個人情報保護法第5章(旧行個法)の論点に関する追加メモです。
DPIA
- DPIAの実施・事前相談義務はDPD第9章の通知ないし届出(notification)を置き換えたもの(GDPR Recital 89)。
- DPIAはそれ自体としてはrisk assessmentを求めるにすぎないが、アカウンタビリティ原則やDPbDDと結びつくことで、事実上、risk assessment and mitigationを求めていた。
- この意味で、GDPRのDPIA、DSAのsystemic risk assessment / mitigation、AIAのfundamental rights impact assessmentは延長線上にあるといえる。DPIAガイドライン(WP248)はISO 31000を参照している。
- 日本では、番号法がDPIAを規定しているが、特定個人情報ファイル保有時の義務になっており、個情法第5章の個人情報ファイル保有時の義務の上乗せ規定になっている。
DPO
- DPOは規制遵守の促進者(facilitator)であり、そのために、専門的知識・能力と利益相反の防止が求められる。ガイドライン(WP243)は、利益相反となりやすい職として、CEO、COO、CFO、chief medical officer、マーケティング部門長、人事部門長、IT部門長を挙げている。
- DPOは、しばしばcontact pointであると言われるが、単なるmessengerではなく、事業者・行政機関内部における当局のカウンターパートと理解したほうがよい。
- 日本では、「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」の「4-8 (別添)行政機関等の保有する個人情報の適切な管理のための措置に関する指針」で総括保護管理者の選任が求められているが、官房長等をもって充てるとされている。このことは、指揮監督権限を通じた法の遵守という観点からは一定の合理性があるが、専門性や利益相反の防止とは正面から対立する。
- 日本では、例えば、第1種金融商品取引業においては、「営業部門とは独立してコンプライアンス部門(担当者)が設置され、その担当者として知識及び経験を有する者が確保されていること。」が要求されており、これが最も近いのではないか。
個人データ保護当局の戦略
- 個人データ保護当局は、新興勢力であり、特に行政機関における個人データ保護の実効性を確保するためには、よく考えられた戦略が必要である。
- 外国当局や、国内においては裁判所や公取委の実務をよく研究する必要があるが、基本的には、「法化(脱政治化)」が基本戦略となるはずである。
- そのような基本戦略の下では、首尾一貫した理論的正当化、手続的公正、情報収集手段、早期かつ構造を重視した働きかけ、核心的利益の侵害に的を絞った強力な法執行、といったことが重視されるべきであり、DPO/DPIAはそのためのツールとして位置づけられるべきである。これらについて、考え方を明確化し、公表することも、個情委の権威を高め、行政機関の受容を促進するであろう。
GDPRの公的部門における運用状況のリサーチ方法について
- GDPRの公的部門における執行は、①EDPBの活動が控えめであり、加盟国の裁量に委ねられている部分が大きい、②早期是正に重点が置かれ、データ保護当局が(まずは)非強制的手段を採用しがちである、③対象当局も(最終的には)データ保護当局の意見を尊重しがちであるといった背景のため、EUレベルの問題(例えばEDPBガイドライン、EDPBの拘束的決定、CJEU判決)になりにくく、加盟国当局の運用を個別に調べる必要性が大きいようである。
- 民間部門のように、巨額の制裁金事例やCJEU判例を起点にしたリサーチでは不十分になりやすそうである。
- 加盟国当局では、ひとまず、4大国(独仏伊西)とオランダを参照するのがよさそうである。アイルランドやルクセンブルクは、米系・中国系巨大企業の欧州法人が所在するため、民間部門での法執行においては存在感があるが、規模が小さく(アイルランドは千葉県より人口が少なく、ルクセンブルクは江戸川区や足立区くらいの規模である。)、おそらくあまり参考にならない。
- 実務を調べる足がかりとしては、まずは各国当局の年次報告書を調べるのがよさそうである。
