Frequently Asked Questions (FAQ)

EU一般データ保護規則(GDPR)に関するお問い合わせ 皆様からお問い合わせの多い10個のご質問をまとめましたのでご参照ください。

1. 重要な変更点は何ですか?

「証明の責任」と、「適用範囲」が変わりました。

①証明の責任

これまでは、情報漏れがあった時のみ、企業はセキュリティ状態を証明する必要がありました。

しかし、GDPRが適用されたことにより、企業は過失の有無に関係なく

  1. どこで、だれが、どのように個人データを取り扱っているのか
  2. どのように個人データが保護されているのか

についてを明確に証明しなければならなくなりました。

②適用範囲

企業の拠点がEU域内になくても、EU域外から域内に向けて商品やサービスを提供していたり、モニタリングをしている企業もGDPRに従わなければならなくなりました。

2. 企業のデータ保護の責任は誰にありますか?

常に社長(経営責任者、オーナー、取締役など)にあります。

法律(ここではデータ保護法)を守る責任を負うことはもちろん、これからの会社の方針を決めるのも社長です。
また、リスクは付き物ですが、被害を最小限に抑えるためにどのリスクを選び取るべきなのか、その決断を下すのも社長になります。

データ保護オフィサー(DPO)は、企業内外に潜む様々なリスクを回避するために社長をサポートする役割を担っており、社内で特別な立場を取っています。さらに、法的にDPOは独立した特別な存在であり、企業からの指示に縛られることはありません。
これらの理由により、社内でのDPOは特別な立場を取ることになり、階級は社長に続くいわゆる「ナンバー2」ということになります。そのため、社長はDPOからのアドバイスや意見を常に注意深く聞く必要があります。

しかし、実際にその受け取ったアドバイスや意見をどのくらい取り入れるのか、実行するのかどうかは、社長自らの判断に委ねられます。

3. いつ、データ保護オフィサー(DPO)を設置するべきですか?

ドイツでは、20人以上の従業員が、定期的に個人データを扱っている場合DPOの設置が義務付けられています。

簡単な例で示すと、ある企業で20人以上の従業員がメールアカウントを使っている場合、これだけでDPO設置義務の要件を満たすことになります。

逆に言うと、従業員が20人未満の小規模の企業であれば、DPOの設置は義務ではありません。しかし、それでも大企業と同様に法律が適用されており、記録義務(文書化義務)は守らなければいけません。

つまり、企業の規模に関係なく、すべての企業に

  1. 「データ保護に関して十分な知識を持っていることを示す義務」
  2. 「監督機関からの要請にすばやく対応する義務」

があるということです。

「データ保護に関する十分な知識」の具体例としては、個人データの処理方法や保護措置などが挙げられます。

注意点 DPO設置の要件は、国によって大きく異なります。また、EU圏内では基本的に250人の従業員が定期的に個人データを扱う場合、DPOの設置が義務付けられています。それぞれの国のDPO設置要件の詳細を確認してください。

4. 社内からDPOを選任すべきですか、それとも外部に委託すべきですか?

各企業が自由に選択することができます。

社内からDPOを選任する場合、従業員がDPOになるための研修を受ける必要があります。社内から選任するのか、それとも外部に委託するのかを選択する際、データ処理の種類と範囲、そしてデータ処理にかかる費用と時間が主に検討されているようです。大企業の中には、DPO代理やDPOの専門チームが特設されているところもあります。

重要点 企業が社内からDPOを選任するとき、選任されるDPOは普通の社員とは異なり法的に独立した特別な存在になります。さらにその立場は役員またはそれと同等です。そのため、DPOの解雇は保護対象であり、企業がDPOを簡単に解雇することはできません。

比較 社内から選任されたDPOは、その企業のデータ保護についてのみ詳しいことになります。一方、外部に委託したDPOは様々な企業で経験を活かしたり、事例を比較検討をすることができます。そのため、企業の抱えるリスクや、企業にとってどの程度のレベルのデータ保護が必要なのかをより的確に判断することができるのです。

5. DPOの役割はなんですか?

①企業のデータ保護がきちんと行われているかを調査すること、そして、その調査結果と推奨事項を記録として文書化することがDPOの主な仕事内容です。

DPOは定期的に(最低年に一度)企業のデータ保護がきちんと行われているかを確認するための調査を行い、その調査結果と、今後のより良いデータ保護に向けた推奨事項を文書にまとめて社長に提出する必要があります。

また、社内で起きたデータ保護に関するすべての出来事を文書に記録し、必要に応じて監督機関に報告をする義務があります。もし、社長がDPOの警告に耳を傾けなかったり、顧客の同意を得ていないにもかかわらずニュースレターの送信を決めたり、あるいはコスト削減のために故意にその義務を放棄した場合、DPOはこれらを文書に記録しなくてはいけません。

