外部データ保護 オフィサー(DPO)

データ保護オフィサー(DPO)がいない組織は、目隠しをして飛行しているのと同じです。しかし、経験豊富なデータ保護オフィサーが同乗していれば安全です。Enobyteは、適切なコストで豊かな経験と高い能力で確かな結果をもたらす外部のデータ保護オフィサーを提供します。

DPO アウトソーシング

弊社と提携しているデータ保護オフィサーは、複数の企業を同時に担当しています。つまり、より多くの知見があり、情報漏洩やその他の緊急時に何をすべきか熟知しています。また、常に最新の情報と認証を取得しており規制当局との仲介役として障害発生時に迅速に行動することができす。

  1. DPOが関連当局に対す窓口となり、質問を受付けす。
  2. 顧客、取引先、社内の他部署からのデータ保護関連の質問に対応します。
  3. 顧客及び取引先における個人データの収集・処理システムが適法であるかどうかを確認します。
  4. 従業員データ(人事記録、時間記録、就職希望者の管理) の収集・処理システムを 確認します。
  5. マーケティング及び販売分野におけるシステムが、当事者への情報提供義 務や広告の受取拒否に関する規定を遵守しているかどうかを確認します。
  6. 保存済み個人データの訂正、利用停止、削除に関するシステムを確認します。
  7. 保存済み個人データの訂正、利用停止、削除に関するシステムを確認します。データ保護に関する技術上及び組織上の矯正措置として実施されている措置を確認します。
  8. データ保護対策の有効性を証明するための年間活動報告書を作成します。

DPO(データ保護オフィサー)の設置を義務付けられている会社は、

会社の規模、業務内容にしたがって、DPOの設置が義務付けられています。義務付け、あるいは免除の条件は、EU各国の管轄により異なり、その条件は逐次更新されている。最新の情報は、欧州委員会 欧州委員会 (European Commission) のHPに、各地域のデータ保護機関のウェッブサイトのリストが載っているで、そこで、調べる事ができる。おおよその目安を知りたい場合は、フローチャート(図式で手順を示したもの)を見れば分かる。
また一般的なガイドラインは欧州委員会のウェッブサイトにも記載されています。

The flowchart shows a rough guide, and you can read the general guideline by the European Commission.

Evidence of Return of Investment (ROI) for having a professional DPO service

As GDPR has strict deadlines for handling issues and reporting incidents, companies greatly benefit from having an experienced professional DPO service in the following ways:

  1. A DPO with experience in handling various kinds of incidences can resolve issues more swiftly and appropriately, reducing the risk of fines.
  2. Various reports have shown inexperienced DPOs can cause greater damage for companies by mishandling incidents (e.g. sending data subject requests to the wrong person).
  3. A data incident can happen at any time, and a professional DPO service is equipped to respond even on public holidays.

A DPO experienced in handling various kinds of incidences can resolve issues more swiftly and appropriately, reducing the risk of fines.
Various reports have shown inexperienced DPOs can cause greater damage for companies by mishandling incidents (e.g. sending data subject requests to the wrong person).
A data incident can happen at any time, and a professional DPO service is equipped to respond even on public holidays.

*”Cost of a Data Breach Report” 2018 and 2019 by Ponemon research has shown that having a competent Incident Response team including DPO tasks (like employee training) are some of the top factors for reducing the total cost of a data breach when one occurs.

Highest standards for DPO outsourcing

The GDPR states in Article 37.5 that the DPO must have “expert knowledge of data protection law and practices”. This means that having proven knowledge of GDPR (e.g. DPO certification) is only half the equation. The DPO must also have expert knowledge on IT practices. This is why it’s important to have a DPO with experience in IT infrastructure and working with data.
The DPO can be an internal or external expert. However, companies must be particularly careful that the DPO remains independent and their duties “do not result in a conflict of interests” as stated in Article 38.6.

The key point is for your DPO to have both theoretical and practical experience of how data protection and IT systems work, so when incidences occur, it can be handled swiftly and effectively.

Enobyteの強み

  1. 20年以上に渡るセキュアITシステムとインフラ構築の経験
  2. ISO27001認証データセンター(EU域内よりホスト)
  3. セキュア暗号化コミュニケーションツール
  4. 日本語、英語、ドイツ語を始めとするマルチ言語対応
  5. 従業員、データ保護スタッフためのトレーニングツール
  6. GDPR準拠のツール群とマネージメントシステム