GDPR DPO要件:データ保護責任者は必要か?(2026年版)

GDPR第37条から第39条は、一定の管理者および処理者に対し、データ保護責任者(DPO)の任命を義務付けている。この義務は3つの場面で発生する。すなわち、公的機関または団体である場合、中核的な活動が個人に対する大規模な定期的かつ体系的な監視を必要とする場合、または中核的な活動が特別カテゴリーもしくは犯罪歴データの大規模な処理を伴う場合である。
DPOはいつ義務となるか:第37条(1)の3つのトリガー
規則(EU)2016/679第37条(1)は3つの条件を定めており、そのいずれか1つでもDPO指定の義務的な義務を発動させる。単一のトリガーを満たすだけで十分である。
| トリガー | 条文 | 代表的な例 |
|---|---|---|
| 公的機関または団体(その司法機能における裁判所を除く) | 第37条(1)(a) | 国税庁、地方自治体、公立大学、公立病院 |
| 中核的な活動が大規模なデータ主体の定期的かつ体系的な監視を必要とする | 第37条(1)(b) | インターネット広告ネットワーク、通話記録を追跡する通信事業者、与信スコアリングを行う銀行 |
| 中核的な活動が特別カテゴリーデータ(第9条)または犯罪歴データ(第10条)の大規模処理からなる | 第37条(1)(c) | 患者の健康記録を大規模に処理する病院チェーン、大規模な犯罪歴照会を処理する民間セキュリティ会社 |
前文97はこの枠組みを確認しており、必要とされるDPOの専門知識の水準は処理業務の複雑さに応じたものであるべきことを付言している。
トリガー1:公的機関または団体(第37条(1)(a))
すべての公的機関または団体は、その処理の規模または機微性にかかわらずDPOを任命しなければならない。このトリガーは無条件である。量的閾値、特定のデータカテゴリー、特定の活動の種類は要件とされていない。
明示的な除外は、その司法機能において行動する裁判所をカバーする。前文20は、司法の独立性が、監督機関が裁判所の事件処理を直接精査しないことを要求すると説明している。裁判所のその他の管理業務(給与、人事、施設管理)は依然としてGDPRの対象であり、これらの活動は司法機能の適用除外の範囲外にある。
何が公的機関に該当するかは、各EU加盟国の国内法による。中央政府省庁、地域・地方自治体、規制機関、国が資金提供する公共放送局、公的資金による大学、公立病院が典型例である。官民混合団体や国有企業は、関連する加盟国の憲法・行政法によって該当する場合とそうでない場合がある。
トリガー2:大規模な定期的かつ体系的な監視(第37条(1)(b))
トリガー2は、中核的な活動が大規模なデータ主体の定期的かつ体系的な監視を必要とする管理者および処理者に適用される。「定期的かつ体系的な監視」と「大規模」の両方の限定は、それぞれ精査を要する別個の要件である。
「定期的かつ体系的な監視」の意味
2018年5月25日に欧州データ保護会議(EDPB)によって採択されたガイドラインを有する旧第29条作業部会(WP29)は、WP243 rev.01でこれを扱った。「定期的」とは、継続的、一定間隔で繰り返される、または常時もしくは周期的に発生することを意味する。「体系的」とは、システムに従って発生する、事前に取り決められたまたは方法論的である、または一般的なデータ収集計画の一部として実施されることを意味する。
WP29が挙げる定期的かつ体系的な監視の例:電気通信ネットワークの運用、インターネットサービスの提供、モバイルアプリケーションからの位置データの追跡、行動分析を伴うロイヤルティプログラム、アクセス制御のための生体データ処理、公共空間における個人の防犯カメラ監視、行動ターゲティング広告、接続デバイスを通じた追跡である。
「大規模」の意味
GDPRは「大規模」を数値で定義していない。前文91は、大規模処理とは、地域、全国、または超国家的な規模で相当量の個人データを扱うことを目的とし、多数のデータ主体に影響を及ぼし得るものと述べている。反対の例として、前文91は、単一の医師または弁護士が患者または依頼者のデータを扱うことは大規模処理には該当しないと指摘している。
WP29は4つの評価要素を特定した。データ主体の数(絶対数または関連する母集団に対する割合)、処理されるデータ項目の量または範囲、活動の期間または継続性、地理的範囲である。
EDPBは以下を大規模とみなしている。通常業務の中で患者データを処理する病院、都市の公共交通システム全体にわたる移動データを処理する運輸会社、全国道路網をカバーするリアルタイムの位置情報処理者、行動ターゲティング広告のためにグローバルにデータを処理する検索エンジンである。大規模ではないもの:単一の医師または専門医が患者記録を処理すること、単一の弁護士が依頼者データを処理することである。
