- 2020年7月7日
各国プライバシー法のDPO/CPOの選任義務
EUのGDPRをはじめとして、世界各国で個人データ保護法令の整備が進んでいます。これらの法令には、企業に対して、GDPRが規定するデータ保護オフィサー(DPO: Data Protection Officer)のように企業の個人情報処理について独立の立場から助言監督を行うべき役職の設置、CPO(最高プライバシー保護責任者)のように企業の個人情報に関して執行責任を持つ役職設置を要求しているものが増えています(EU、韓国、シンガポール、タイ、ブラジル、ベトナム、メキシコ、トルコ、ロシア、インドなど)。
更に、GDPRや米国カリフォルニア州のCalifornia Consumer Privacy Actのように、違反した企業に多額の罰金を科すものも増えてきており、個人情報の取扱に関する企業のコンプライアンスリスク管理が重要になってきています。
DPO…EU、英国
GDPR(及び英国のUK GDPR。以下簡単に「GDPR」とします。)上では、企業が一定の要件を満たす場合、DPOを選任する義務があると定められています。また、企業に選任義務がなくても、DPOの選任はより良い企業のGDPR遵守維持・向上のために推奨されています
GDPRにおけるDPOの役割には、企業のGDPR遵守とITセキュリティ対応の監督という法務・IT両面の対応が必要となり、広範な分野の専門知識も必要になります。
また、欧州とのコミュニケーションに関しては、欧州市民のようなデータ主体からのGDPRに基づく個人情報の照会や、個人データ権利行使に適切かつ速やかに応じる必要があります。
更に、社内においてDPOは、GDPRに基づき独立性を保障され、企業から業務上の指示を受けず、職務遂行を理由に解雇または罰則を受けることがないとされ、企業の取締役会レベルに直接報告を求められるとされています。また、役員や管理職、事業部門や人事・IT部門など、個人データを扱う管理者の方々は、利害の対立(自己監査)のためDPOになることはできません。
CPO(最高プライバシー保護責任者)…韓国、シンガポール、タイ、ブラジル、メキシコ、ロシア等
EU、英国以外の国のプライバシー保護法においては、GDPRのDPOのような独立性の保障や、利益相反禁止のような厳格な規律が定められておらず、個人データの取扱いに責任を持つ者(CPO(最高プライバシー保護責任者)等)を企業に設置することが求められています。
もっとも通常の企業でCPOを設置するときには、プライバシー保護法への対応に責任を持ち、企業の対応を推進し、通常は企業の執行役員として経営会議レベルに直接報告を行うなど、DPOと実質的には同様の職務を行う必要があります。また、CPOもDPOと同様、プライバシー保護法の遵守とITセキュリティへの対応という法務とIT両面の対応が必要となるため、広範な分野の専門知識が必要です。CPOは、DPOと異なり、管理者である会社の執行役員としてプライバシー保護法への対応に責任を負うことになるため、CPOの職務を補佐する立場の専門家が求められます。
以下各国のプライバシー保護法におけるCPOの概要を例示列挙します。
①韓国法(個人情報保護法(Personal Information Protection Act)、規則(enforcement rule))
・管理者は、個人情報の処理に包括的に責任を負うプライバシーオフィサーを任命しなければならない(31条1項)
・管理者は、CPOの業務遂行につき、正当な理由なく不利益を与えてはならない(31条5項)
・管理者は以下の種類の水準を満たす者をCPOに任命しなければならない。公的機関以外の管理者:a.事業主または代表者; またはb.取締役及び執行役(不在のときには個人情報取扱部門の長)(規則32条(2)2)。
②シンガポール法(Personal Data Protection Act(PDPA) 2012)
・組織等は、PDPAの遵守を確保する責任を有する個人を選任し、その連絡先を公開しなければならない(11条3項,5項)
※なおシンガポール当局においては、CPO不選任に関して多くの執行事例がありますので、注意が必要です。
③タイ法(Personal Data Protection Act B.E. 2562 (2019))
※注意:本法律で述べられているDPOはEUの完全に管理者・処理者と独立したDPOとは異なり、CPOの意味合いになります。
・管理者・処理者は、以下の場合、DPOを選任し、DPOの連絡先を公開しなければならない(41条1項、5項)
(1)政府機関である場合(詳細要件は個人情報保護委員会の規則)
(2)個人情報保護委員会の規則が定める基準を上回る大量の個人情報を処理する場合
(3)主要な業務としてセンシティブデータを処理する場合
・DPOは管理者・処理者の従業員、または管理者・処理者と契約を締結したサービス提供者でもよい(41条6項)
・管理者・処理者は、DPOを本法に基づく義務を履行したという理由で解任しまたは罰則を受けさせてはならない。義務履行につき問題がある場合、管理者・処理者の役員に直接連絡することができる(42条3項)。
