EU一般データ保護規則（GDPR）

1) EU一般データ保護規則（GDPR）が施行されましたが、これまでと比べ最も重要な変更点は何でしょうか。

これまで企業は、情報漏洩があった場合にのみ、被害を受けたシステムのセキュリティ状態を提示する必要がありました。ところがGDPRの発効により、「証明責任の転換」が起こりました。つまり、「どこで、誰が、どのように個人データを取り扱い、これらがどのように保護されているのか」を、企業が全て証明しなければならなくなったのです。

また、適用範囲も変わりました。これにより、EU域内に拠点がなくても、商品やサービスをEU域内で提供していたり、EU域内で（ウェブ上のトラッキング等を利用して）個人の監視を行う企業は、GDPRを遵守しなければならなくなりました。 

2) 企業のデータ保護については、誰が責任を負うのですか。

法律、特にここではデータ保護法になりますが、これらを遵守する責任は常に社長（経営責任者、オーナー、取締役等）にあります。したがって、企業の長である社長が、どのように企業を率いて行きたいのか、どのリスクを取りたいのか、又は取るべきなのかを、自分で決定しなければなりません。その際、データ保護オフィサー（DPO）は、内外にある様々なリスクを回避するために社長をサポートします。DPOは指示に縛られず、社内で特別な地位にあることが法で定められていますので、階層的には社長に続く「ナンバー2」になります。社長は常にDPOの意見に耳を傾けねばなりませんが、それを実行に移すかどうか、あるいはどの程度実行するかについては、社長自らが決定します。

3) どのような場合にデータ保護オフィサー（DPO）の任命が義務付けられている、又は推奨されているのですか。

ドイツでは、10人以上の従業員が定期的かつ自動的に個人データを取り扱っていれば、DPOを任命しなければなりません。したがって、10人以上の従業員がメールアカウントを使用していれば、それだけで要件を満たしたことになります。

これに該当しない小規模な企業にはDPOの設置は必ずしも義務付けられてはいませんが、大企業と同じ法律や記録義務（文書化義務）が適用されます。つまり、企業の規模に関わらず、データ保護に関する十分な知識（例えば個人データの処理方法や保護措置について）を提示し、データ保護監督当局からの要請があった場合には、迅速に対応することが義務付けられています。  

4) 社内からDPOを任命すべきですか、それとも外注すべきですか。

従業員にDPOとなるための研修を受けさせ、社内DPOとして任命するか、あるいは外部からDPOを委託するかは、各企業の選択に委ねられています。実際は、データ処理の種類、範囲、時間やコストを検討した上で決定しているところが殆どのようです。大企業になると、DPO代理のポストがあったり、DPOをサポートする専門チームが設けられているところもあります。

特筆すべきは、従業員をDPOとして任命した場合には、その従業員は、従業員代表組織である事業所委員会（Betriebsrat）にも匹敵する、強力な解雇保護の対象となることです。

また、社内DPOが往々にして自社内のデータ保護にのみ精通している一方で、外部DPOは、複数企業で培った経験を比較したり、活用することができます。こうした経験は、存在するリスクや、適切なデータ保護レベルをより正確に判断するのに役立ちます。

5) DPOの役目は何ですか。

DPOの主な役目は、データ保護がきちんと遵守されているかどうか確認し、記録（文書化）することです。そのために、定期的に（少なくとも1年に1回）検査を行い、検査結果と推奨事項のリストを作成し、社長に提出しなければなりません。さらに、DPOは社内外の従業員、顧客、サプライヤー、官公庁、関係者、そして企業のデータ保護について質問がある全ての人々の相談窓口となります。誰でもDPOに直接質問する権利があり、匿名で連絡しても構いません。弁護士と同じで、DPOには守秘義務があります。 例えば、社内のあるプロセスが、指針又は法律に違反している恐れがあると気付いた従業員が、匿名でDPOに相談をした場合、この従業員は安心してDPOに全てを打ち明けることができます。

DPOはこれを社長に相談することはできますが、その従業員の身元を明かしてはいけません。DPOはまた、データ保護に関連する全ての出来事を文書に記録し、必要に応じて監督当局に報告する義務があります。社長がDPOの警告を無視したり、顧客の同意を得ずにニュースレターを送ることを決定したり、又はコスト節約のために故意に記録義務に従わないことを決定した場合には、DPOはこれらを文書に記録しなくてはなりません。 さらにDPOは、企業内で定期的に（少なくとも1年に1回）データ保護に関する研修が確実に行われるようにしなくてはなりません。研修の形式は企業によって異なります。例えばDPOが講義をする形式（試験付き又は無試験）や、オンライン講座、あるいは自習用教材を配布するだけという方法もあります。また、DPO自身も定期的に研修に参加し、資格を更新し、法的・技術的な最新知識を習得することが義務付けられています。

6) DPOの役目ではないものは何ですか。

DPOには指示を与える権限はありません。したがって、従業員に対し、どのように仕事に取り組むべきかを指示することはできません。これは上司の役目です。

DPOの任務はあくまでも推奨を提言することにあり、その上で、法的要件の実施状況を検査します。GDPRの導入以来、企業はデータ保護に関してより詳細に文書化しなければならなくなりました。文書化の方法については、企業の裁量に委ねられています。手書きのメモから、ISO9000シリーズや27000シリーズの規格に基づく複雑なデジタル・マネジメントシステムまで、様々なものが考えられます。これらの文書（コンセプト、ガイドライン、作業指示書、説明書等）の作成はDPOの仕事ではありません。しかし、DPOは経営陣に提案をしたり、サポートをすることはできます。また、2018年5月25日より、DPOの監督当局への登録が義務化されました。ただし、DPOが自らを登録することはできず、任命をした企業が自社のDPOを登録しなければなりません。