②データ保護に関する相談窓口としての役割も果たします。

DPOは社内外を問わず全ての従業員、顧客、サプライヤー、官公庁、関係者など、データ保護に関して質問や相談があるすべての人のための相談窓口でもあります。これらの全ての人がDPOに直接問い合わせる権利を有しており、匿名での問い合わせも可能です。

匿名での問い合わせがあった場合、DPOはその問い合わせ内容を社長に伝えることはできます。しかし、DPOには弁護士と同じように守秘義務があるため、相談者本人の身元を公開してはいけません。例えば、ある従業員が社内のあるプロセスに関して、「不当・不正なことが起きている」、「その予兆がある」と感じ、DPOに匿名で相談を申し出たとします。この時、DPOによる守秘義務が守られていれば、相談者は「相談をすることによって社内で不利益を被るかもしれない」などの不安を感じることなく、安心してDPOに相談をすることができます。

③社内におけるデータ保護に関する定期研修の実施をします。

DPOは、社内におけるデータ保護に関する定期研修(最低年に一度)を確実に実施しなくてはなりません。研修の形式は各企業によって異なり、DPOによる講義形式(試験の有無は問いません)、オンライン講座、自主学習用教材の配布などさまざまです。また、DPO自身も定期的に研修に参加し、資格の更新、法的および技術的な最新知識の習得をすることが義務付けられています。

6. DPOの役割ではないものは何ですか?

①従業員に指示をすることはDPOの役割ではありません。

DPOに従業員に指示を出す権限はありません。従業員に仕事への取り組み方を指示するのは上司の役割です。DPOの役割はあくまで「企業のデータ保護がきちんと行われているかを調査すること」、そして「推奨事項の提示をすること」にあります。

②自社のデータ保護実施方針についての詳細な文書の作成をすることはDPOの役割ではありません。

GDPRが導入されて以来、各企業は自社における「データ保護の具体的な実施方針」を、文書化しなければならなくなりました。文書化方法には手書きのメモからISO9000シリーズや27000シリーズの規格に基づく複雑なデジタルマネジメントシステムまで幅広い選択肢があり、各企業が各々決めることができます。

しかし、コンセプト、ガイドライン、作業指示書、説明書等に代表されるこれらの文書をDPOが作成することはできません。繰り返しになりますが、DPOの役割はあくまで「企業のデータ保護がきちんと行われているかを調査すること」、そして「推奨事項の提示をすること」にあります。

一方で、経営陣にアイデアを提示したり、サポートをすることはできます。Enobyte GmbHでは、経営陣および各部門の責任者と連携し、各企業のニーズに合わせた文書を作成するサービスを提供しています。ドイツの監督機関では通常、ドイツ語の文書の提出が求められますが、これを補完する形で、英語や日本語の文書も併せて提出することができます。

③監督機関へのDPO登録をDPOが自ら行うことはできません。

2018年5月25日から監督機関へのDPO登録が義務付けられました。ここでの注意点は、登録を行うのはDPOを選任した企業であり、DPOが自ら登録を行うことはできないということです。

7. どのくらいの費用がかかりますか?

単刀直入にお答えすると、データ保護にはお金がかかります。

しかし、データ保護をきちんと行うと後々得をする可能性が十分にあるため、積極的な投資をお勧めします。といいますのは、適切なデータ保護の実施にかかる費用を抑え、その後高額の罰金が科せらることを考えた時、その方がかえって高くついてしまう可能性があるためです。マネジメントシステムやプロセス志向の手続きの導入は、データ処理の安全性を高めるばかりでなく、大幅な効率アップが期待できます。そのため、適切なデータ保護の実践にはお金がかかりますが、最終的にコスト削減に繋がる可能性があると言えるのです。

DPOの設置には諸費用がかかりますが、DPOはデータ主体にとって信頼の置ける相談相手であるだけでなく、監督機関からの問い合わせにも迅速かつ的確に対応することのできる専門家であるため、DPOを設置するだけでも企業の付加価値は高まります。

DPO設置にかかる諸費用

①企業が社内からDPOを選任する場合

…選任された従業員は定期的に研修を受けなければなりません。この時、専用の部屋が必要となる場合もあります。さらに、経営陣からのサポートも不可欠になります。

②外部からDPOを委託する場合

…通常は、年額または月額の基本料金を外部の委託先に支払うことで、公認のDPOの選任と契約期間中のDPO対応が保証されます。さらに基本料金に加え、DPOの仕事量に応じては時間制でそれに見合った報酬を支払うことになります。

つまり、予算計画の際、各企業の社長は「make or buy(自製か委託か)」の原則に基づき、企業が自ら行う業務と外部に委託する業務を予め決めておく必要があります。

例えば、ドイツに拠点を持つ日本企業の場合、ドイツ子会社は本社から「DPOを設置するための予算が必要な理由」の説明を求められる場合があります。これは、日本とドイツではデータ保護に関する考え方が根本的に異なるためです。時には、日本の本社に納得してもらえるまで、根気強い説明が必要になるかもしれません。

