- 2021年3月2日
交通手段、お酒、情報の流通そして「自由」
GDPR(EU法)が施行される30年以上も前からドイツ連邦法(BDSG : Bundesdatenschutzgesetz)によりドイツではDPOの制度を持っていました。EUの他の諸国におけるDPOの制度についてはまたの機会に述べさせて頂きたいと思いますが、GDPRのDPOの制度はこのドイツの制度の流れを汲んだものです。
DPOの他にも、ドイツ国内でしか認められないルール(法律)はいくつかあります。例えば、地下鉄にドイツで乗った時に「あれっ!変だ」と思う人は、ドイツ以外のヨーロッパに住んでいる方も含めかなり多くいらっしゃることと思います。この「あれっ!変だ」は、駅に改札がなく、切符のチェックがないままスーと電車まで行けるところにあります。そして、事前に切符を購入していなかったことが運悪く見つかった場合、多大な罰金を支払うことになります。
ドイツの国内法制は他にも変わったものがあります。自動車愛好家の方には割と有名ですがドイツの高速道路(アウトバーン)には連邦議会における全廃論や一部州議会による廃止論があり速度制限がすべての路線に適用されているわけではなく都市部の例外もありますが、基本速度制限がありません(Keine Geschwindigkeit begrenzung)。しかし、アウトバーンにおける死亡率は意外と高くなく、EU諸国と対比した場合に平均で若干高いぐらいです。自己責任が徹底されているのでしょう。
話は変わってお酒についてですが、ドイツビールやワインは風土に合ったソーセージと一緒に飲むと美味しいというのが定評です。ドイツ旅行で気が付くことの一つに、レストランなどで使われているお酒などの飲み物のグラスには目盛りがついていることがあります。目盛り以下のお酌(店の提供)ですと店主は罰金を支払うことになります。
地下鉄や車(アウトバーン)とお酒の話は、自由を尊重する一方で、ルールに反する場合は多額の罰金など責任が厳しく追及されるという、他のヨーロッパ諸国との対比でも特異なドイツの特性に行きつきます。これらは直接GDPRと関係ないような事柄です。しかし、法律やルールの運用を考えていくと、実は「ドイツ的」発想は国内法やヨーロッパ連合の法であるGDPR等に影響を与えています。ドイツ的な発想としては、ナチス時代の反省から速度制限を設けないのは自由を尊重し人権を擁護することを第一にしているところにあります。他方、ヨーロッパの主要国の中で英国、フランス、イタリアなどでレストランのお酌で例えば 250ml(ミリリットル)はオーケーでちゃんとお酒が入っていない249mlには罰金というようなことは考えにくく興ざめではないでしょうか。日本人は制限速度がないことにも、グラスの250mlのところに線が描かれていること両方ともに日本と何か違っているなと感じるのではないでしょうか。
責任のない自由はありません。交通手段でも、お酒でも、情報の流通(DPOの制度)でも。
日本企業とDPOの制度
DPOの制度は、ドイツが長年人権擁護や自由、そしてそれに伴う「責任・遵法の精神」を熟成させてきた結果でもあります。日本に居ると、このような歴史的背景を理解するのは難しいものです。他方、日本企業がドイツにおいて日本の「企業文化」の壁にぶち当たる場合もあると思います。
例えば、日本企業は通常稟議制をとり、コンセンサスを作りながら物事を進めます。反対に、とことん議論をしていくドイツの伝統的な社会の仕組みでは、「まあまあ」ということで物事を進めることができないまま物事が進められたり(あるいは進められなくなったり)します。このような進め方は日本企業にとって相性が悪いことがままあります。
コンセンサスの日本文化、あるいは速度制限を認めようとしないドイツ文化 どちらも100%いいということではありません。日本企業にとってドイツを知っている日本企業又は日本人にDPOの業務を任せた場合同じ文化・言語で話をすることができますが、たとえ社内・グループ内で日本企業にいるドイツ人であっても、必ずしも日本企業を文化的に理解していない場合がありえます。
GDPR施行から既に2年以上が経過しています。ルール・法律は社会に切り離されて作られているものではありません。「DPO」の任命ですが、3つの論点があります。
1.社員をアサインするか?アウトソースするか?
2.日本人か?ドイツ人か?
3.ドイツ国内でアサインするか?ドイツ国外でアサインするか?
この3つの論点は、皆様の企業の状況によってどの選択をすべきかは異なります。IIJではDPOアウトソーシングサービスやDPO/CPO補佐サービスを通じて多くの日本企業のDPO業務をサポートしてきており、それぞれの長所・短所を実務経験の中で理解しておりますので、適切なアサインのケースを見つけるお手伝いができます。お気軽にご相談ください。
DPOの設置要件(特にドイツにおける義務的選任のおさらい)
最後に、ドイツにおけるDPOの設置義務要件をおさらいしましょう。GDPR37条1項により、以下の場合に企業はDPOの選任が必要です。
①管理者または処理者の中心的な業務がデータ主体の「定期的かつ系統的な監視」を「大規模」に要するものである場合
② 特別なカテゴリーのデータ(個人情報保護法に規定される要配慮個人情報より少し広義の概念、例えば明示的に労働組合の会員情報なども含みます)の取り扱いが「大規模」である場合
③ 個人データの自動処理に少なくとも20人がかかわっている場合(ドイツ連邦法による追加的な義務的選任規定*)
*端的にはパソコンが20台以上あるとDPOの設置が必要となります。GDPRの施行時である2018年5月の時点では台数が10台以上とされていたので、現行法はそれとの比較で少し緩和されているといえます。
また、GDPRの施行に先立ち所謂データ保護のための第29条作業部会は2017年4月5日にDPOに関するガイドライン(以下「ガイドライン」16/EN WP243 rev.01)を採択しました。「定期的かつ系統的な監視」や「大規模」についての詳細な判断基準はガイドラインに規定されています。
今年ドイツのクリスマスマーケットに行ける日本人はあまり多くなさそうです。でもバーチャルにショッピングをした後には、温めたリンゴ酒(Apfelwein)を飲んで、ナッツが沢山入ったおいししいドイツ風のクリスマスケーキ(Weihnachtskuchen)とか食べたいですね。
