCPOを要求しており、グループレベルまたは外部DPOの利用が制限されている。
GDPRの下で、必要なDPOを任命しなかった場合の制裁金はどの程度ですか?
第83条(4)(a)の下では、必要な場合にDPOを指定しなかったことに対し、最大1,000万ユーロまたは全世界年間総売上高の2%の制裁金が科され得る。2025年、ポーランドのUODOは、DPOを指定しなかった公的団体に対し5,814ユーロの制裁金を、そしてDPOの不適切な配置について132,000ユーロの制裁金を科した。他の法域における制裁金:中国PIPL、5,000万人民元または売上高の5%。韓国PIPA(2026年改正)、総売上高の最大10%。
DPOは組織のデータ保護違反について個人的に責任を負いますか?
負わない。GDPRおよびその他ほとんどの制度は、法的責任をDPOではなくデータ管理者または処理者に課している。DPOは助言、監視、協力を行うが、処理決定を自ら承認するわけではない。管理者は、DPOの助言が遵守されることを確保する責任を負い続ける。守秘義務違反または個人的な利益相反によるDPOの責任は、国内の雇用法および契約法によって規律される別個の問題である。
どのような役職がDPOを務める上で利益相反を生じさせますか?
EDPBのWP243rev.01ガイダンスは、データ処理の目的および手段を決定する役職はDPOの地位と両立しないと特定している。これには通常、CEO、COO、CTO、IT部門長、人事部門長、マーケティング部門長、法務部門長が含まれる。2025年、ベルリンのデータ保護当局はある小売グループに525,000ユーロの制裁金を、ポーランドのUODOはGDPR第38条(6)に基づくDPO利益相反違反について132,000ユーロの制裁金を科した。
外部のコンサルタントや法律事務所がDPOを務めることはできますか?
できる。GDPR、ブラジルのLGPD、タイのPDPAの下では、外部のサービスプロバイダーが内部DPOと同一の独立性および専門性の基準を満たすことを条件に、DPO機能を外部委託することができる。マレーシアは180日居住要件を条件に外部委託を認めている。中国のPIPLおよび韓国のPIPAは、組織内で権限を有する内部の個人を想定している。同じ顧客に処理決定についても助言する法律事務所は、利益相反を避けるため厳格な業務範囲の分離を維持すべきである。
マレーシアの2024年PDPA改正はDPOに何を求めていますか?
2025年6月から施行された2024年個人データ保護(改正)法は、大量の個人データを処理する、機微な個人データを取り扱う、または定期的かつ体系的な監視を行う管理者および処理者に対し、DPOの任命を義務付けている。DPOは年間180日以上マレーシアに居住していなければならない。任命は個人データ保護コミッショナーに通知されなければならない。居住要件が満たされていれば、外部委託のDPOも認められる。
韓国の2026年PIPA改正はDPOについて何を変更しますか?
2026年2月12日に可決され2026年9月11日に施行される改正は、CEOまたは事業代表者をデータ保護の最終責任者と位置付ける。CPOの任命、配置転換、解任は正式な取締役会決議を必要とし、該当する組織についてはPIPCへの報告が必要となる。CPOはCEOと取締役会の双方に直接報告しなければならない。繰り返しまたは重大な違反に対する制裁金は総売上高の10%に引き上げられる。
Sources and References
- GDPR規則(EU)2016/679、第37条から第39条、第83条(4)(eur-lex.europa.eu).gov
- WP29 データ保護責任者に関するガイドライン(WP243rev.01)(ec.europa.eu).gov
- EDPB CEF 2023 DPO報告書、2024年1月(edpb.europa.eu).gov
- ドイツBDSG第38条(データ保護責任者)(gesetze-im-internet.de).gov
- 英国ICO データ保護責任者に関するガイダンス(ico.org.uk).gov
- ブラジルLGPD第41条(planalto.gov.br).gov
- 中国PIPL第52条(npc.gov.cn).gov
- インドDPDPA 2023 第10条(meity.gov.in).gov
- マレーシア個人データ保護(改正)法2024(pdp.gov.my).gov
- 韓国PIPA第31条(law.go.kr).gov
- 韓国2026年PIPA改正(iapp.org)
- タイPDPA第41-42条(mdes.go.th).gov
- 南アフリカPOPIA第56条(gov.za).gov
- UAE PDPL第10条(uaepdpl.com)
- DIFCデータ保護法2020年第5号(difc.ae).gov
- ADGM データ保護局ガイダンス(adgm.com).gov
- シンガポールPDPA第11条(3)(pdpc.gov.sg).gov
- ポーランドUODO、DPO不適切配置に対する132,000ユーロの制裁金(2025年)(edpb.europa.eu).gov
- ポーランドUODO、DPO不指定に対する5,814ユーロの制裁金(2025年)(edpb.europa.eu).gov
- ベルリンDPA、DPO利益相反に対する525,000ユーロの制裁金(gdprhub.eu)