CPOとは？今や企業の大きなリスクになりうる個人情報漏えいを避けるために

情報管理のIT化が進むなかで、避けて通れないものとして「個人情報の漏えいリスク」があります。

ひとたび外部へ顧客情報が漏えいしてしまえば、企業にとって莫大な損害が及ぶだけではなく、回復が困難な信用の損失にもつながります。

このような事態に陥らないために、企業の個人情報管理体制強化を目指し、「CPO」を設置する企業が増えています。

しかし、CPOがどのような役割なのか分からない人も少なくはないでしょう。

今回は、企業が個人情報管理を強化するうえで、大きな役割を担うCPOについて、具合的な業務内容なども含めて詳しく解説します。

CPOとは

CPOとは、Chief Privacy Officerの略称で、社内における個人情報の最高責任者です。近年、個人の情報保護はますます重要性が増しています。

しかし、たとえ企業がどれだけ情報保護に関して従業員への教育に力を入れたとしても、部門ごとに対応が異なっていると対応に不備が生まれてしまいます。

そこでCPOが社内に一貫した情報保護の戦略や方針を組み立て、各部門の情報保護を監視したり監督したり役割を果たすことで、個人情報の保護を強化できる役割を果たすのです。

CPOとCPP・CPAとの違いとは

CPOと混同しやすい用語にCPPとCPAがあります。

CPAはChief Privacy Associateの略称で、個人情報取扱従事者を意味し、一般従業員でかつ、日常的に個人情報を直接取り扱う従業員を指します。

一方、CPPはChief Privacy Professionalの略称で、個人情報管理者を指し、管理職として個人情報を取り扱う従業員を管理する立場です。

CPO…Chief Privacy Officer	社内における個人情報の最高責任者
CPP…Chief Privacy Professional	個人情報管理者
CPA…Chief Privacy Associate	個人情報取扱従事者

CPOとCPPはともに個人情報管理に責任を持つべきですが、役割が被りやすいため、「どちらかがきちんと管理するだろう」と考えてしまい、逆に情報漏えいのリスクが高まるケースもあります。

このような状況に陥らないように、戦略的に情報管理の方針や仕組み、受け持つ業務の範囲を考えるのがCPOの役割だといえるでしょう。

CPOとCIO・CISO・CSOとの違いとは

CPOに似た用語として、CIO、CISO、CSOもあります。
CIOはChief Information Officerの略称であり、セキュリティというよりもシステムに関するポジションです。CIOは情報システムの企画・導入などを行います。

一方、CISOはChief Information Security Officerの略称です。CISOは個人情報やプライバシーに関する責任者であり、CPOの役割と共通する部分もあります。

また、CSOはChief Security Officerの略称であり、職務はCISOとほぼ同じです。CSOにはChief strategy officer（最高戦略責任者）という全く別の用語もあるため、 混同しないように注意してください。

CPO…Chief Privacy Officer 社内における個人情報の最高責任者
CIO…Chief Information Officer 最高情報責任者
CISO…Chief Information Security Officer 最高情報セキュリティ責任者
CSO…Chief Security Officer セキュリティ最高責任者

個人情報の保護に関する時代の動き

インターネットの普及に伴い、アメリカでは2000年頃から個人情報の保護およびプライバシーへの配慮に関する責任者を置くようになりました。

たとえば、IBMは2000年から2001年にかけて欧米・日本にCPOを設置し、個人情報保護への取り組みを続けています。
日本でも経済産業省が2004年6月に個人情報安全管理のためのガイドラインを提示し、CPOの設置を推奨。また、2005年には個人情報保護法が完全施行され、情報管理が重視されるようになりました。

CPOには資格が必要？

CPOになるために、必ずしも資格を取得する必要はありません。

しかし、個人情報の取扱や管理には、専門性の高いスキルが要求されるため、できれば取得しておくに越したことはないでしょう。

CPOの資格認定は、一般社団法人日本プライバシー認証機構が権限を持ち、認定パートナーと共に試験が実施されています。

資格を取得することで、正しい知識の下に、個人情報保護のためのマネジメントシステムの構築、維持・運用を実施できるので、よりCPOの役割によって、個人情報流出のリスクを低減できるでしょう。