・DPOは他の業務を行うことができるが、管理者・処理者は当該業務が本法の義務履行に違反しないことを保証しなければならない(42条4項)。
④ブラジル(Lei Geral de Proteção de Dados(一般データ保護法)、INSTRUÇÃO NORMATIVA SGD/ME Nº 117, DE 19 DE NOVEMBRO DE 2020(DPOの選任に関する命令) 2020年11月20日公開)
※注意:本法律で述べられているDPOはEUの完全に管理者・処理者と独立したDPOとは異なり、CPOの意味合いになります。
・管理者は、個人データ処理に責任を有するDPOを選任しなければならない(41条)
・個人データ処理責任者の氏名および連絡先は、明確で客観的な方法で、なるべく管理者のwebサイトで、公表しなければならない(1項)。
・当局は別途、DPOの定義、義務、および避けられなければならない選任状況及びデータ処理の量または企業規模も含め、定めなければならない(3項)
DPOの選任に関する命令において以下が規定されている。
・DPOはIT部門に選任されてはならず、企業のITシステムに責任を有する立場であってはならない(1条1項II)
・本命令の発効日から30日以内にDPOを選任しなければならない(4条)。
・本命令は公開時に効力を生ずる(8条)。
企業グループにおけるDPO/CPOの選任方法
アウトソースの利点
このように各国で異なるプライバシー保護法が施行されている状況は、グローバルにビジネスを展開している、またはこれから展開しようとしている企業にとって、時間やコストの観点から、多大な負担となります。既に各国にビジネスを展開している企業は、DPO/CPOの選任など、各国のプライバシー保護法の要件を遵守し、グループ企業におけるコンプライアンス体制を整備し続けていかなければなりません。また、これから各国にビジネスを展開しようとしている企業は、それらの国のプライバシー保護法を調査する必要があります。そして、それに対応するためのリスクやコストをビジネス展開によるメリットと比較した上で、ビジネス展開の実施について検討しなければなりません。
従って、これらの各国のプライバシー保護法を一から自社内で調査し検討するよりは、外部の専門家にアウトソースした方が、時間やコストの観点から有利と言えます。
DPO/CPOの設置方法(グローバルガバナンス)
各国のプライバシー保護法で求められるDPO/CPOを、どのように貴社グループで設置するかは、貴社のグローバルガバナンスポリシーによって決定される事項と言えます。会社によっては、中央の日本本社で一体運用を行うタイプ(中央集権型)を取る場合もありますし、他方多角的な事業をグローバルに展開している企業では、意思決定の迅速性を重視し、分権化を行う場合(自律分権型)もあると考えられます。DPO/CPOもこのグローバルガバナンスポリシーによって、日本本社にのみ配置する方法(中央集権型)、各社に配置する方法(自律分権型)が考えられます。
尤も、自律分権型の場合でも、内部統制上、子会社に全部放任と言うわけにはいきませんので、日本本社からどのように監視・監督をはかるかが問題となります。特にデータ漏洩等の有事対応の場合、どのように可能な限り迅速に正確な事実を確認し、分析し、監督機関やデータ主体への通知の要否や、広報対応の要否等を、組織として意思決定するかが重要となります。実際に問題が起こったときに検討を始めるのでは対応が遅すぎ、不完全となるリスクがあり、結果として多額の損失を被りかねません。
また、EUや英国で求められるDPOと、その他各国法で求められるCPOは、その責任をDPO/CPO自身が負うか否かの点で異なるため、同一人物が兼任することができないとも考えられます。
このようなことを検討しながら、企業グループにおいてプライバシー保護法対応を検討していく必要があります。
IIJ DPO/CPO補佐サービス
IIJはお客様の個人データをお預かりするインターネットサービスプロバイダとしての立場から、GDPR施行前からEUをはじめ各国のプライバシー保護法への対応を進めて参りました。IIJはこの知見を生かし、グローバルにビジネスを展開している、またはこれから展開しようとしている企業及び企業のDPO/CPOに対し、プライバシー保護法とITセキュリティに高い専門性を持つプライバシー保護法コンサルタントが、各国のプライバシー保護法の調査とその対応をサポートします。
本サービスは、各国拠点のプライバシー保護法コンプライアンスを管理するために、日本本社に統括DPO/CPOを設置する形式も、日本本社及び各国拠点にDPO/CPOを設置する形式もサポートします。
●日本本社に統括DPO/CPOを設置する形式
●日本本社及び各国拠点にDPO/CPOを設置する形式
お問い合わせ、見積もり依頼はお気軽に、お気軽にbizrisk-enquiry@iij.ad.jp までご連絡ください。