第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

前回の第2回は、「GDPRへ対応するための作業ステップと事前準備」について説明しました。

第３回はGDPRへの対応要件の大きな一つであるデータ保護責任者(Data Protection Officer、以下「DPO」という)の設置、ならびに、EUおよびEEA圏向けWebサイトがある場合のプライバシーポリシー、Cookieポリシーの作成についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座（以下GDPR講座）で解説される内容を参考に説明していきます。

１．データ保護責任者（Data Protection Officer）略称DPOの設置

■データ保護責任者DPOとは

データ管理者またはデータ処理者に指名が義務付けられる専門職であり、独立した立場で経営陣へ意見する等の権限を有します。また個人データ保護の分野の専門的知識、経験、技能が必要となります。Pマーク（個人情報保護マネジメントシステム　JIS Q 15001:2006）における個人情報保護管理者に類似しますが、GDPRではその地位、役割、業務内容がより強化されたものになっています。

■データ保護責任者DPO設置の目的

GDPRにて求められているデータ保護責任者(DPO)を設置し、GDPRの平時の運用やデータ漏えい時の有事対応の対応責任者を明らかにし、説明責任を強化することです。

■DPOと個人情報保護管理者（CPO）、個人情報保護監査者の違い

DPOはJIS Q 15001 個人情報保護マネジメントシステムにおける個人情報保護管理者、個人情報保護監査者やCPO(Chief Privacy Officer)、と比較されることも多いがその違いを以下に整理しています。

■データ保護責任者DPOの選任義務の要件

GDPRでは、以下4つの要件に一つでも当てはまる場合にはDPOの選任が義務付けられています。

・個人データ処理の一部が公的機関又は団体（役所、保険組合など）によって行われているか
・個人データ処理が、防犯カメラ等による大規模、定期的かつ系統的な監視データを含むか
・中心的業務が、特別カテゴリー又は有罪判決及び犯罪に関する個人データを大規模に処理する作業か
・ドイツに拠点があるか。ある場合、10名以上の従業員を雇用している、データの自動的処理が継続的に発生する、もしくは、データ保護影響評価（※）が必要となる個人データ処理を実行している、のいずれかに該当するか。
※データ保護影響評価（Data Protection Impact Assessment：DPIA）とは
データ保護影響評価（DPIA）は、データ主体のプライバシーに対するリスクを測定、分析、評価する、
プライバシー保護対策の1つです。GDPR第35条 に定められています。

GDPRでは、以下の場合などにDPIAを実施することが求められています。

・プロファイリング
・「特別なカテゴリーの個人データ」（人種、政治、病歴等）もしくは犯罪に関するデータの大規模な利用
（例）患者のカルテを大量に保有する病院
・大規模に行われる公共の場でのモニタリング
（例）監視カメラによる記録、購買履歴に基づく広告表示、乗車状況を追跡している公共輸送機関

■データ保護責任者DPOの設置要件

GDPRでは、DPOへの選任する担当者の要件として以下のような事項が求められています。

・DPOの選任
‑専門家としての質、特にデータ保護法及びその実務の専門知識ならびに任務を遂行する技量に基づいて選任されるものとする。技量とは、例えばGDPRのみならず、日本やそれ以外のプライバシー保護の知識や考え方を理解し、現地当局と同一言語でコミュニケーションできる能力等を指す。
‑データ保護オフィサーは管理者もしくは処理者の従業員であるか、又は業務契約に基づいて職務を遂行する者でもよい。

・DPOの業務
‑個人データを取扱う従業員等にGDPR等による義務を通知すること。
‑GDPR等に関する組織の方針の遵守状況のモニタリングを実施すること。
‑個人データを取扱う従業員への意識の向上及び訓練、監査等を実施すること。
‑DPIAの実施に関する助言及び実施状況のモニタリングを実施すること。
‑取扱いに関する問題について監督機関との問い合わせ先となること。

