EUのGDPR（一般データ保護規則）が2018年5月に施行されて1年近くが経過しました。EU域内のデータ主体に対する物品またはサービスの提供などに関し、GDPRは域外適用を定めていて、我が国の企業活動に与える影響が懸念されています。特に昨年のGDPR施行時には日本の個人情報保護規則はEUと同等の水準にあるとの十分性の認定がなく、個人データの越境移転が難しい状況となり、関係する企業では対応に追われてきました。幸い、今年1月に日本とEUの間で十分性の認定がなされましたので越境移転の規制はなくなり、データ処理に関しては、データ主体の同意、データ主体と管理者（コントローラー；個人データの取得者）との契約に基づく原則どおりの取り扱いとなっています。

こうした中、新しい課題として、GDPRが個人データの管理者と処理者（プロセッサー；データ処理の受注者）に対して、データ保護責任者（DPO：Data Protection Officer）の指名を求めていて、その選任をどうするのかが問題となっています。DPOは、公的機関および大規模な個人データ処理、機微情報である人種、政治的・宗教的信条等、遺伝・生体データなどを中心的に取り扱う場合には指名が義務付けられていて、その任務は重大で、かつ公益的役割を持つだけに、企業の組織運営上の困難が伴うからです。DPOの任務としては、①GDPR等の義務について社内に情報と助言を提供、②社内のデータ処理スタッフの責任の割り当て、個人データ保護についてのGDPRや各国の法制、会社の保護ポリシーの遵守状況モニタリング、③監督機関との協力、事前相談の連絡窓口、など非常に広範囲に及んでいるだけでなく、DPOの地位に対し、強い独立性を確保して任務遂行に関して解雇・不利益を課してはならないと規定されています。さらに個人情報のデータ主体（個人）は、会社のデータ処理およびGDPRに基づく事柄についてDPOに連絡を取ることができることと、会社はDPOの作業・義務が利益相反をもたらさないことを保証する義務を負っています。このため、DPOガイドラインでは利益相反となる地位として、例えば、CEO、COO、マーケティング部門・人事部門・IT部門の長などを示しているので適任者の選定を難しくしています。

DPOの資質として、データ保護法制とデータ処理実務の専門的知識、さらに任務遂行の技量が求められ、新しい領域の人材育成・確保が要求される事態となっています。先日、NTTデータの対応を伺ったところ、現在のところ任意のDPOを設置しているが、現行のGDPRでは法定／任意DPOの区別がなされておらず、任意であっても法定と同様の義務を負う可能性があるので会社としての負担が大きい、今後さらにDPOの位置付けの見直しを検討しているところ、とのことでした。

 EUの定めるGDPRの域外適用からくるDPOの機能と役割、地位、選任などは日本の個人情報保護法には規定はなく、同法の改正議論の際も話題になることはありませんでした。しかし、現実にEUのGDPRの適用対象となっている個人データの取得者である管理者（コントローラー）やデータ処理を行う処理者（プロセッサー）の中に、DPOの設置・指名に悩む会社があることもまた実態です。今後の日本の個人情報保護法制への影響を含めてDPOの運用動向を注視しておく必要がありそうです。

私は、このDPOが会社内に独立性を持って第三者的な視点で物事を見る存在である点に注目しています。社内にありながら、公益的（本件では個人情報の保護）な機能を果たすために、会社から不利益な扱いを受けず、利益相反にならない地位を保持する存在を従業員の中から選べるのかという企業組織運営上の根本的な問題が問われています。我が国のこれまでのガバナンス論議の中ではこうした問題意識はなく、株主を始めとするさまざまなステークホルダーの利害を反映する機能を独立社外取締役に求め、さらに行動判断の指針としてESGベースの運営が提唱されてきましたが、GDPRに定めるDPOのように個別の権利に着目して企業内に公益的な役割を果たす存在に注目することはありませんでした。ましてや一般法である会社法上、どのように扱うのかは今のところ不透明です。

ただ、私が知り得る限りでは「公益通報者保護法」には、事業者の法令遵守を推進し国民の安全・安心を確保するため、公益通報者の保護と国民の生命、身体、財産その他の利益の保護に関わる法令の遵守を図る趣旨があり、そのために企業にはさまざまな規制が設けられています。さらに、昨年の1月から約1年にわたって、消費者委員会の下の「公益通報者保護専門委員会」で公益通報者保護法の改正議論が進められて、昨年の12月26日に報告書が取りまとめられ、この1月から3月の間に意見募集も行われています。法改正論議のポイントは、大企業（報告書では労働者数300人超）に内部通報体制の整備義務を課すことです。現行法では内部通報体制の整備は法律上の義務となっていないところを、大企業について法的義務化しようとするものです。具体的な改正法案は未定ですが、公益追求のため大企業の内部通報体制の整備が義務化される方向です。

内部通報体制の整備とともに発生する問題に、通報者に係る情報の共有を必要最小限の範囲にとどめる運用を求める（事業者の守秘義務）ことがあります。こうした守秘義務の遵守はもちろん通報者を不利益取扱いから保護することが公益に資するので、企業に履行すべき義務を課しています。つまり、内部通報体制の整備と適切な運用こそが公益通報者保護法制の根幹であり、企業内に公益的取り組みを義務付けています。公益通報者保護法は2004年制定、2006年施行の法律で既に10年以上の運用実績がありますが、改めて現状見られるコーポレートガバナンス強化の方向やリスクマネジメントの取り組みなどを踏まえてみると、こうした公益を追求する措置・義務を企業組織運営に求めることが多くなっていくと予想できます。個別法による規制が拡大していく流れは当然ですが、会社内に第三者的な視点で物事を見る独立した存在を置くことをどう位置付けるのか、そのような存在を従業員の中から選任できるのかなど人材育成・確保の面を含めて、コーポレートガバナンス議論の深まりが望まれます。企業が社会的存在である以上、一般法でもある会社法でも公益的機能をどう位置付けるのかを考えておく必要があると感じます。

最後に、企業における公益的役割に関係して私自身のことを触れておきます。長期債券などの格付を行っている「信用格付業者」には、監督委員会の設置が義務付けられていて委員の3分の1以上は独立委員であることが定められています（金融商品取引業等に関する内閣府令）。監督委員会は信用格付業者の業務管理体制整備の適切な措置を確保するという公益目的のために設置されているので、独立委員は定期的に意見を監督委員会に提出しています。私は、株式会社日本格付研究所の独立委員に就いていますが、この枠組み自体が米国流なので会社のガバナンスとの兼ね合いに気を付けています。ここでも、公益確保とガバナンス追求とのバランスこそが企業組織運営の要であることがよく分かります。