今なぜCPOが必要とされるのか？CPOの重要性とは

みなさんも記憶に新しいかと思いますが、ここ数年、Facebookやベネッセなど大手企業の個人情報流出事件が、頻繁に発生するようになりました。

こういった事件が立て続けに起こる状況に、自身の個人情報についても危機感を持たれた方も少なくはないでしょう。

このような大企業の情報漏えいが相次いだこともあり、政府は2014年12月12日に経済産業省を通じて、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正を発表しました。

そのガイドラインにおいて、「CPOを責任者として設置することが望ましい」ことを明言したのです。

こういった、企業の個人情報の漏えい問題が相次ぎ、国民の危機意識が高まる中で、政府からのCPOの重要性が発信されるようになり、企業の中でもCPOの重要性ついて認識が改められているのです。

個人情報の流出は8割以上が人的ミス

また、情報漏えいと聞くと、外部の不正アクセスにばかりに注目されがちですが、2018年JNSAの調査結果によると、個人情報の流出は8割以上が人的なミスによるものとの結果があります。

そのため、ただ単に情報セキュリティを高めればよいという問題ではなく、個人情報の取扱について、各従業員が注意を払うように教育が必要とされています。

こういった、社内においての個人情報保護の一貫した取り組みを浸透させるために、全体を統括する責任者CPOが重要との見方になってきているのです。

CPOを含む個人情報セキュリティ対策が不十分であったために発生した事例

CPOの不在など、さまざまな要因で個人情報を漏えいしてしまった企業は多数あります。

ここでは、実際に起こった個人情報漏えいの事例について、概要・原因を紹介します。

1.暗号装置を狙った不正アクセス

大手都市銀行において、認証システムの暗号装置を狙った不正アクセスが発生しました。13の法人口座と顧客が取引する第三者や従業員の情報1300件以上が流出したのです。

システムの脆弱性を狙われたことで、情報漏えいにつながった事例です。
事件発生後、脆弱性を修正するバージョンアップを実施して対応しました。

2.個人情報の流出

市立病院がホームページに治療実績などを公表する際、担当者が誤って患者の個人情報を掲載してしまった事例です。

およそ7000人分の個人情報がご掲載される事態になりました。患者の家族から指摘を受けて、情報流出が発覚したものです。

担当者は治療実績公表に使うファイルをエクセル形式で扱っていましたが、個人名や年齢などの情報を伏せたPDFファイルを作成せずに、ホームページへアップロードしていました。

担当者の情報管理に対する意識の甘さだけではなく、情報を扱う際の手順を誤った人為的ミスが情報漏えいにつながった事例です。

3.顧客情報の外部への持ち出し

スーパーマーケットを経営する企業において、従業員のモラル欠如により、およそ1万4000件の顧客情報が入ったUSBメモリを紛失してしまった事例です。

この会社では、従業員が顧客情報を外部に持ち出すのは、業務規定上で禁止されていましたが、ある従業員が顧客情報の記録されているUSBメモリを外部に持ち出し、紛失してしまったことで個人情報漏えいの事件に発展してしまいました。

本来、禁止だったはずのメモリの持ち出しが紛失につながった事件であり、社内における情報管理意識の低さが事件につながった事例と言えるでしょう。

CPOが実際に行う業務とは

CPOは社内全体の個人情報保護に責任を持つ立場にあります。

しかし、具体的にどのような役割や業務を担うのかを理解していない人も多いでしょう。ここでは、CPOの実際の役割・業務を詳しく見ていきます。

CPOの役割とは

CPOの役割は大きく分けると、下記5つあります。

1	組織内のプライバシー保護体制（コンプライアンス）の徹底
2	組織内のプライバシートレーニングプログラミングの実施
3	プライバシーポリシーの構築
4	プライバシーポリシーに準拠した内部監査体制の構築
5	外部からの苦情処理対応および管理監督

