データ保護 オフィサー(DPO)とは

DPOは、企業のGDPR対策を監視し、助言やトレーニングの提供等により、企業をGDPRコンプライアンス遵守へと導く、いわゆるデータ保護の内部監査のような役割を担います。

  

DPOの仕事

• 顧客や従業員からのデータ保護に関する質問への回答
• 従業員に向けたデータ保護トレーニングの実施
• 企業におけるデータの取り扱いの監視、助言の提供
• 企業、従業員、委託先、顧客、そして管轄のデータ保護監督当局との間におけ円滑なコミュニケーションのサポート
• 障害発生時における監督当局との連絡窓口

.
  

DPOの選任基準

GDPR第37条5項に、「DPOは、豊富なデータ保護の知識と経験を有していなければならない。」という記述があります。これは、ただGDPRの知識を持つだけではDPOとして不十分であることを示しています。

例えばデータ漏洩が発生した際、DPOがITインフラ及びデータ処理を実行するシステムの構造に関する知識、そして問題を解決へと導く実践的な経験を持ち合わせていなければ、迅速かつ適切な処置を施すことはできません。

つまり、ビジネス、IT、法律に精通し、豊富な実務経験を持つDPOを任命することが重要になります。

また、従業員をDPOに任命するか、あるいは外部にDPO業務を委託するかは、各組織の判断に委ねられます。しかし、DPOは立場上、企業からいかなる指示や命令も受けない中立的かつ独立した存在であるため、社内からDPOを任命する際には利益相反にならないよう注意する必要があります。

• ビジネス、IT、法律の専門知識
• データ保護における豊富な経験
• 利益相反の回避(自社の従業員をDPOに任命する場)  

.

  

外部DPOを設置する利点

社内から選任する内部DPOと、アウトソーシングによる外部DPOの最も大きな違いは、これまでに経験してきた事例数と、それによって培われた高度な洞察力及び専門的な知識です。外部DPOは、様々な産業分野に属する企業のGDPR対策を支援する中で、日々知見を深め、進化し続けています。

DPOを設置していない組織や、データ保護に精通していないDPOを設置している組織は、よく目隠し飛行に例えられます。企業が顧客や従業員のデータを、安全かつ適切に取り扱うためには、データ保護に精通した専門家によるサポートが必須です。しかし、そうしたサポートがなければ、まるで目隠しをしたパイロットが操縦する飛行機のように、正常な操縦機能を失ったまま彷徨い続けることになります。

企業が行う個人データの取り扱いの全容を把握し、それらがきちんとGDPRにしたがって取り扱われているかを確認、分析、改善していくためには、豊富な経験と高い能力で確かな結果をもたらす外部DPOの設置が最も理想的だと確信しています。

DPOの設置義務

GDPRでは、EU域内に拠点を持ち、従業員数が10名以上(ドイツでは20名以上)の企業にDPOの設置を義務付けています。

しかしながら、DPOの設置義務および設置義務免除の条件は、EU各国の国内法や会社の規模、業務内容により異なります。

Chart

最新の情報につきましては、欧州委員会(European Commission)のホームページ、あるいは管轄地域のデータ監督機関のウェブサイトにてご確認ください。

.

プロのDPOに依頼する事で生じる投資対効果

GDPRでは、データ漏洩発生時の対処に、厳格な時間制限を設けています。例えば、データ漏洩時の所轄監督当局への報告は、データ漏洩が発覚した時点から72時間以内とされています。報告書の作成には、漏洩したデータの種類や数、該当する被害者の類型、想定される被害に関する調査が必要となります。さらに、これまでに行ってきたデータ保護対策を証明するドキュメンテーションの提出も要求されます。

日頃からDPOの指導のもと適切なGDPR対策に取り組んでる企業でなければ、72時間という限られた時間の中で、要求される全てのことに対応するは至難の技であるといえます。

経験豊富なプロのDPOへ業務を依頼することで、日頃GDPR対策だけでなく、緊急時の迅速かつ適切な対応が可能になり、被害を最小限に抑えることができます。その他にも、以下の利点が挙げられます。

• 問題の迅速な解決により、制裁金が科せられるリスクの軽減
• DPOの経験不足による処理ミスと、それによる被害発生の回避(例:機密書類の誤送信など)
• DPOが直接データ保護に関する社内教育を行うことにより、従業員の人為的ミスを軽減
• 24時間365日サポート体制を確立しているため、障害発生時の即時対応が可能  

Enobyteは、皆様が最高品質のGDPR対策を手軽に実践できるようにと考え、適切な価格でプロのDPOアウトソーシングサービスを提供しています。