7) どのぐらいの費用が必要になりますか。

高額の罰金が科せられることを考えると、データ保護には積極的に投資をした方が得策だと言えます。端的に言って、データ保護にはお金がかかります。しかし、その出費を惜しむと、最終的にははるかに高くついてしまいかねません。一方で、データ保護を上手く実践すれば、マネジメントシステムやプロセス志向の手続の導入により、データ処理が安全になるばかりでなく、大幅な効率アップが見込めるため、コスト削減に繋げることも可能です。また、DPOはデータ主体（個人）の頼れる相談役でありながら、監督当局からの問い合わせにもプロフェッショナルに対応できる専門家です。そのため、DPOを任命するだけでも、企業の付加価値は高まります。

従業員が社内DPOとして任命される場合、この従業員は研修に定期的に参加せねばならず、専用の部屋が必要となる場合もあり、また、経営陣による十分なサポート体制も不可欠です。外部DPOを任命する場合は、通常は年額又は月額の基本料金を支払うことで、公認DPOの選任と、契約により定められた時間内での対応が保証されます。その上で、作業量に応じて、時間制でDPOの業務に対する報酬を支払います。

つまり、「make or buy（自製か外注か）」の原則に基づき、自社で行うべき業務と、外部のサービス事業者に委託すべき業務を、予算計画の際に各社社長が決定しなければなりません。この際、ドイツに拠点を置く日本企業の子会社は、日本の本社に対して、「なぜその予算が必要なのか」の説明を求められる場合も多いでしょう。特に、日本における個人情報保護の概念は、ドイツにおけるデータ保護とは異なるため、最初は日本側からの理解は得られにくいかも知れません。

とりわけ、GDPRを契機に初めてデータ保護に取り組む日本企業の場合は、遅れを取り戻すのは大変です。この場合には、膨大な時間やコストが必要になることを覚悟しなくてはいけません。数十年に渡りデータ保護に真剣に取り組んできたドイツ企業の場合、既に一定額が予算に組み込まれています。それでも今年度はGDPRの施行に伴い、例年より出費ははるかに多くなるでしょう。

ドイツ国内ですら、懐疑論者にデータ保護の重要性を説くには、しっかりと論理立てて説明をする必要があります。DPOはこうした場面においても、データ漏洩の事例を調査し、発生した費用（制裁金、損害賠償請求、慰謝料、ITシステムの復旧にかかった費用等）などの情報を提供することで、説得のサポートをすることができます。

8) DPOと弁護士、それぞれの役割を教えてください。

DPOはデータ保護に関する技術的及び組織的要件についてはもちろん、関連する法律（GDPR、ドイツ連邦データ保護法（BDSG）、刑法等）にも精通している必要があります。しかし、法律相談に乗ることはできません。そのため、DPOによるコンサルティングを弁護士が補完することができれば、最も理想的です。

Enobyte GmbHは、特に日本企業や国際法を専門とする、複数の信頼できる法律事務所と協力しています。

9) 日本へのデータ移転に関する変更点はありますか。

2018年7月17日、EUと日本はデータ保護レベルの交渉において最終合意に至り、安全にデータ移転が行われる領域としては世界最大となる領域の誕生に向けて、大きな一歩を踏み出しました。

この合意により、双方のデータ保護レベル、つまりEU一般データ保護規則（GDPR）と、日本の「個人情報の保護に関する法律」の規定するデータ保護の水準が同等であること（「十分性」）が、相互に認められたのです。

十分性認定の決定は、今秋に欧州委員会と日本の個人情報保護委員会（略称：PPC）により、同時に採択されることになっています。

参照記事：

1) EU：http://europa.eu/rapid/press-release_IP-18-4501_de.htm
2) PPC：https://www.ppc.go.jp/files/pdf/300717_pressstatement2.pdf 

10) 監督当局の検査はどのように行われるのですか。

一般に、データ保護に関する検査には二種類あります。「一般検査」では、企業はアンケートに回答し、重要文書（データ処理に関する業務一覧、データ保護コンセプト、技術的及び組織的措置等）のコピーを提示するよう求められます。

「集中検査」では、管轄監督当局の職員が事業所を訪問し、従業員への聞き取り調査をしたり、職場やITシステムのチェックを行います。通常は、こうした検査は数週間前に通知され、企業が必要な対応をする時間が与えられるようになっています。

  

注意事項：上記は一般的な情報提供のみを目的とするものであり、法律相談に代わるものではありません。特に、個々のケースの特殊性を考慮した、弁護士による個別の法的助言を代替するものとはなりえませんのでご注意ください。 

 

2018年5月、実業之日本社より『GDPRガイドブック』が出版されました。共著者であるグンプ氏のご厚意で、同書を10冊、DJW会員の皆様に寄贈させていただくこととなりました（先着順）。ご希望の方は、DJW事務局までお問い合わせください（services@djw.de）。