DPOとは何か、DPOとは企業内でどのような役割を担う職業なのかは、日常生活で情報セキュリティに関わらない人にとってはよくある質問だろう。
しかし、たとえ仕事をしていなくても、データ保護が誰の日常生活からもかけ離れていると思っている人は大間違いです。
DPO(データ保護責任者)は、組織を通過する顧客やサプライヤーのデータを含め、企業の情報のセキュリティに責任を持つ専門家である。
そして、セキュリティといえば、認証されたメーリングリストだけがリードの受信箱に届くことができます。ですから、メーリングリストを守りましょう!
DPOという職業は、インターネットの進歩によって生まれ、一般データ保護法(LGPD)が施行された2020年以降に関連するようになりました。
貴社が一般データ保護法(LGPD)に準拠しているかどうか、お知りになりたいですか?このテーマに関する独占ウェビナーがあります!
DPOの役割
データ保護オフィサー(ポルトガル語ではこう呼ばれる)は、データの所有者とともにデータに対する責任を負い、ANPD(ブラジルの国家データ保護局)に対しても説明責任を負う。
つまり、データの収集と使用に関する消費者からの質問や苦情に答える専門家です。
DPOはまた、自社の情報および第三者の情報に関わるすべての活動を監督し、事業がLGPDおよびグッドプラクティスを遵守していることを保証する責任を負う。
このようにして、DPOは、どのようなデータがどのくらい収集され、誰がアクセスし、これらの情報が何に使用され、どのように保存されるかを分析する。
これらの観察に基づき、専門家はマニュアルを作成し、問題を回避するための企業調整を提案する報告書を作成する。
DPOとは単純な機能のように聞こえるが、そうではない。というのも、各企業によって仕事の進め方が異なり、通過するデータの扱い方も異なるからだ。
そのため、専門家は頻繁にその企業の文化に浸る必要がある。情報に関わるすべての動きに目を光らせていなければならないのだ。
DPOという職業の成り立ちはこうだ。
すべての始まり
2014年、フェイスブックのクイズが数百万人のユーザーからデータを収集し始めた。政治コンサルティング会社であるケンブリッジ・アナリティカは、クライアントの政治キャンペーンをパーソナライズするためにこの情報を利用した。
その結果、彼らの説得力のある主張に最も影響されやすい有権者にのみ選挙広告が表示されたため、何人かの候補者が優遇された。
問題は、フェイスブックはデータ収集会社ではなく、個人情報を収集することにユーザーからの許可がないことだ。これはデータ管理の乱用であり、プライバシーの侵害にあたる。
結論として、世界中の8700万人がケンブリッジ・アナリティカにデータを共有された。フェイスブックが発表したメモによると、ブラジルでは443,000のアカウントが侵害された。
このようなことが起きたのは、2014年にユーザーのオンラインプライバシーを保護するための法律がなかったからだ。
この事件の後、欧州連合(EU)はGDPR(一般データ保護規則)を制定した。
ブラジルは2020年に一般データ保護法(General Data Protection Act)を、アメリカは2022年にADPPA(American Data Privacy and Protection Act)を制定した。
DPOの種類
ブラジルには2つのDPOプロファイルがある。それは
法的プロファイル:何ができて何ができないかを監視する専門家。例えば、登録フォームは、ユーザーが許可する限り、機密データを収集することができます。
個人データと機密データの違いを覚えておくとよい。前者は電話番号や住所など個人を特定する情報であり、後者は性的嗜好や政治的嗜好など親密さに関わる情報である。
ITプロファイル:サイバーセキュリティの技術的スキルを持つウェブ開発者。企業データを盗むハッカー攻撃から保護する責任を負う。
データ保護責任者は、どちらか一方のプロファイルに傾倒することもあれば、この2つを組み合わせることもできます(そして、そうすべきです)。両方の責任に関する知識が豊富であればあるほど、企業はより保護されます。
結論
すべてのオンライン・ビジネスは、自社だけでなく、顧客、従業員、サプライヤーからもデータを送受信します。
これらの情報をすべて把握するには、訓練を受けた専門家の存在が必要です。DPOは新しい職業ですが、LGPDを遵守する企業にとっては非常に必要なものです。
法律を破った企業には、最高で売上高の2%の罰金が科されることに注意することが重要だ。
よくあるご質問
企業におけるデジタル化の過程ではデータ処理が必要であり、導光板の制定に伴い、組織は自社および顧客の情報の収集と取り扱いに関する施行中の規則に適応する必要がある。
すべての企業は、導光板の不遵守の問題を避けるために、データ保護担当者を配置する必要がある。
この専門家は、国家データ保護局(ANPD)の前で会社を代表すると同時に、個人データの処理に関する消費者の質問に答える。
DPOはまた、導光板の遵守を保証するために、組織を通過するすべての情報を分析します。
ケンブリッジ・アナリティカのスキャンダルは、フェイスブックのアカウントからデータを収集し、政治キャンペーンを優遇していたことを暴露した。
これがEU初のデータ保護法である一般データ保護規則(GDPR)の制定につながった。このモデルはブラジルでLGPDの制定に、米国ではADPPAの起草に用いられた。
法律制定に伴い、企業がデータ保護規則を遵守しているかを監視する専門家が必要となった。
DPOには法的な側面とIT的な側面がある。前者はできることの分析を担当し、後者はサイバーセキュリティの技術面を担当する。