- 2024年10月3日
今回ご提供するeBookのテーマは、「コンプライアンスからガバナンスへ-日本企業が備えるべき組織的体制(日本企業におけるDPOとEU代理人)」です。
GDPR施行から2年が過ぎ、執行事例も増えてきました。GDPR遵守は、法対応の段階から運用面でのガバナンス整備の段階に進みつつあります。
このeBookでは、特に問い合わせの多いEU代理人、DPOに関して改めてその役割、選任義務、昨今の動向、および日本におけるプライバシー保護レベル向上に向けた各種検討状況を整理しています。
サンプル(冒頭3ページの抜粋)
1. GDPRにより日本企業に要求されるプライバシーコンプライアンス(組織的体制)
(1)EU代理人
EU代理人とは、EU域内に拠点のある自然人又は法人であって、GDPRの域外適用される企業から書面によって指名され、GDPRに基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する(GDPR4条17項)。
EU代理人は、主にEU域内の監督機関やデータ主体からの連絡を受け、職務を行う。
ア 選任要件
GDPRが域外適用される管理者または処理者は、原則EU代理人(GDPR27条)を置く義務がある。
(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視に関連する場合、EU域内に拠点のない管理者又は処理者にGDPRは適用される(域外適用(3条2項))。
域外適用(3条2項)される管理者又は処理者は、書面により、EU域内における代理人を指定しなければならない(27条1項)。
ただし、「一時的」なもの、かつ、センシティブデータ取扱いを大量に含まず、かつ、自然人の権利及び自由に対するリスクが生ずる可能性が低い場合にはこの限りでない(27条2項)。
なお「一時的」とは管理者または処理者の通常の事業又は活動外で発生する取扱活動とされている(EDPBガイドライン3/2018)ことから、この例外に該当する場合はほぼないと考えられる。
イ 企業の義務
プライバシーノーティスにEU代理人の身元及び連絡先を記載する義務がある(13,14条)
管理者または処理者は、30条処理記録の内容更新に責任をもち、EU代理人に対して、すべての正確かつ最新の情報を提供しなければならない(EDPBガイドライン3/2018)
ウ EU代理人の役割
管理者、処理者のEU代理人は30条処理記録を保管し、監督機関の要請に応じて当該記録を利用できるようにしなければならない(30条)。
EU代理人は、監督機関やデータ主体への対応を行うため、管理者又は処理者から委任を受ける(27条3項)。
EU代理人は原則として、監督機関及びデータ主体が使用する言語で連絡をすべきである(EDPBガイドライン3/2018)。
監督機関は、EU域外の管理者または処理者に課された制裁を、EU代理人に向ける可能性がある(EDPBガイドライン3/2018)。
エ EU代理人不選任の罰則
1,000万ユーロ、又は世界売上総額の2%以下の金額の罰則の定めがある(83条4項)。
(2)DPO(データ保護オフィサー)
DPOの主な役割は、企業の個人情報の取扱いを適用されるデータ保護ルールに準拠させることを確保させることにある。
ア 選任要件
以下の場合、DPOの選任義務がある(37条1項)。
- 公的機関又は公的組織によって行われる場合
- 管理者又は処理者の中心的業務が、データ主体の「定期的かつ系統的な監視」を「大規模」に要する取扱業務
- センシティブデータや犯罪データの「大規模」な取扱い
- 加盟国の国内法により要求される場合(例えばドイツは個人データの自動処理(コンピュータを利用した処理)に少なくとも20人関わっている場合、スペインは特定の業種(教育機関(私立大学等)、大量個人データを扱う通信会社、大量個人データを扱うIT会社、クレジット会社、保険会社、証券法の規律する投資会社、電気・ガス供給会社、広告・マーケティング会社、患者の記録を保持する医療施設、オンラインゲーム運営・開発会社、子供のデータを扱うスポーツ連盟等)につきDPOの選任義務がある)
-
※「定期的かつ体系的な監視」を構成しうる活動事例(ガイドラインwp243)
- データドリブンマーケティング活動
- リスク評価目的のプロファイリングとスコアリング(例えばクレジットスコアリング、保険料の確定、不正防止、マネーロンダリングの検知のため)
- 位置追跡(例えばモバイルアプリによる)
- ロイヤリティプログラム
- 行動ターゲティング広告
- 例えばスマートメーター、スマートカー、ホームオートメーションなどの接続機器
-
※「大規模」かどうかの判断は以下の要素を考慮する(ガイドラインwp243)
- 関係するデータ主体の数
- 取扱われるデータの量及び/又は異なるデータ項目の範囲
- データ取扱業務の期間又は永続性
- 取扱業務の地理的範囲
また、DPOは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びにDPOの職務を充足するための能力に基づいて指定される(37条5項)。
イ 企業の義務
DPOを選任した場合、監督機関に通知しなければならない(37条7項)。
管理者及び処理者は、DPOが、その職務の遂行に関し、いかなる指示も受けないことを確保しなければならない(38条3項)。
管理者又は処理者は、DPOの職務及び義務が利益相反とならないことを確保しなければならない(38条6項)。