・DPOの地位
‑DPOは、業務の遂行に関し、管理者又は処理者から必要となる資源の提供を受けることとする。
‑DPOが業務の遂行に関してあらゆる指図を受けないことを確実にしなければならない。業務遂行に関して解雇又は罰則を受けることがあってはならない。
‑DPOは、管理者又は処理者の経営層に直接報告を行なうものとする。
‑DPOは、その他の任務や義務も遂行できるものとする。
‑DPOは、GDPR等に従って、業務に関連した秘密又は機密を守らなければならない。
‑DPOの任務や義務が利益相反にならないよう確実にしなければならない。利益相反のある地位は、シニアマネジメント等が該当する

GDPR講座で紹介されたGPOの設置検討における回答例を参考に掲載します。
（文末で本入力用紙を含む資料をダウンロード可能）
出典：
ニュートン・コンサルティング発行
～GDPR完全対応講座～ワークショップ解説資料より抜粋

選任義務がある場合(もしくは、選任義務がなくても任命したほうが運用がスムーズである場合）、次項の設置要件を踏まえ、適切な担当者を任命します。

現実問題としてすべての要件を見たような人材がいないと悩まれるケースも多く想定されます。
すべての要件を満たす人がいない場合、社外の専用サービスを利用することも可能です。
また、すべての要件を満たす人が社内におらず、社外サービスの利用も困難な場合、満たす要件、満たせない要件を明確にし、満たさないが選定した理由を明文化しておくことを推奨します。

２．プライバシーポリシーの作成

■プライバシーポリシー作成の目的

個人データの処理について、目的や処理内容を伝え、データ主体の権利を遵守します。

■プライバシーポリシーに含めるべき事項

以下の事項をプライバシーポリシーに含めるようにします。

・取得する個人データ情報
・個人データの取得目的
・個人データの保存期間
・個人データの利用方法(13歳以下を含む取扱い)
・第三者(処理者)による開示・提供・共有
・セキュリティ施策
・クッキー等の取扱い
・ポリシーの変更手続き・連絡
・個人情報の開示、訂正、削除、追加、利用停止、消去
・他のウェブサイトへのリンク
・他地域へのデータ転送
・連絡窓口
・制定、改訂日

■プライバシーポリシーのWebサイトへの掲載

プライバシーポリシーのWebサイトへの掲載は、後々プライバシーポリシーをWebサイトのリンクとして参照して社外への告知を行うためにも取り組むべき事項です。

GDPR講座を開催するニュートン・コンサルティング社のプライバシーポリシーが参考になります。
https://www.newton-consulting.co.jp/policy/

３．Cookieポリシーの作成

■Cookieポリシー作成の目的

GDPRではWebサイトでのCookieも個人データであり、EEA地域の方向けのWebサイトがある企業は、Cookie取得することについて、同意を得る必要があります。ついては、Webサイト閲覧者からクッキー取得の同意を得る仕組みを構築することが必要となります。

■Cookieポリシーの例

・英語の場合
We use cookies to improve your browsing experience and help us improve our website.
You’ll find more information on our Cookie Policy here. By continuing to use our website you agree to our use of such cookies.
□Agree

・日本語の場合
●●ウェブサイトは、パーソナライズされたブラウズ体験およびウェブサイト閲覧に必要な機能の向上のため、Cookieを使用しています。
弊社のクッキー利用はプライバシーポリシーに記載されているとおりです。Cookieの使用に同意しますか。
□同意する

GPDR施行直前頃から、この仕組みを採用した大手企業のサイトも多くなっています。読者の皆様も何気なく閲覧する企業のWebサイト上でCookieポリシーに同意しているケースも多いのではないでしょうか。

実装方法の例として、ニュートン・コンサルティング社のWebサイトを見てみましょう。Webサイトへ初めてアクセス（もしくはシークレットモードGoogle Chromeの場合ctrl＋shift＋nでウィンドウを開く）すると、以下赤枠の表示が行われます。
https://www.newton-consulting.co.jp/

