企業にはデータ保護責任者が必要

ビッグデータがますます巨大化し、地球規模で境界が事実上消滅した世界では、その透過性に伴う危険性が明白になってきました。

これまで、私たちは、アクセスと利便性のために極めてプライベートな個人データと企業データを、深く考えることなく提供してきました。ところが、悪用する可能性のある主体が簡単に入手できる状態で、無防備に大量のデータが放出されていることが認識されて、事態は一変しました。サイバー犯罪者は、悪知恵を働かせて、ときに私たちの不用意さに助けられて、やすやすと機密情報を手に入れます。間近に迫った欧州連合の一般データ保護規則（General Data Protection Regulation、GDPR）に示されるように、消費者、企業、政府は保護モードに入り、防御態勢を強めようとしています。

ヨーロッパと取引のある企業は、来年5月にGDPRが発効することは十分ご承知だと思います。業界アナリストは、期限が来ても直ちに効力を発揮し始めることはないのではないかと規定を真摯に受け止めていない企業が多いことを懸念しています。そして、発効後の違反による制裁の痛みは現実的なものになり得ると警告しています。リスクを犯す価値はありません。違反による制裁を避けるには、コンプライアンスを徹底することです。

ところで、リスクに関して言えば、GDPRで義務付けられているデータ保護責任者の選定は進んでいますか？

データ保護責任者（DPO）とは?

データ・プライバシー --- データ・プライバシーの規制は強化されています --– の優先順位が高くなると、責任者が必要になります。エキスパートが求められます。このコンセプトは全く新しいものではありません。 国際プライバシー保護者協会（IAPP）は、認定された個人に数年間、「公認情報プライバシー専門家」（CIPO）資格を付与しています。多くの大企業が最高プライバシー責任者（Chief Privacy Officer）のような役職を設けています。

GDPRの下では、データ保護法の義務が満たされていることに責任を持つ担当者を任命することは、もはやオプションではありません。少なくともほとんどの企業にとっては。（データ保護責任者を任命する必要があるかどうかについてまだ不明瞭な場合は、この判断ツリーが役立ちます。）

データ保護責任者の責任範囲

データ保護責任者は、以下のような責任を負います。
　　• GDPRに基づく法的義務履行の監督
　　• コンプライアンスを監視し、データ保護法が確実に守られるようにする
　　• 顧客のプライバシーおよび個人データの処理に関する提案された事項について影響評価を行う
　　• 個人情報とデータ保護法に関する質問や懸念事項の連絡窓口としての役割を果たす
　　• 要求された場合、データ「所有者」に対する正式な応答者としての役割を果たす

データ保護責任者には専門知識が要求され、主要な業務はGDPRに定義されている要件だけでなく、（EU以外の）国に特有の規則や業界特有の規則などのすべてのコンプライアンス要件を満たすよう配慮することです。場合によっては、これらの要件が異なる可能性があり、コンプライアンスを確実にするために要件を整理するのはDPOの仕事です。DPOはリスクを最小限に抑えることを心掛けるべきです。

データ保護責任者は必要か？

一般に、GDPRは、ヨーロッパの顧客（英国を含む）に商品やサービスを販売するすべての企業、またはヨーロッパ在住者の個人データを処理または管理するすべての企業に適用されます。GDPRの新しい規則は、業界や実際の所在地にかかわらず、適用されます。中小企業から巨大企業まで、多くのアメリカの企業もGDPRの幅広い制約下に置かれることになります。

複数の所在地または子会社がある場合、各エンティティに「容易にアクセス可能」である限り、一人のデータ保護責任者が責任を担うことが可能です。

急ぐ必要があります

時間はどんどん迫っています。非常に高額の罰金を課される可能性もあります。DPO獲得競争は激化しています（IAPPによれば、ヨーロッパでは約2万8千人のDPOが必要になると言われています）。IT部門の、サイバーセキュリティの専門知識を有する者に対する需要は高く、労力不足は悩みの種です。時間、労力、競争の3つの制約があるため、データ保護責任者の候補を新しく見出すことは難しいかもしれません。