DPOを選任した場合、プライバシーノーティスに記載しなければならない(13,14条)。
管理者は、データ保護影響評価を行う場合、その指定をしているときは、DPOに対して助言を求めなければならない(35条2項)
ウ DPOの役割
DPOは、当該DPOの職務の遂行に関して、管理者又は処理者から解任され、又は罰則を受けることがない。DPOは、管理者又は処理者の最高経営者レベルに対して直接報告しなければならない(38条3項)。
DPOは企業の法令遵守を促進させ、関連利害関係者(例えば、監督機関、データ主体及び組織内の事業部門)の仲介者としての役割を果たす(39条)。
データ主体はDPOと連絡を取ることができる(38条4項)
エ DPO不選任、利益相反義務違反等の罰則
1,000万ユーロ、又は世界売上総額の2%以下の金額の罰則の定めがある(83条)。
(3)近時の動向
ア EU代理人
欧州委員会(European Commission)によるGDPRの評価及び見直しに関する報告書(2020/6/24)(COM(2020)264 final)
- GDPR97条2項によると、2020/5/25までに欧州委員会は、欧州議会及び理事会に対し、本報告書を送付するとされていたが、同報告書はCovid-19の影響により公開が遅れ、2020/6/24に公開された。
- 同報告書によると、具体的に様々なアクションがGDPR適用をサポートするために必要であるとされている。その中の一つとして、委員会は、監督機関に対し、GDPRの域外適用がされる第三国の会社に対して、代理人選任の観点も含めて効率的な執行を確保することを求めている。また、委員会は2024年の評価レポートにおいてもその履行を監視するとされている。
- EU代理人の執行強化の背景に関しては本レポートにおいて以下の通りイタリック体で記載されている。
「EUデータ保護ルールの国際面の重要な観点として、EU市場で活動する外国企業の処理活動をカバーする地理的適用の拡張がある。
GDPRの効果的遵守及び、真実の公平な競争(true level playing field)を確保するために、監督機関による執行において、この拡張が適切に反映されることが極めて重要である。これらは、特に、必要であれば、EU域外に本拠を置く会社の代わりまたは追加的に指名される管理者または処理者のEU代理人を関与させなければならない。このアプローチは、海外企業はEUに設置されていないからといってGDPRの責任から解放されるものではない、という明確なメッセージを送るためにより活発に追求されなければならない。」 - また本レポートと同時に公開された事務局作業文書vにおいては、EU代理人の選任を行わなかった企業に対しては、監督機関はGDPR58条の全ての執行(例えば、公的な警告、EUにおける一次的または最終的な処理停止処分、EUにおける共同管理者への執行)を行うべきとしている。
イ DPO
(ア)執行事例(不選任、利益相反義務違反)
- 2019/12にドイツハンブルグの監督機関がFacebookのドイツユニットに51,000ユーロの罰金を執行した。Facebookはアイルランド本社にDPOを選任していたが、監督機関に通知していなかった。ハンブルグの監督機関は、DPOの選任と通知が企業の義務であると真剣に考えられていることを強調。本制裁は他の企業への警告とされるべきであると述べた。
- 2020/4/28にベルギー監督機関がGDPRのDPOの利益相反に基づき50,000ユーロの罰金を執行した。データブリーチ通知に基づき、ベルギー監督機関は当該企業のデータ保護実務とプライバシープログラムの調査を実施した。ベルギー監督機関は、本件において内部監査室長、リスク管理部門長、コンプライアンス部門長及びDPOの兼任は、DPOを利益相反させない企業の義務に違反するとした。内部監査室長とリスク管理部門長とコンプライアンス部門長の地位において、DPOとして選任された人物が、これらの部門において生ずる個人情報処理の目的と手段を決定することは、これらの個人情報処理に責任を有することとなる。役割の複合により、内部監査室とリスク管理部門とコンプライアンス部門において生ずる個人情報処理に関して、独立したDPOによる監督の完全な欠如がある。またこの複数の役割のためDPOは関連する従業員について守秘義務とセキュリティの点で十分な保証を提供できない。監督機関は3ヶ月以内に当該問題を修正するよう命令し、50,000ユーロの罰金を科すことを決定した。
(イ)活動実態のないFAKE DPO問題(ドイツ)
近時、ドイツ監督機関が、活動実体がない現地FAKE DPOを問題視。監督機関が、FAKE DPOの担当する会社につき、調査を検討しているという話もある。
2. 日本におけるプライバシーガバナンスに関する議論
(1)個人情報の保護に関する法律(「個人情報保護法」) 令和2年改正過程等
日本の個人情報保護法には、GDPRのようなEU代理人やDPOを設置することを明確に定める直接的な規定は存在していない。しかし、近時以下のように、企業の(プライバシー)ガバナンスの観点から、「プライバシー保護責任者」(企業における個人データ取扱いに関する責任者)を設置することに関する議論が見られる。
ア 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(平成31年4月25日 個人情報保護委員会)
・・・
続きはebookをダウンロードください