「同意して閉じる」を押下するとサイト来訪者のブラウザにcookie情報が保持されている限り次回以降表示が行われなくなる仕組みです。

「GDPR対策をDIYするブログ」第３回は、「DPOの設置、プライバシーポリシー・Cookieポリシーの作成」について書きました。DPOの設置要件の記載シートおよび、ここまでのステップについて、ニュートン・コンサルティング社が開催するGDPR講座で解説される
「～GDPR完全対応講座～ワークショップ解説資料（ワークショップ①～④、⑧⑨抜粋）」の資料を以下よりダウンロードいただけます。

次回GDPR対策をDIYするブログ第４回では、「データマッピングおよび処理者へGDPR対応状況の確認」についてご説明します。

最後に1つご案内させていただきます。

今後、GDPR対策を進める上で、対応を迫られている組織の担当者が1日で対応方針を決定したい。その場でコンサルタントに相談しながら不明点を解決し、自社に戻って実装を進めたいという場合には、以下ニュートン・コンサルティング社が提供するGDPR講座の参加をご検討ください。

ニュートン・コンサルティング　GDPR講座
GDPRセミナー（EU 一般データ保護規則）ツール完全提供！
～完全準拠ツールをすべて提供＆GDPRの概要と取組む際の勘所～
https://www.newton-consulting.co.jp/academy/curriculum/201804gdpr.html
場所:ニュートン・コンサルティング株式会社

【～GDPR完全対応講座～ワークショップ解説資料（ワークショップ①～④、⑧⑨抜粋）】
ニュートンコンサルティング発行

資料ダウンロードフォームを開く

■ZohoにおけるGDPRへの取組の紹介

弊社ゾーホージャパンはグローバル企業Zoho Corporation傘下の日本法人です。GDPR施行の前日2018年5月24日Zoho CorporationのCEOは次の動画による声明を行っています。

https://m.youtube.com/watch?v=IovXB__qQPQ

動画におけるZoho CorporationのCEO Sridhar Vembu による声明内容（和訳）

ご挨拶申し上げます。
ゾーホーは、一企業として、お客様のプライバシーを真剣に考えています。それに向け、我々はビジネスモデルを変更しました。お客様のプライバシーを侵害しないためにも、お客様の明確な許可なくお客様のデータを第三者に売却したり、開示したりすることは決して行いません。この点は今までの我々の対応と全く変わりありません。GDPRはお客様のプライバシーを守るための我々の取り組みをより強いものにさせました。
さらに、これを念頭に置いて、我々はGDPRレベルの運用をワールドワイドのお客様に向け拡大し適用しました。これはヨーロッパの規制ではありますが、GDPRに定められたGDPRレベルのプライバシー保護をワールドワイドのお客様に拡大する宣言をします。
この取り組みは、私たちのお客様のプライバシー保護のための取り組みなのです。
そう。プライバシーを選ぶなら、是非ゾーホーを。
ありがとうございます!

この弊社CEOの声明では、GDPRレベルのセキュリティポリシーをWWの顧客や拠点に対して適用するという宣言を行いました。

また、ZohoではGDPRに対してあらゆる取り組みを開始しております。

GDPR Readiness – Zoho
https://www.zoho.com/jp/lp/gdpr.html（日本）
https://www.zoho.com/lp/gdpr.html

当ブログを運営するIT運用管理セキュリティソフトウェアのManageEngineにおいてもGDPR対応を支援するソリューションを提供しております。
GDPRの要件とManageEngineの対応を示した情報などを以下ページにて公開しております。

GDPR対応ソリューション-準拠に向けたポイント- | ManageEngine
https://www.manageengine.jp/solutions/gdpr/lp/（日本）

GDPR Compliance – Solutions – Checklist – Software | ManageEngine
https://www.manageengine.com/gdpr/index.html

GDPRをDIYするブログ　連載目次
第1回　GDPRの概要と日本における現状
第2回　GDPRへ対応するための作業ステップと事前準備
第3回　DPOの設置、プライバシーポリシー・Cookieポリシーの作成（今回）
第4回　データマッピングおよび処理者へGDPR対応状況の確認
第5回　ギャップ分析と対応策の検討を行う
第6回　GDPRにおけるIT対策
第7回　ルール決定と文書化（最終回）