トリガー3:特別カテゴリーまたは犯罪歴データの大規模処理(第37条(1)(c))
トリガー3は、監視の種類ではなくデータの機微性に焦点を当てている。これは、中核的な活動が第9条(1)に列挙される特別カテゴリー、または第10条に基づく犯罪歴データの大規模処理からなる場合に適用される。
第9条(1)は8つの特別カテゴリーを列挙している。人種的または民族的出自、政治的意見、宗教的または哲学的信条、労働組合員資格、遺伝データ、個人を一意に識別するために処理される生体データ、健康データ、性生活または性的指向データである。
第10条データは、犯罪歴および犯罪行為に関するものである。中核的な活動において第10条データを処理するほとんどの組織は、特定の法定の根拠に基づいて行っている。大規模の要件は依然として適用される。ボランティアに対して単一の身元照会を実施する小規模な慈善団体は、この項には該当しない。
トリガー3を満たす可能性が高い組織:全顧客基盤について医療引受データを処理する民間健康保険会社、大規模な犯罪歴照会を実施する人材紹介会社、数十万人の消費者からのDNAを処理する遺伝子検査サービス、大規模な労働力をカバーする生体アクセス制御プロバイダーである。
「中核的活動」の概念
トリガー2およびトリガー3は、いずれも関連する処理が組織の「中核的活動」の一部を構成することを要求する。補助的または支援的な処理はDPO義務を発動させない。
WP29は、給与、IT管理、人事などの支援機能と主要な事業機能とを区別した。病院は、医療がその主たる目的であるため、健康データの処理を中核的活動として行う。その給与処理は、個人データを伴うものの、補助的であり、トリガー3を発動させない。
ショッピングセンターや公共空間を防犯カメラで監視するセキュリティ会社は、監視が自らが販売する主たるサービスであるため、それを中核的活動として定期的かつ体系的な監視に従事している。窃盗防止のために防犯カメラを設置するスーパーマーケットは、監視を主要な提供内容ではなく副次的なツールとして利用している。
多くの中規模企業は、人事システム、CRMプラットフォーム、会計ソフトウェアにおいて広範に個人データを処理しているが、それらの活動はいずれもGDPRの意味における中核的なものではない。主たる活動が商品の製造であるメーカーは、従業員および顧客のデータを支援機能として処理する。その中核的活動が大規模な監視または大規模な特別カテゴリー処理を伴わない場合、トリガー2またはトリガー3に基づく義務的DPO義務は生じない。
任意のDPO任命
第37条(4)は、任命が義務的でない場合、組織は「する場合がある、またはしなければならない」DPOを指定できることを確認している。「しなければならない」という文言は、第37条(1)の基準を超える指定を要求する加盟国法または連合法の可能性を指しており、組織は国内実施法を確認すべきである。
EDPBは、義務的閾値を満たすかどうかにかかわらず、相当量の個人データを処理する組織に対して任意の任命を推奨している。任意のDPOは、アカウンタビリティを示し、規制上の信頼を構築し、未検出の違反のリスクを低減することができる。
重要なのは、第38条および第39条が任意のDPOに完全に適用されることである。組織は、独立性を剥奪された、あるいは利益相反規則から保護された名目上のDPOを任命することはできない。
誰がDPOを務めることができるか
求められる資格
第37条(5)は、データ保護法および実務に関する専門的資質と専門知識、ならびに第39条の職務を遂行する能力に基づく指定を要求している。所定の資格や試験は存在しない。求められる専門性は、データの機微性および処理の複雑さに比例する。
WP29は関連する専門分野を特定した。国内および欧州のデータ保護法、組織の分野および主題、組織の事業およびITインフラ、コンプライアンス機能の管理、国際データ移転の枠組みである。
ニュースレターのための基本的な連絡先データのみを収集する小規模組織であれば、GDPRについて合理的な理解を持つ有能な従業員で十分な場合がある。生体データを処理し、行動ターゲティング広告を運用し、複数の管轄区域にわたってデータを移転する大規模多国籍企業であれば、専門的な法務・技術的知見が適切である。
職員または外部サービスプロバイダー
