- 2022年1月17日
皆さんのご経験は法務・コンプライアンス関係あるいはITの分野でしょうか。メインフレーム派あるいはパソコン派でしょうか。今どきパソコン派も古いですね。たぶん若い読者の方でなくてもスマホ派が世の中では多数いると思います。今どきメインフレーム派というと時代遅れの感じがありますが、法務コンプライアンスの分野は不思議とどちらでもない「人権派」が、以前から優勢で、さほど陳腐化せずに世の中を闊歩しています。
日本において人権派といっても幅はあります。特に個人情報保護の分野の法律は、古い言葉で表現すれば日進月歩です。日本における個人情報保護法は、平成17年に施行されています。例えば関連する「個人情報保護に関する基本方針」は何度か見直しをされています。そして法律自体も、つい最近のことですが、令和2年6月に法律改正がありました。他国の法制と比較すると、例えば罰金の金額が少なく実効性が担保されているのかなど疑問は残りますが、法律が施行されることにより、人権の保護については明らかに進んできているといえるでしょう。
海外に目を向けると、しばらく前から個人情報保護に関してデータ保護オフィサー(DPO: Data Protection Officer)という制度が確立されていることがわかります。法律によって定義されているDPOの義務や責任(しいて言えば守備範囲)は違ってきますが、DPOは個人情報保護法制、特にEU(ヨーローッパ連合の)法であるGDPR(General Data Protection Regulations)によって認められた人権の番人として機能しています。DPOは企業における従業員としての立場にあることまでは否定されていませんが、基本企業等(会社などの所属している組織)の一員としてではなく、むしろ企業等を取り締まる立場の監督当局と連携して、独立的に対応します。
前置きが長くなりましたが、DPOの真髄は人権派であるところにあります。もちろんやみくもに人権を訴えるものでもありません。他方、従来からの従業員の立場だけで行動しているDPOは失格の烙印を監督当局受けてしまい、その結果、企業としてはDPOがうまく機能していなかったばかりにGDPRによる莫大な制裁金(全世界での売上総額の4%以下もしくは2千万ユーロ<例えば1ユーロ=120円として24 億千万円>のどちらか高額な方を上限)から逃れられない状況が発生することがあります。企業等は様々な危険回避策を模索することができますが、その中で最も有望なのは、DPOによる企業に対する助言です。
DPOは監査役に似ていると言われることがあります。例えばしっかりした監査役が会社内の不正を暴き未然に会社の損失を食い止めることができるように、DPOがうまく機能すれば適切な助言を企業等に受けてもらい、未然に個人情報保護の体制のほころびを見つけてもらい修復することができます。監査役や社外取締役も、日本の会社法では社内の組織に含まれる者ではありませんが、DPOも同様に企業からは独立性を保ちながら個人情報保護の体制をチェックして取締役会等で直接的に経営陣に対して発言するところにあります。
また、DPOは監査役、社外取締役よりさらに独立性が高度にあるとも言えます。DPOは助言できる前提としてあらゆる個人情報保護に関する事項について企業等から情報を受け取る権利があり、そのような情報をもとに企業等に対しては助言を行います。最初に書いていますが、DPOにはジレンマがついて回ります。DPOは企業等の立場も分かったうえでデータ主体(または個人)の人権に配慮しなければいけません。GDPRには、企業等からDPOはしっかりとサポートされて活動するべきことが規定されています。したがって、経費あるいは人的資源(補助者等)も必要に応じて企業はサポートすることが求められています。
日本の社会は「恥」を恐れることで成り立っている面があります。たとえ法制上(例えばGDPRにおいて)DPOが企業からの法的な責任を問われないとされていても、間違った助言や不適切なアドバイスをするDPOには当然結果がついてきます。そのようなDPOは監督当局からの信頼も失い、結果的にDPOとして機能することができなくなります。
次回でもう少し詳しく、DPOのお仕事とそれに対する責任について考えていきたいと思います。
執筆:福田 学(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp