【PR】DPOは会社のためだけに働けません。~あなたは人権派?~


皆さんのご経験は法務・コンプライアンス関係あるいはITの分野でしょうか。メインフレーム派あるいはパソコン派でしょうか。今どきパソコン派も古いですね。たぶん若い読者の方でなくてもスマホ派が世の中では多数いると思います。今どきメインフレーム派というと時代遅れの感じがありますが、法務コンプライアンスの分野は不思議とどちらでもない「人権派」が、以前から優勢で、さほど陳腐化せずに世の中を闊歩しています。

日本において人権派といっても幅はあります。特に個人情報保護の分野の法律は、古い言葉で表現すれば日進月歩です。日本における個人情報保護法は、平成17年に施行されています。例えば関連する「個人情報保護に関する基本方針」は何度か見直しをされています。そして法律自体も、つい最近のことですが、令和2年6月に法律改正がありました。他国の法制と比較すると、例えば罰金の金額が少なく実効性が担保されているのかなど疑問は残りますが、法律が施行されることにより、人権の保護については明らかに進んできているといえるでしょう。

海外に目を向けると、しばらく前から個人情報保護に関してDPO(データ保護オフィサー:Data Protection Officer)という制度が確立されていることがわかります。法律によって定義されているDPOの義務や責任(しいて言えば守備範囲)は違ってきますが、DPOは個人情報保護法制、特にEU(ヨーローッパ連合の)法であるGDPR(General Data Protection Regulations)によって認められた人権の番人として機能しています。DPOは企業における従業員としての立場にあることまでは否定されていませんが、基本企業等(会社などの所属している組織)の一員としてではなく、むしろ企業等を取り締まる立場の監督当局と連携して、独立的に対応します。

前置きが長くなりましたが、DPOの真髄は人権派であるところにあります。もちろんやみくもに人権を訴えるものでもありません。他方、従来からの従業員の立場だけで行動しているDPOは失格の烙印を監督当局受けてしまい、その結果、企業としてはDPOがうまく機能していなかったばかりにGDPRによる莫大な制裁金(全世界での売上総額の4%以下もしくは2千万ユーロ<例えば1ユーロ=120円として24 億千万円>のどちらか高額な方を上限)から逃れられない状況が発生することがあります。企業等は様々な危険回避策を模索することができますが、その中で最も有望なのは、DPOによる企業に対する助言です。

DPOは監査役に似ていると言われることがあります。例えばしっかりした監査役が会社内の不正を暴き未然に会社の損失を食い止めることができるように、DPOがうまく機能すれば適切な助言を企業等に受けてもらい、未然に個人情報保護の体制のほころびを見つけてもらい修復することができます。監査役や社外取締役も、日本の会社法では社内の組織に含まれる者ではありませんが、DPOも同様に企業からは独立性を保ちながら個人情報保護の体制をチェックして取締役会等で直接的に経営陣に対して発言するところにあります。

また、DPOは監査役、社外取締役よりさらに独立性が高度にあるとも言えます。DPOは助言できる前提としてあらゆる個人情報保護に関する事項について企業等から情報を受け取る権利があり、そのような情報をもとに企業等に対しては助言を行います。最初に書いていますが、DPOにはジレンマがついて回ります。DPOは企業等の立場も分かったうえでデータ主体(または個人)の人権に配慮しなければいけません。GDPRには、企業等からDPOはしっかりとサポートされて活動するべきことが規定されています。したがって、経費あるいは人的資源(補助者等)も必要に応じて企業はサポートすることが求められています。

日本の社会は「恥」を恐れることで成り立っている面があります。たとえ法制上(例えばGDPRにおいて)DPOが企業からの法的な責任を問われないとされていても、間違った助言や不適切なアドバイスをするDPOには当然結果がついてきます。そのようなDPOは監督当局からの信頼も失い、結果的にDPOとして機能することができなくなります。

次回でもう少し詳しく、DPOのお仕事とそれに対する責任について考えていきたいと思います。

執筆:福田 学(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp

関連情報

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事