個人データを、ビジネスを守る、IIJ

【eBook】「日本企業におけるDPOとEU代理人」無料ダウンロード


今回ご提供するeBookのテーマは、「コンプライアンスからガバナンスへ-日本企業が備えるべき組織的体制(日本企業におけるDPOとEU代理人)」です。GDPR施行から2年が過ぎ、執行事例も増えてきました。GDPR遵守は、法対応の段階から運用面でのガバナンス整備の段階に進みつつあります。このeBookでは、特に問い合わせの多いEU代理人、DPOに関して改めてその役割、選任義務、昨今の動向、および日本におけるプライバシー保護レベル向上に向けた各種検討状況を整理しています。

【目次(全10ページ)】

1. GDPRにより日本企業に要求されるプライバシーコンプライアンス(組織的体制)
(1) EU代理人
(2) DPO(データ保護オフィサー)
(3) 近時の動向

2. 日本におけるプライバシーガバナンスに関する議論
(1) 個人情報の保護に関する法律(「個人情報保護法」) 令和2年改正過程等
 ア 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(平成31年4月25日 個人情報保護委員会)vi
 イ「リクナビDMPフォロー」に係る株式会社リクルートキャリアに対する勧告 (令和元年8月26日 株式会社リクルートキャリアによるプレスリリースix)
 ウ 個人情報保護法 いわゆる3年ごと見直し 制度改正大綱x (令和元年12月13日 個人情報保護委員会)
 エ 個人情報保護法
(2) DX企業のプライバシーガバナンスガイドブックver.1.0(案)

3. まとめ

 

【本文サンプル】

GDPRは施行から2年が過ぎ、EUでは毎日のように新しい制裁事例が発表されている。日本企業の危機意識も高まってきており、従来のGDPR対応のためのコンサルティング依頼に加えて、運用面でのコンプライアンスに関しての問い合わせが昨今増えてきている状況である。運用面でIIJはEU代理人サービス、DPOアウトソーシングサービス、有事対応支援サービスを提供しているが、本書では特に問い合わせの多いEU代理人、DPOに関して改めてその役割、選任義務、昨今の動向、および日本におけるプライバシー保護レベル向上に向けた各種検討状況を整理した。

1. GDPRにより日本企業に要求されるプライバシーコンプライアンス(組織的体制)

(1)EU代理人
EU代理人とは、EU域内に拠点のある自然人又は法人であって、GDPRの域外適用される企業から書面によって指名され、GDPRに基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する(GDPR4条17項)。
EU代理人は、主にEU域内の監督機関やデータ主体からの連絡を受け、職務を行う。

ア 選任要件
GDPRが域外適用される管理者または処理者は、原則EU代理人(GDPR27条)を置く義務がある。
(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視に関連する場合、EU域内に拠点のない管理者又は処理者にGDPRは適用される(域外適用(3条2項))。
域外適用(3条2項)される管理者又は処理者は、書面により、EU域内における代理人を指定しなければならない(27条1項)。
ただし、「一時的」なもの、かつ、センシティブデータ取扱いを大量に含まず、かつ、自然人の権利及び自由に対するリスクが生ずる可能性が低い場合にはこの限りでない(27条2項)。
なお「一時的」とは管理者または処理者の通常の事業又は活動外で発生する取扱活動とされている(EDPBガイドライン3/2018i)ことから、この例外に該当する場合はほぼないと考えられる。

イ 企業の義務
プライバシーノーティスにEU代理人の身元及び連絡先を記載する義務がある(13,14条)
管理者または処理者は、30条処理記録の内容更新に責任をもち、EU代理人に対して、すべての正確かつ最新の情報を提供しなければならない(EDPBガイドライン3/2018)

ウ EU代理人の役割
管理者、処理者のEU代理人は30条処理記録を保管し、監督機関の要請に応じて当該記録を利用できるようにしなければならない(30条)。
EU代理人は、監督機関やデータ主体への対応を行うため、管理者又は処理者から委任を受ける(27条3項)。
EU代理人は原則として、監督機関及びデータ主体が使用する言語で連絡をすべきである(EDPBガイドライン3/2018)。
監督機関は、EU域外の管理者または処理者に課された制裁を、EU代理人に向ける可能性がある(EDPBガイドライン3/2018)。

エ EU代理人不選任の罰則
1,000万ユーロ、又は世界売上総額の2%以下の金額の罰則の定めがある(83条4項)。

(2)DPO(データ保護オフィサー)
DPOの主な役割は、企業の個人情報の取扱いを適用されるデータ保護ルールに準拠させることを確保させることにある。

ア 選任要件
以下の場合、DPOの選任義務がある(37条1項)。

  •  公的機関又は公的組織によって行われる場合
  •  管理者又は処理者の中心的業務が、データ主体の「定期的かつ系統的な監視」を「大規模」に要する取扱業務
  •  センシティブデータや犯罪データの「大規模」な取扱い
  •  加盟国の国内法により要求される場合(例えばドイツは個人データの自動処理(コンピュータを利用した処理)に少なくとも20人関わっている場合、スペインは特定の業種(教育機関(私立大学等)、大量個人データを扱う通信会社、大量個人データを扱うIT会社、クレジット会社、保険会社、証券法の規律する投資会社、電気・ガス供給会社、広告・マーケティング会社、患者の記録を保持する医療施設、オンラインゲーム運営・開発会社、子供のデータを扱うスポーツ連盟等)につきDPOの選任義務がある)※「定期的かつ体系的な監視」を構成しうる活動事例(ガイドラインwp243)
  •  データドリブンマーケティング活動
  •  リスク評価目的のプロファイリングとスコアリング(例えばクレジットスコアリング、保険料の確定、不正防止、マネーロンダリングの検知のため)
  •  位置追跡(例えばモバイルアプリによる)
  •  ロイヤリティプログラム
  •  行動ターゲティング広告
  •  例えばスマートメーター、スマートカー、ホームオートメーションなどの接続機器※「大規模」かどうかの判断は以下の要素を考慮する(ガイドラインwp243)
  •  関係するデータ主体の数
  •  取扱われるデータの量及び/又は異なるデータ項目の範囲
  •  データ取扱業務の期間又は永続性
  •  取扱業務の地理的範囲

また、DPOは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びにDPOの職務を充足するための能力に基づいて指定される(37条5項)。

イ 企業の義務
DPOを選任した場合、監督機関に通知しなければならない(37条7項)。
管理者及び処理者は、DPOが、その職務の遂行に関し、いかなる指示も受けないことを確保しなければならない(38条3項)。
管理者又は処理者は、DPOの職務及び義務が利益相反とならないことを確保しなければならない(38条6項)。
DPOを選任した場合、プライバシーノーティスに記載しなければならない(13,14条)。
管理者は、データ保護影響評価を行う場合、その指定をしているときは、DPOに対して助言を求めなければならない(35条2項)

ウ DPOの役割
DPOは、当該DPOの職務の遂行に関して、管理者又は処理者から解任され、又は罰則を受けることがない。DPOは、管理者又は処理者の最高経営者レベルに対して直接報告しなければならない(38条3項)。
DPOは企業の法令遵守を促進させ、関連利害関係者(例えば、監督機関、データ主体及び組織内の事業部門)の仲介者としての役割を果たす(39条)。
データ主体はDPOと連絡を取ることができる(38条4項)

エ DPO不選任、利益相反義務違反等の罰則
1,000万ユーロ、又は世界売上総額の2%以下の金額の罰則の定めがある(83条)。

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連する記事