EUで「GDPR(General Data Protection Regulation:一般データ保護規則)」が施行されて5年以上経つが、これまでGoogle、Meta、Amazonなど米国のプラットフォーマーは軒並みGDPRに違反としたとして、多額の制裁金を課せられている。

しかし、グローバル化やDX推進を標榜する日本企業にとっても、データ保護やプライバシー保護は重要な課題の一つである。自社にとって適切な形でデータ保護を実践するには、何が必要なのか。

そこで、日本DPO協会 理事の小川晋平氏、杉本武重氏、大門学氏に、日本企業におけるデータ保護の実態、データ保護のアプローチ、同協会が推進している資格認定制度などについて聞いた。

DPOはData Protection Officer(データ保護オフィサー)の略で、GDPRでは、個人データを取り扱う事業者が関連するデータ保護法制に遵守することを確かにする役割と定義されている。

同協会は、欧州のGDPRをはじめとした世界各国のプライバシー・データ保護法の制改定、運用の動向に関する情報収集・分析、実務・専門知識の習得・普及およびデータ・インシデント事例の研究などを通じて、プライバシー・データ保護の中核を担うDPOや事業者における個人データ保護の責任者であるCPO(Chief Privacy Officer 最高プライバシー保護責任者)などになりうる専門家を育成することをめざしている。

  • 左から、日本DPO協会 理事 大門学氏、小川晋平氏、杉本武重氏

プライバシー保護の実務ができる人材が不足している日本

GDPRが可決された2016年、小川氏はディレクターとしてIIJヨーロッパを率いていた。IIJはクラウドサービスを提供しているため、大量の個人データを保有している。そのため、小川氏は弁護士である杉本氏の支援を得て、GDPRの対応を進めたそうだ。

小川氏は自社で対応した経験を基に、日本企業のGDPR対応を支援してきたが、「GDPRへの対応が完了しても、その後も運用を回していかないといけません。しかし、日本には継続的にプライバシー保護の実務をできる人材が圧倒的に不足しています。こうした人材を育成していかなければいけないと感じました」と当時を振り返る。

「消費者にイヤな思いをさせないように、ビジネスを進める。これができる人を育てないと日本企業は信用を失い、結果として、日本自体の信頼も失われることになります」(小川氏)

その後、小川氏は日本に帰国。各国にDPO協会があることから、小川氏は杉本氏と共に、日本にも同様の機関を作って、各国の協会、政府、企業とやり取りすることをめざした。

世界各国の当局と日本の企業の橋渡しができる組織を立ち上げ

こうして2019年10月に設立されたのが日本DPO協会だ。同協会は、プライバシー保護の最前線にいる大学教授、弁護士、日本企業のメンバーによって運営されている。代表理事は、初代の個人情報保護委員会委員長で一橋大学名誉教授の堀部政男氏が務めている。

同協会はコロナ禍の影響もあり、オンラインで勉強会を開催してきたが、今年6月、対面形式の「日本プライバシーシンポジウム」を後援した。同シンポジウムは、杉本氏が代表を務めるS&K Brussels法律事務所がFuture of Privacy Forumと共に主催したもの。

杉本氏のコネクションを生かし、EUの公的部門を所管するデータ保護監督当局である欧州データ保護監察官、英国情報コミッショナーオフィスの情報コミッショナー、米国の連邦取引委員会委員、イタリアデータ保護監督当局(Garante)の副委員長、カナダのデータ保護監督当局のプライバシーコミッショナーをパネリストとして招聘した。日本国内でこれほどのメンバーから直接話を聞く機会はそうそうないだろう。

杉本氏は、「日本プライバシーシンポジウムは個人情報保護委員会の理解と協力の賜物です。われわれは個人情報保護委員会と足並みをそろえてやってきました。プライバシー保護は、デジタル庁をはじめ複数の省庁が関わっていますが、関係省庁との連携も重視しています」と語る。