その場合は、既存スタッフの中から適任者を指名することになります。

ですが、あみだくじで誰かをやみくもに選ぶわけにはいきません。データ保護責任者はいったん選任されたら自由に辞めさせられる職種ではないので、人選には慎重にならざるを得ません。DPOの任期は4年です。交渉力のある、信頼される人物であることも重要です。

もう一つの選択肢として、アウトソーシングもあります。そのコンサルタントが自社に対して十分な時間を割いてくれるのかどうか、あるいはある時点で利益相反で悩むことがあるのではないかと疑念が沸くかもしれませんが。

DPO はすべての企業に有意義

データセキュリティを重要視する企業には、データ保護責任者が存在することは大きな意義があります。GDPRは、DPOをデータプライバシーに関する合法性確認と履行の筆頭内部エキスパートと想定しています。

テクノロジーが変化するスピード、データ保護に対する消費者の要求の高まり、不埒な人々の高度な適応性を考えれば、大局的視点でセキュリティを監視している担当者がいることから得られる安心感を望まない企業はないでしょう。

IT部門には多くの才能豊かで経験豊富なITスタッフがいて、それぞれの仕事を担当していますが、個々の担当業務がしっかり遂行されていても、全体的な調整とコミュニケーションに配慮する人はいるでしょうか？誰もが協力し合って、包括的かつ円滑に活動していない限り、サイバー脅威を最小限に抑えることはできません。DPOの採用で、データ保護に対する統一された全体的なアプローチを実現できます。

義務とは明記していないものの、GDPRもすべての企業がDPOを任命することを推奨しています。データ保護にかかわるアクティビティを監視する担当者がいて、情報提供とアドバイスのための連絡窓口があることは望ましいことです。役職名は必ずしもデータ保護責任者でなくても構いませんし、その地位を4年間保証する義務はありません。データのプライバシーに関して、会社や顧客の最善の利益を追求する責任を負うべき誰かが必要です。

苦境の中に見出す光明？マーケティング上の豊かな鉱脈の可能性

DPO、または同等の役職を設けることは、内部的な自己防衛にはとどまらず、積極的な顧客サービス活動の一環とも言えます。そしてそれは重要なマーケティングの機会になります。

正式名称が何であれ、データ保護責任者がいるということは、組織のデータセキュリティへの取り組みを具現する人がいるということです。組織をデータプライバシーの最先端に保つ責務を持った生身の人間がいるということは、大切な顧客とスムーズに交流し、ブランドへの信頼と信用を築くという強いマーケティングメッセージになります。

セキュリティ計画とポリシーが規定されていることを公表することで、好感度は上がりますが、日常的にその計画の実行を監督する担当者が実際にいると言明できれば、それに越したことはありません。セキュリティの脅威とセキュリティ強化の必要性を真摯に受け止めていることを示すからです。

DPOが必要な理由はもう一つあります。 コンピューティングに記載されたある記事によると、「取締役会メンバーのほぼ70％がサイバー攻撃に対処するためのトレーニングを受けておらず、10人に1人はサイバー・インシデントに対応する計画を準備していない。」とのことです。「今日のデジタル時代においては、役員が（セキュリティ問題を）認識することは絶対に重要です。 … どのようなビジネスでも、このような厳しい状況でビジネスを継続させるためには取締役クラスが責任をもって対処する必要があります。」と続きます。セキュリティとコンプライアンスは車の両輪ですから、DPOの任命は、セキュリティ・リスクを削減するための大きな第一歩になり得ます。

DPO を任命しても、ほかの全員にも責任

データ保護責任者を任命（募集、社内から登用、あるいはアウトソーシング）しても、社内全体で警戒する必要性に変わりはありません。DPOは、すべての違反を検出してあらゆる脅威を独力で排除することはできません。すべての問題を一人で事後解決できるわけでもありません。セキュリティは全員が留意すべきものです。DPOの確保は最低条件で、それに続く計画が必要です。

災害復旧計画はお持ちですか？サイバー攻撃は、企業にとってさらに大きな災害になる可能性があり、ブランドの評判や顧客ロイヤルティを損なうだけでなく、インフラストラクチャや機能上の問題を引き起こす可能性があります。

結論：DPOは早急に探した方がいいでしょう。