第37条(6)は、DPOが職員であること、またはサービス契約に基づきその役割を果たすことを明示的に認めている。外部DPOモデルは、GDPRが発効して以来大きく成長した。法律事務所、コンサルティング会社、専門のプライバシープロバイダーは、共有またはフラクショナルなDPOサービスを提供している。
DPOが外部の場合、サービス契約は第38条および第39条が満たされるように構成されなければならない。外部DPOは、単なる名目上のコンプライアンス窓口としてではなく、組織の処理業務および経営陣への真のアクセスを有していなければならない。
グループレベルおよび複数機関のDPO
第37条(2)は、DPOが各拠点から容易にアクセス可能であることを条件に、企業グループが単一のDPOを任命することを認めている。第37条(3)は同様に、その組織構造および規模を考慮しつつ、複数の公的機関または団体が単一のDPOを任命することを認めている。
「容易にアクセス可能」とは機能的な要件である。DPOは、従業員、データ主体、監督機関から不当な困難なく連絡が取れなければならない。WP29は、それを支える要素を特定した。グループ全体にわたるDPOの連絡先詳細の明確な伝達、データ保護に関する質問への相談対応の可用性、複雑または機微な処理が行われる場所における物理的な存在である。
第37条(7)は、管理者および処理者に対し、DPOの連絡先詳細を公表し、自国の監督機関に伝達することを要求している。完全な身元を公表する必要はないが、データ主体がアクセスできる連絡先住所は公表されなければならない。
第39条に基づくDPOの職務
第39条(1)は5つの最低限の職務を列挙している。「少なくとも」という文言は、加盟国法、DPOの契約条件、または組織自体のガバナンスが追加の責任を割り当てる可能性があることを明確にしている。
職務1:情報提供および助言(第39条(1)(a))
DPOは、GDPR上の義務およびその他の適用されるデータ保護規定について、管理者、処理者、従業員に対して情報を提供し助言しなければならない。これには、適法な処理の根拠、同意メカニズム、データ主体の権利行使手続、職員研修、データ保護戦略に関する助言が含まれる。
DPOは情報提供と助言を行うが、決定はしない。第38条(3)に基づき、DPOはその職務の遂行に関して指示を受けることはできないが、個人データがどのように処理されるかについての意思決定権限は管理者または処理者に残る。DPOの役割は、意思決定者が法的状況を理解していることを確保し、不適合な指示があれば指摘することである。
職務2:遵守状況の監視(第39条(1)(b))
DPOは、GDPR、その他の適用されるデータ保護規定、および組織自身のデータ保護方針の遵守状況を監視しなければならない。監視には、データ保護責任の割り当て、内部監査の実施、処理契約およびデータ共有の取り決めの見直し、処理活動記録の更新、データ主体の権利要求の監視、技術的・組織的セキュリティ措置の追跡が含まれる。
第39条(1)(b)はまた、職員の意識向上および研修についても言及している。したがって、DPOは、規制の枠組みと組織の処理業務が進化するにつれて、従業員をGDPR要件について最新の状態に保つ継続的な義務を負う。
職務3:DPIAへの助言(第39条(1)(c))
新たな処理活動がデータ主体に高いリスクをもたらす可能性が高い場合、第35条は処理を開始する前にデータ保護影響評価(DPIA)を要求する。DPOはDPIAについて助言を提供し、その実施を監視する。
第38条(1)に基づき、DPOは「適切かつ適時に」関与しなければならず、DPIAを必要とする可能性が高いあらゆるプロジェクトの初期段階で協議されるべきである。DPOの助言と管理者の対応は、DPIA記録とともに文書化されるべきである。前文97は、DPIAが必要かどうかの評価およびその実施方法の決定において、DPOが支援すべきことを指摘している。
管理者がDPOの文書化された異議にもかかわらず高リスクの処理活動を進める場合、DPOの助言と管理者の決定の両方を書面で記録すべきである。その文書は、DPOの独立性および第5条(2)に基づく管理者のアカウンタビリティの証拠となる。
職務4:監督機関との協力(第39条(1)(d))
DPOは監督機関と協力しなければならない。協力には、検査および調査の円滑化、DPAの第58条の調査権限に基づく情報提供、会議または聴聞への参加、第33条に基づくDPAへのデータ侵害通知の管理が含まれる。
職務5:監督機関の連絡窓口としての役割(第39条(1)(e))
DPOは、処理に関する問題について監督機関の連絡窓口となり、適切な場合には第36条に基づく事前協議を実施する。事前協議とは、DPIAで特定されたリスクを許容可能な水準に緩和できない管理者が、処理を開始する前に監督機関に協議するメカニズムである。
