スペインAEPD、DPO認証制度創設へ


スペインのデータ保護監督機関AEPD(Agencia Española de Protección de Datos)は、同機関がスペイン国内で創設を企画しているデータ保護役(DPO)の認証制度の概要案を公開した。AEPDが国内唯一の認証機関を指定し、同認証機関がDPO認証団体及びDPO教育団体を認証する仕組み。

欧州一般データ保護規則(GDPR)は、定常的かつ大規模に個人を監視する組織及び大規模に機微なデータを処理する組織に対してDPOの指名を義務づける。この義務的指名要件は加盟国法で拡大することもでき、ドイツのように一定数以上の従業員が個人データの処理に従事する場合にDPO指名を義務づける国もある。

DPOの職務内容は、GDPR第39条に5項目が列挙されているが、AEPDの認証制度案資料には、DPOが果たすべき職務内容についてAEPDの考え方が詳細に説明されており、DPOを指名するあらゆる組織にとって非常に参考になる内容を提供している。以下、同資料中のDPO職務内容に関する記述を大意訳出する。

DPOは下記事項について助言と監視(advising and supervision)を行う。
1. 目的限定、データ最小化、正確性などデータ処理の原則遵守
2. データ処理の適法根拠の見極め(訳注:同意、契約履行、正当利益などのうちどれが適しているかの判断)
3. 取得時に説明した目的に照らしてデータ処理が許されるかどうかについての評価(訳注:透明性、公正姓の評価)
4. GDPR以外の業界ごとの法規制への遵守対応の見極め
5. データ主体への情報提供(訳注:13,14条関係)方法の設計と実施
6. データ主体からの権利行使要求の取扱方法の確立
7. データ主体の権利行使要求の評価
8. 処理者の取扱(管理者・処理者間の契約(訳注:28条関係)等に関することを含む)に関すること
9. 個人データの第三国移転について、移転の必要性や組織の特徴に適した適法化措置の見極め
10. データ保護方針の策定と実施
11. データ保護に関する監査
12. 処理業務一覧の作成及び管理(訳注:30条関係)
13. データ処理のリスク分析
14. 処理の内容とリスクに応じた、設計及び初期設定によるデータ保護措置の実施
15. 処理の内容とリスクに応じたセキュリティ対策の実施
16. データセキュリティ侵害の対応手続、リスク評価、監督機関等への報告手続
17. データ保護影響調査(DPIA)の実施
18. 監督機関との関係に関すること
19. データ保護に関する従業員の教育及び意識向上

http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEME_AEPD_DPD.pdf

関連記事