また、日本では、GDPRの適用を受けて初めてデータ保護に取り組んだ企業もあるかと思います。この遅れを取り戻すために、膨大な時間と費用がかかることをご承知おきください。

では、数十年前からすでにデータ保護と真剣に向き合い、取り組んできたドイツ企業の場合はどうだったのでしょうか。データ保護にかかる一定額は既に予算に組み込まれていたものの、GDPRの適用に伴いデータ保護の予算は多くの企業で大幅に拡大されました。ドイツ国内も、データ保護への関心と理解が浅い人々にその重要性を理解してもらうのは難しいことです。納得してもらうためには、しっかりと論理立てて説明をすることが重要です。

DPOは、データ漏洩の事例を調査し、制裁金、損害賠償請求、慰謝料、ITシステム復旧費など、その際にかかった費用等の情報提示をすることで、データ保護の重要性の説明をサポートすることができます。

8. データ保護に弁護士がいると良い理由はなんですか?

弁護士はDPOにはできない法律相談に乗ることができるためです。

もちろん、DPOはデータ保護に関する技術的および組織的事項や、GDPR、ドイツ連邦データ保護法(BDSG)、刑法など、データ保護に関連する法律について精通していなければなりませんし、データ保護に関する相談窓口としての役割も担っています。しかし、DPOは法律相談には乗ることができません。そのため、弁護士がDPOによるコンサルティングを補完することが最も理想的なのです。

Enobyte GmbHでは、特に日本企業や国際法に特化した、複数の信頼できる法律事務所と連携しています。

9. 日本へのデータ移転に関する変更点はなんですか?

各国のデータ保護水準がどのくらいであるのかを保証するための、特別な契約を結ぶ必要がなくなりました。

2019年1月23日、欧州・日本間で待望の十分性認定が最終決定されたことにより、互いのデータ保護が同等の水準を満たすことが一目で分かるようになりました。つまり、これまで各国のデータ保護水準をを保証していた契約を両国が結ぶことなく、欧州・日本間で円滑に個人データの移転が行えるようになったのです。

例えば、ある取引先が貴社と契約を結ぶために、日本あるいは他の第三国へのデータ移転を必要としているとします。この時、これまでは多くの場合、事前に「標準契約条項(Standard Contractual Clauses、SCC)」の確認を行うことが必須でしたが、現在その必要はなくなりました。

注意点 ・データ移転が法的に可能であることを示すための、「有効な法的根拠」の証明が求められるということ

欧州・日本間の十分性認定によりデータ移転が円滑に行えるようになりました。しかし、各企業は引き続き有効な法的根拠を証明する必要があります。これは、全データの保存や使用が、同意書や計画書、法的義務や正当な利益なしでは認められないのと同様で、全データの移転を行うためには、この有効な法的根拠が必要となります。つまり、「データを誰が受信するのか」、そして「そのデータ移転の目的は何か」を今後もしっかりと確認していく必要があるのです。

また、欧州に子会社を置く日本企業の場合、企業グループのリソース計画を目的としたものであれば、子会社は日本の本社へより簡単に従業員のデータを移転することができます。この場合も、以前までは本社のデータ保護水準を保証するために「標準契約条項」を用いた両拠点間の契約締結が必須でした。しかし、現在その必要ありません。

注意点 ・どちらの会社がデータ移転のどの箇所の責任を負うのか(データ移転に関する責任の所在)、データ主体の権利の取り扱い方(特に従業員への周知)について明確に規定した合意のみがデータ移転に必須になります。

この場合、GDPRの適用以前から同様の義務が課せられていた欧州の子会社が、責任を負うことが多いです。

「イギリスのEU離脱(ブレグジット)がデータ保護に及ぼす影響」

英語: http://europa.eu/rapid/press-release_IP-19-421_en.htm
日本語: https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/

10. 監督機関による検査はどのように実施されますか?

一般的に、データ保護に関する検査はに二種類あり、検査の方法は以下の通りです。

①一般検査

監督機関は、企業にアンケートの回答および重要文書(データ処理に関する業務一覧、データ保護コンセプト、技術的及び組織的措置等)のコピーの提示を要求します。

②集中検査

管轄の監督機関の職員が事務所を直接訪問し、従業員への聞き取り調査や、職場およびITシステムの確認を行います。通常、集中検査が行われる場合は、検査の数週間前に監督機関から企業へ通知が送られます。こうすることにより、企業は予め検査に備えることができるのです。

注意事項: 上記は一般的な情報提供のみを目的とするものであり、法律相談に代わるものではありません。
特に、個々のケースの特殊性を考慮した、弁護士による個々の法的助言を代替するものとはなり得ません。
ご理解とご了承の程、どうぞよろしくお願い致します。