外部データ保護 オフィサー(DPO)

データ保護オフィサー(DPO)がいない組織は、目隠しをして飛行しているのと同じです。しかし、経験豊富なデータ保護オフィサーが同乗していれば安全です。Enobyteは、適切なコストで豊かな経験と高い能力で確かな結果をもたらす外部のデータ保護オフィサーを提供します。

  

DPO アウトソーシング

弊社と提携しているデータ保護オフィサーは、複数の企業を同時に担当しています。つまり、より多くの知見があり、情報漏洩やその他の緊急時に何をすべきか熟知しています。また、常に最新の情報と認証を取得しており規制当局との仲介役として障害発生時に迅速に行動することができす。

  1. DPOが関連当局に対す窓口となり、質問を受付けす。
  2. 顧客、取引先、社内の他部署からのデータ保護関連の質問に対応します。
  3. 顧客及び取引先における個人データの収集・処理システムが適法であるかどうかを確認します。
  4. 従業員データ(人事記録、時間記録、就職希望者の管理) の収集・処理システムを 確認します。
  5. マーケティング及び販売分野におけるシステムが、当事者への情報提供義 務や広告の受取拒否に関する規定を遵守しているかどうかを確認します。
  6. 保存済み個人データの訂正、利用停止、削除に関するシステムを確認します。
  7. 保存済み個人データの訂正、利用停止、削除に関するシステムを確認します。データ保護に関する技術上及び組織上の矯正措置として実施されている措置を確認します。
  8. データ保護対策の有効性を証明するための年間活動報告書を作成します。

  

DPO(データ保護オフィサー)の設置を義務付けられている会社

会社の規模、業務内容にしたがって、DPOの設置が義務付けられています。義務付け、あるいは免除の条件は、EU各国の管轄により異なり、その条件は逐次更新されています。最新の情報は、欧州委員会(European Commission)のHP に、各地域のデータ保護機関のウェッブサイトのリストが載っているので、そこで、調べる事ができます。おおよその目安を知りたい場合は、フローチャート(図式で手順を示したもの)を見れば分かります。
また一般的なガイドラインは欧州委員会のウェッブサイトにも記載されています。
  

プロのDPO(データ保護オフィサー)に依頼する事で生じる投資対効果とは

GDPRでは、データ漏洩等の事故や、対処の報告、実施に、厳密な最終期限を設けているので、企業は、経験豊富なプロのDPOに業務を依頼した方が、格段と有利です。いくつかの利点をあげれば、

  1. プロのDPOは多様なデータ事故取り扱いの経験が豊富なので、問題を迅速かつ的確に解決し、制裁金が科せられるリスクを軽減できます。
  2. DPOの経験不足による処理ミスで、会社がさらに被害を被った例が、数多くリポートされています*。(例;データ主体の要請書類を別の人物に誤送信など)
  3. データ事故は時を選びません。そのため、祭日でもプロのDPO業務を遂行できる体制が構築されています。

ここの調査で、データ保護の取り扱いを含む事故処理対策チームの設置は、データ漏洩が発生した際の、全損害額を軽減する重要な要素となる事が、示されています。 従業員にデータ保護取り扱いの研修をするのも一つの方法です。
*『データ漏洩による損害レポート』ポネモン(調査会社名)2019年、2020年版。

  

DPO請け負い会社の高い業務能力

GDPRの第37条5項に、『DPOは、豊富なデータ保護の知識と経験を有していなければならない』と書かれています。つまり、GDPRの知識だけでは、例えば講座を受講して、資格を得ただけでは、要件の半分も満たしていないという事です。DPOは、ITの専門家レベルの知識と経験も必要とします。よって、ITインフラ、データ処理の経験を持つDPOの任命が重要になります。DPOに、自社の従業員を任命しても、あるいはDPO業務を外注しても良いのですが、GDPRの第38条6項に、「DPOは、中立的な立場を貫き、その本分は、最終的には利益相反を避ける事である」と述べられいます。この事に特に注意しなければなりません。
   ここで重要な点は、会社のDPOが、ITシステムを理解し、データ保護がどのように行われるかの理論的、実践的な経験がある事で、さすれば、データ事故が発生した際、迅速かつ効果的な対処が可能です。
  

Enobyteの強み

  1. 20年以上に渡るセキュアITシステムとインフラ構築の経験
  2. ISO27001認証データセンター(EU域内よりホスト)
  3. セキュア暗号化コミュニケーションツール
  4. 日本語、英語、ドイツ語を始めとするマルチ言語対応
  5. 従業員、データ保護スタッフためのトレーニングツール
  6. GDPR準拠のツール群とマネージメントシステム