連絡窓口機能はまた、データ主体がGDPR上の権利を行使するための公表された連絡先を有することを意味する。第37条(7)はDPOの連絡先詳細が一般公開されることを確保し、第38条(4)は、データ主体がすべての処理および権利に関する問題についてDPOに連絡できることを確認している。
実務におけるリスクベースアプローチ
第39条(2)は、DPOに対し、5つの職務すべてにわたって、処理業務の性質、範囲、状況、目的を考慮しつつ、処理に関連するリスクを考慮することを要求している。比例的なリスクベースのアプローチは、高いリスクを生じる可能性が最も高い活動、すなわちプロファイリング、自動的な意思決定、大規模な特別カテゴリー処理、および適切な保護措置のない国境を越えた移転に注意を向ける。
DPOの独立性および解雇からの保護(第38条)
指示の禁止
第38条(3)は、DPOが「その職務の遂行に関していかなる指示も受けてはならない」と定めている。この禁止はすべての経営レベルに適用される。DPOは、ほとんどの企業構造において取締役会またはそれに相当するガバナンス機関を意味する、最上位の経営陣に直接報告する。
ある処理活動が違法であると判断したDPOは、それを承認するよう命じられることはできない。組織がデータ侵害を過小報告していると考えるDPOは、沈黙させられることはできない。DPOは、社内の承認なしに、第39条(1)(d)に基づき懸念を監督機関にエスカレーションする自由を有しなければならない。
解雇および不利益からの保護
第38条(3)は、DPOがその職務を遂行したことを理由に解雇または不利益を課すことを禁止している。DPO機能を理由に解雇、降格、報酬の減額、またはその他の不利益な措置を受けたDPOは、GDPRに基づく直接の請求権を有し、監督機関は管理者または処理者を調査し制裁することができる。
この保護は、雇用されているDPOと外部サービスプロバイダーであるDPOの両方に適用される。管理者は、DPOがコンプライアンス上の懸念を提起したことに対する報復として、サービス契約を解除することはできない。管理者に理由なく解除する無制限の権利を与える契約条項は、適法なDPOの活動を抑圧するために用いられた場合、独立性要件を損なう可能性がある。
資源とアクセス
第38条(2)は、管理者および処理者に対し、第39条の職務を遂行し専門知識を維持するために必要な資源、ならびに個人データおよび処理業務へのアクセスを提供することを要求している。資源には、時間、研修および専門能力開発の資金、事務的支援が含まれる。パートタイムまたは外部のDPOについては、これはシステム、文書、人員への意味のあるアクセスを含む。
処理活動記録を入手できない、処理に関する決定が行われる会議に出席できない、または個人データを伴う調達契約を確認できないDPOは、第39条(1)(b)の監視を実施するために必要なアクセスを欠いている。
利益相反
第38条(6)は、DPOがその他の職務を遂行することを認めているが、管理者または処理者は、それらの職務がDPOの監督機能との利益相反を生じないようにしなければならない。
WP29のガイドライン(WP243 rev.01)は、DPO機能と一般的に両立しない役職を特定した。CEO、COO、CFO、CMO、CHRO、CIO、およびIT・セキュリティ部門長である。1人が複数の役職を兼務する小規模組織では、DPO機能は処理目的を設定する役割から切り離された状態を保たなければならない。
このテストは名目上のものではなく機能的なものである。役職名を「ITマネージャー」から「DPO」に変更しても、実質的な責任が変わらなければ利益相反は解消されない。個人データの処理の目的および手段の決定に関与する役割であればどこでも利益相反が生じる。
外部DPOも独自のリスクを抱える。ある処理戦略の適法性についてクライアントに助言する法律事務所が、同時にDPOを務める場合、DPO機能がその戦略に反対する助言を要求する際に利益相反に直面し得る。外部DPOサービスを利用する組織は、そのプロバイダーがそうした利益相反を管理するガバナンス措置を有していることを確認すべきである。
非遵守の帰結
第83条(4)に基づく制裁金
第37条、第38条、第39条の違反は、GDPRの下位制裁金階層、すなわち第8条、第11条、第25条から第39条、第42条、第43条に定める義務をカバーする第83条(4)の対象となる。上限は、1,000万ユーロまたは前会計年度における事業体の全世界年間総売上高の2%のいずれか高い方である。
