データプロテクションオフィサーの仕事
- 編集部の見解や意向と異なる内容の場合があります
- 編集部は内容について正確性を保証できません
- 画像が表示されない場合、編集部では対応できません
- 内容の追加・修正も編集部では対応できません
毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2020年6月25日
- タイトル:データプロテクションオフィサーの仕事
- 発表者:ヤフー株式会社DPO 小柳輝氏
ユーザーの代理人としてのDPO
ヤフー株式会社(以下、ヤフー)では2020年5月1日、社内に「DPO(Data Protection Officer:データ保護責任者)」を新設しました。EU(欧州連合)などに比べると日本企業ではまだ設置が少ないと言われるDPOに就任した小柳輝氏に、社内での役割や日頃心がけていることを伺いました。
DPOは、EUで2018年に施行されたGDPR(一般データ保護規則)の第37条で設置が求められている役職です。ヤフーはGDPRの対象となる、EU向け商品・サービスを提供する企業に該当しませんが、データプライバシーに関する国内外の社会情勢や、事業におけるデータ活用の推進を見据えて設置を決めました。
「ヤフーにおけるDPOの役割を一言で表せば、ユーザーの代理人です。当社はお客様の検索履歴や位置情報といったプライバシー性の高いデータを、サービスの企画やシステム開発などの日々の業務に活用しております。その活用の仕方はお客様の理解に基づくものでなければなりません。そのような配慮や取り組みはDPO設置以前から社内にありましたが今回改めてその姿勢をお客様に、そして社員に示す意義がありました」(小柳氏)
DPOは、社内の事業部門や経営陣から独立した客観的な立場から、日々のビジネスフローがプライバシーに配慮した形で行われているかなど、データ保護の適正性に関する助言・監視、評価を行います。
「サービスの企画やシステムの設計段階からプロジェクトに立会い、『このようなデータの使用方法は、お客様のご納得が得られない可能性が高いですね』『個人情報が特定されないようにする対策としてはこういうものがあり、それらを適切に講じる必要がありますね』といった評価や助言を求められることもあります」(小柳氏)
改正個人情報保護法への対応で優先順位が高いのは、「個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする仕組みづくり」と小柳氏は説明します。
法務部門や情報セキュリティ部門、 CPOとの役割分担は?
DPOのもう一つの役割は、個人情報保護委員会など監督官庁とのやりとりとの窓口となることです。当局の調査や執行に協力し、万一プライバシーに関するインシデントが発生した際の報告を行います…
ソーシャルもやってます!