1.組織内のプライバシー保護体制（コンプライアンス）の徹底

1つ目は、組織内のプライバシー保護体制（コンプライアンス）を徹底させることです。プライバシーを保護するための規則・規定づくりも仕事となります。

2.組織内のプライバシートレーニングプログラミングの実施

2つ目は、組織内のプライバシートレーニングプログラミングの実施になります。つまり、個人情報の取扱について、教育や訓練を行うことです。

3.プライバシーポリシーの構築

3つ目は、プライバシーポリシーの構築です。

プライバシーポリシーとは、企業と顧客との間で結ばれる約束事項のうち、個人情報の取扱に関する取り決めを指します。

プライバシーポリシーを定めることで、個人情報保護法などの法令に違反しないようにするとともに、顧客から個人情報の取扱に関して理解を得ることができます。

顧客との約束事であるプライバシーポリシーの構築は、CPOの重要な役割と言えるでしょう。

4.プライバシーポリシーに準拠した内部監査体制の構築

4つ目は、プライバシーポリシーに準拠した内部監査体制の構築です。

せっかく作ったプライバシーポリシーも社内において守られていなければ意味がありません。そのため、CPOは策定したプライバシーポリシーに基づき、社内を監査する仕組みづくりも行います。

5.外部からの苦情処理対応および管理監督

5つ目は、外部からの苦情処理対応および管理監督などです。

外部からの苦情により、情報漏えいが発覚するといった事例もあるので、時には、CPOも外部からの苦情にも対応する必要があります。

個人情報が含まれる苦情のケースでは、CPOが管理・監督しなければなりません。

CPOの業務内容の例とは

それでは、CPOの役割を果たすために、具体的にどのような業務内容が想定されるのでしょうか？

一般社団法人日本プライバシー認証機構の資格受講内容を基に、内容を確認しておきましょう。

☑個人情報保護方針を策定し社長承認を取り付ける
☑T/Fと全体計画の樹立、個人情報保護方針を組織内に周知
☑個人情報の特定作業の統括
☑法令、国が定める指針その他の規範の特定と参照手順の策定作業の統括
☑リスクなどの認識、分析及び対策作業の統括
☑資源、役割、責任及び権限の策定と社長承認の取り付け社内周知
☑内部規定、運用マニュアルの整備
☑計画書(教育の監査)の策定と社長承認の取り付け
☑緊急事態への準備体制の整備　などなど

引用:一般社団法人日本プライバシー認証機構

また、上記の業務の他に、「プライバシーマーク」など、第三者機関の承認取得を目指すのもCPOの役割です。

第三者機関の認定を受けられれば、個人情報の取扱に関して、会社の信用度が向上させることができるでしょう。

CPOが実際に行った業務の事例

ここからは、CPOを実際に設置した企業の具体的な事例を紹介します。

電化製品の生産・販売を行う企業でCPOに副社長を置いた事例

こちらの事例では、組織にCPOを置くだけではなく、CPOを副社長に任命しました。

強い意思決定権や指導力の高い副社長をCPOに置くことで、早急な対策の実施をスムーズに行うことができ、社員も変化に順応できたよい例です。

この企業がCPO指揮の下、実施した内容は下記の通りです。

• 個人情報保護基本規程を制定し、情報セキュリティ本部を設置した
• グループ全体の個人情報保有状況や管理状況などを調査し、使用していない個人情報の削除を実施
• 個人情報管理ガイドラインの制定と個人情報登録制度を監視したうえで、法律で求められている公表事項をホームページに掲載し、個人情報お問い合わせ窓口を設置した。
• 全社一括プライバシーマーク取得に向け、さらに個人情報管理体制を強化している

CPOの統括を下に個人情報の漏えいに備えよう

ITで情報管理を行うことが当たり前になった現代では、個人情報の漏えいリスクは企業にとって致命的になりうるものです。

CPOの設置は、そうしたリスクを防ぎ、問題が起こった際にも迅速に対応するには必要不可欠です。

ただし、CPOを設置したうえで、どのような管理方法を実施するかは企業ごとに異なります。

他社の事例や資格取得などにより情報を集め、自社の個人情報管理体制を整える参考にし、万全な体制を構築していきましょう。