一般的に制裁されるDPO関連の違反:必要なDPOを任命しなかったこと、資格または独立性を欠くDPOを任命したこと、DPOに利益相反のある役割を割り当てたこと、十分な資源またはアクセスを提供しなかったこと、DPOの連絡先詳細を公表しなかったことである。
実務における執行
EU全域の監督機関は、DPO関連の違反について組織を調査し制裁してきた。ドイツのデータ保護当局は、DPO要件がGDPR以前のドイツ連邦データ保護法にルーツを持つことから特に活発である。複数のDPAは、真の権限を持たず、十分な資源も経営陣からの干渉に対する保護もない名目上のDPOを、DPOが全く存在しない場合と同等に扱ってきた。
DPOの連絡先詳細を公表しなかったことは、監督機関が検出できる最も単純な違反の一つである。それはプライバシーポリシーの表面上に明らかである。ウェブサイトのプライバシー通知の一斉調査を行う監督機関は、DPOの連絡先情報の欠如を日常的に指摘している。
制裁金以外の帰結
DPO要件への非遵守は、第5条(2)に基づくアカウンタビリティを損なう。必要なDPOを欠く管理者は、構造的なアカウンタビリティの欠陥を有しており、同じ調査で発見された関連するGDPR違反に対する制裁を加重し得る。
B2B企業にとって、ベンダーおよび副処理者に対するGDPRデューデリジェンスを実施する調達チームは、DPO任命の証拠、DPOの連絡先詳細、処理活動記録をますます要求するようになっている。必要なDPOの欠如は、企業のベンダーリスク評価における重大な指摘事項である。
英国GDPRとDPO要件
英国は、2018年欧州連合(離脱)法および2018年データ保護法を通じて、GDPRを国内法として維持した。英国GDPRは、若干の修正を伴いつつEUの原文を反映している。英国GDPRの第37条、第38条、第39条は、EUの対応する条文をほぼ逐語的に再現しており、3つの義務的トリガーは変更されていない。
情報コミッショナー事務局(ICO)が英国GDPRの監督機関である。ICOはWP29のアプローチを密接に踏襲し、EUのDPAと同一の「大規模」および「中核的活動」の分析枠組みを適用している。両制度の対象となる組織は、別個のDPOを任命することも、両方の監督機関、従業員、データ主体にアクセス可能であることを条件に単一のDPOで両方をカバーすることもできる。
英国GDPRの制裁金制度は英ポンドで表示される。下位階層は、最大870万ポンドまたは全世界年間売上高の2%のいずれか高い方である。
貴組織にDPOが必要かどうかを評価する方法
トリガー1から始める。組織は、関連するEU加盟国の国内法の下で公的機関または団体か。そうであれば、DPOは義務的である。組織が複数の加盟国にまたがって事業を行っている場合、いずれかがその団体を公的団体として分類しているかを確認する。
公的機関でない場合、中核的な事業活動を特定する。各中核的活動について問う。この活動は個人の定期的かつ体系的な監視を必要とするか。そうであれば、その監視は大規模で実施されているか。両方の答えが「はい」であれば、トリガー2が適用される。
次に、各中核的活動について問う。この活動は第9条(1)の特別カテゴリーデータまたは第10条の犯罪歴データの処理を伴うか。そうであれば、その処理は大規模で実施されているか。両方の答えが「はい」であれば、トリガー3が適用される。
分析を文書化する。義務的なDPOが要求されない場合であっても、文書化された評価は第5条(2)に基づくアカウンタビリティを示し、監督機関が後にその決定に疑義を呈した場合に組織を保護する。買収、新製品ライン、またはデータ共有の取り決めの変更を含め、処理活動が重要な形で変化するたびに評価を更新する。
DPO義務がより広範なGDPRコンプライアンスプログラムにどのように組み込まれるかについては、GDPRコンプライアンスチェックリストが管理者および処理者の義務の構造化された概要を提供している。GDPRがそもそも適用されるかどうかを評価しているEU域外の組織は、中小企業向けGDPRガイドから始めることができる。規則の完全な入門についてはGDPRとは何かを参照されたい。
免責事項: 本記事は、GDPRデータ保護責任者要件に関する一般的な法律情報を提供するものであり、法的助言ではない。GDPRコンプライアンスは事実に依存しており、第37条から第39条の特定の組織への適用は、その具体的な処理活動、法的地位、および関連する加盟国の国内法によって異なる。貴自身の状況に合わせた助言については、有資格のデータ保護実務家または法律顧問に相談されたい。
Frequently Asked Questions
GDPRの下で中小企業にDPOは必要ですか?
