データ保護最高責任者
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/18 23:22 UTC 版)
「EU一般データ保護規則」の記事における「データ保護最高責任者」の解説
裁判所、または、独立した司法当局が司法能力にもとづいて活動する場合を除き、公的機関がデータ処理を行う場合、または、民間部門において、データ主体の規則に基づきかつ体系的な監視を必要とするデータ処理業務を主要な活動とするデータ管理者が、データ処理を行う場合は、データ保護法とその実施について専門的な知識をもつ人物が、データ管理者または処理者が組織内で本規則を遵守していることを監視するよう支援しなければならない。データ保護最高責任者 (DPO) はコンプライアンス最高責任者と似ているが同じではない。両者とも、個人やセンシティブなデータの保有および処理にまつわる、ITによる処理、データ・セキュリティ(サイバー攻撃への対処を含む)、および、事業継続性に関する重大な問題に熟達していることが期待されている。しかしDPOのスキルセットはデータ保護法に関する法的遵守の理解を超える範囲が要求されている。大規模な組織内でのDPOの任命は役員にとっても、関係する個人にとっても困難な課題となる。組織および企業がDPOを任命する際、その対象範囲や性質に応じて、対処すべき企業統治および人的要因が無数に存在するためだ。加えて、DPOに任命された人物は、自身を支援するチームを作る必要があり、それらチームメンバーが継続的に能力開発する責任を負う。その理由は、彼らを雇用する組織から独立し、事実上"小型監督機関"となる必要があるためだ。 データ保護最高責任者の職務と役割のより詳細な内容については、2017年4月5日改訂の指針に記述されている。同指針によれば、全ての組織が行っている、被雇用者への支払いや標準的なIT支援提供等の活動は、組織にとって必要不可欠だが、通常、主要な活動ではなく付随的な活動とみなされる(同指針2.1.2)。つまり、DPO任命の要件とならないとされている。 ただしEU域内の一部の国や地域のプライバシー法制では、GDPRと独立にDPO任命の要件を定めている場合がある。例えばドイツは2017年7月5日、EU加盟国で初めてGDPRに準拠して国内法「ドイツ連邦データ保護法」を改正したが、同法第4f節は私企業でDPO任命が免除される条件を、個人データを自動化された手段で継続して処理する被雇用者が最大9名までの場合としている。つまり10名以上の被雇用者を有するドイツ国内の私企業は、自動処理する個人データの件数や内容、目的にかかわらずDPOの任命が必須となっている。
※この「データ保護最高責任者」の解説は、「EU一般データ保護規則」の解説の一部です。
「データ保護最高責任者」を含む「EU一般データ保護規則」の記事については、「EU一般データ保護規則」の概要を参照ください。
- データ保護最高責任者のページへのリンク