中小企業は第37条のDPO要件から自動的に除外されるわけではない。前文13は、いくつかの文脈において加盟国が零細・中小企業向けに規則を調整することを認めているが、第37条にはSME適用除外は存在しない。第37条(1)の3つの義務的トリガーのいずれかを満たす中小企業は、DPOを任命しなければならない。実務上、ほとんどの中小企業は中核的活動として大規模処理に従事しておらず、公的機関でもないため、トリガーが適用される可能性は低い。ただし、この義務は従業員数や売上高ではなく、処理の性質と規模によって決まる。数十万人の利用者を持つ健康データアプリを運営するスタートアップは、従業員が20人未満であっても第37条(1)(c)を発動させ得る。
DPOは外部コンサルタントやサービスプロバイダーでもよいですか?
よい。第37条(6)は、DPOが外部プロバイダーとのサービス契約に基づきその役割を果たすことができると明示的に定めている。外部DPOの取り決めは、フルタイムの社内採用を正当化できない組織で一般的である。雇用形態にかかわらず、第38条および第39条は満たされなければならない。外部DPOは真の独立性を有し、指示に服することなく、組織の処理活動および上級経営陣へのアクセスを有し、その職務遂行を理由とする解雇または不利益から保護されなければならない。サービス契約はこれらの要件を明示的に反映すべきである。
EU顧客を持つ米国企業はGDPRのDPOを任命する必要がありますか?
第3条(2)に基づきGDPRの対象となる米国企業は、第37条(1)のトリガーを満たすかどうかを評価しなければならない。その中核的活動が、広告技術企業、データブローカー、大手分析プラットフォームによく見られるように、EUデータ主体の大規模な定期的かつ体系的な監視を必要とする場合、トリガー2が適用され、DPOを指定しなければならない。米国企業のEU向け活動が限定的であり、大規模な体系的監視も大規模な特別カテゴリーデータも伴わない場合、DPOは不要であるが、第27条に基づく別個のEU代理人が依然として義務付けられることがある。米国企業は、全体的なGDPRコンプライアンスプログラムの一環として第37条の評価を実施し文書化すべきである。
事業主やCEOがDPOを務めることはできますか?
CEOは、第38条(6)の利益相反禁止の下でDPOを務めることはできない。WP29のガイドライン(WP243 rev.01)は、CEOが組織のデータ処理の目的および手段を決定するため、CEO役職はDPO機能と両立しないと特に特定しており、DPOの監督機能はその意思決定権限からの独立性を必要とする。同様の理屈はCOO、CIO、CMO、CFO、および情報技術部門長にも適用される。CEOでもある事業主は、小規模組織であっても、自らをDPOに指定することでこの利益相反を解消することはできない。非常に小規模な組織にとっての解決策は、通常、外部DPOサービスである。
必要な場合にDPOを任命しなかった場合の罰則は何ですか?
必要なDPOを任命しなかったことは、第25条から第39条に定める義務をカバーし、最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方の制裁金を課す第83条(4)の対象となる違反である。第37条(7)に基づきDPOの連絡先詳細を公表しなかったことは、独立して制裁の対象となる。監督機関は、違反の性質、重大性、継続期間、違反の故意または過失の性質、協力の程度に基づき制裁金を査定する。英国GDPRはこの構造を反映しており、下位階層の上限は870万ポンドまたは全世界年間売上高の2%である。
DPOは日々どのようなことを行いますか?
DPOの日々の活動は、第39条(1)の5つの職務から派生する。DPOは、新製品機能がDPIAを必要とするかについてチームに助言し、作成後の評価を確認する。第30条に基づき処理活動記録を監査する。データ処理契約や標準契約条項を締結前に確認する。データ主体の権利要求を調査し、回答が適時であることを確保する。個人データ侵害後、72時間以内の監督機関への第33条通知が必要かどうかを判断するためIT・セキュリティ部門と連携する。職員研修を設計し実施する。監督機関の単一の連絡窓口として機能し、規制当局とのやり取りに対して適時かつ正確な回答を確保する。
GDPRは処理者に対しても管理者と同様にDPOを要求しますか?
はい。第37条(1)は管理者と処理者の両方に適用される。クラウドサービスプロバイダー、給与計算アウトソーシング会社、マーケティング技術プラットフォームなどのデータ処理者は、処理者としての中核的活動が大規模監視または大規模特別カテゴリーデータのトリガーを満たす場合、DPOを任命しなければならない。処理者のDPO評価は、自らが仕える管理者の活動ではなく、自らの中核的活動に焦点を当てる。数千の管理者に代わってデータをホスティングし、大規模でネットワーク利用パターンを監視するクラウドインフラプロバイダーは、その管理者顧客がデータで何を行うかにかかわらず、独立して第37条(1)(b)を発動させ得る。
1人のDPOが複数の企業をカバーできますか?
できる。2つの場面がある。第37条(2)は、DPOが各拠点から容易にアクセス可能であることを条件に、企業グループが単一のDPOを指定することを認めている。第37条(3)は、その組織構造および規模を考慮しつつ、複数の公的機関または団体が共有のDPOを指定することを認めている。容易なアクセス可能性の要件は、DPOが各事業体において従業員、データ主体、監督機関から不当な困難なく連絡が取れなければならないことを意味する。共有DPOの連絡先詳細は、第37条(7)に基づき各事業体によって公表されなければならず、DPOはすべての事業体のDPO職務をカバーするのに十分な能力を有していなければならない。
DPOはプライバシーオフィサーやコンプライアンスオフィサーと同じですか?
必ずしもそうではない。GDPRの下でのDPOは、第39条に基づく明確な職務、第38条に基づく法定の独立性の保証、および解雇からの保護を伴う特定の法定上の役職である。多くの組織には、DPOの機能と重なる職務内容を持つプライバシーオフィサーやコンプライアンスオフィサーがいるが、その者が正式に指定され、第37条(7)に基づきその連絡先詳細が公表されない限り、これらの役職は法定のDPOと同等ではない。正式な指定なしに内部コンプライアンスオフィサーに依拠する組織は、第37条の義務を満たしていない。同様に、正式な指定だけでは不十分である。指定されたDPOは、第37条および第38条が要求する資格、資源、独立性、アクセスを有していなければならない。
データ侵害におけるDPOの役割は何ですか?
第39条はデータ侵害管理を独立した職務として列挙していないが、DPOの役割は第39条(1)(b)、(d)、(e)の監視および協力の職務から派生する。実務上、DPOは、セキュリティインシデントが第4条(12)における個人データ侵害に該当するかどうかを評価し、それがデータ主体の権利および自由にリスクをもたらす可能性が高いかどうかを判断し、72時間以内の監督機関への第33条通知が必要かどうかについて助言し、影響を受けるデータ主体への第34条通知が必要かどうかについて助言し、調査全体を通じて監督機関の連絡窓口として機能する。DPOは、経営陣が既に通知の決定を行った後ではなく、潜在的な侵害が特定された瞬間から関与すべきである。
Sources and References
- 欧州議会および理事会規則(EU)2016/679(GDPR) 第37条:データ保護責任者の指定(eur-lex.europa.eu)
- 規則(EU)2016/679 第38条:データ保護責任者の地位(eur-lex.europa.eu)
- 規則(EU)2016/679 第39条:データ保護責任者の職務(eur-lex.europa.eu)
- 規則(EU)2016/679 前文97(データ保護責任者)(eur-lex.europa.eu)
- 規則(EU)2016/679 前文91(データ保護影響評価および大規模処理)(eur-lex.europa.eu)
- WP29 データ保護責任者に関するガイドライン(WP243 rev.01) - EDPBにより承認(ec.europa.eu)
- 欧州データ保護会議 第29条作業部会文書アーカイブ(edpb.europa.eu)
- 規則(EU)2016/679 第83条:行政制裁金賦課の一般条件(eur-lex.europa.eu)
- 規則(EU)2016/679 第35条:データ保護影響評価(eur-lex.europa.eu)
- 2018年データ保護法(英国) 第2部および附則6(英国GDPRの組み込み)(legislation.gov.uk)
- ICO 英国GDPRガイド - データ保護責任者(ico.org.uk)
- 規則(EU)2016/679 第9条:特別カテゴリーの個人データの処理(eur-lex.europa.eu)
- 規則(EU)2016/679 第10条:犯罪歴および犯罪行為に関する個人データの処理(eur-lex.europa.eu)