CPO(最高個人情報責任者)とは? 役割、仕事内容、重要性、個人情報漏洩事例について

立て続けに起こる個人情報漏洩事件を受けて、企業は、個人情報管理をリスク管理の一つとして重要視するようになっているのです。中には、最高個人情報責任者であるCPOを設置する企業も現れるほど。

CPOとはどんな役割を持っているのでしょうか。仕事内容や重要性、個人情報漏洩事例なども含めて説明します。

1.CPOとは?

CPOとは企業が扱う個人情報の管理を任されている最高責任者のこと。Chief Privacy Officerの頭文字を取ってCPOと呼ばれており、最高個人情報責任者と訳すことができます。

  • 従業員の属性などの情報
  • 顧客情報

といった企業が有する膨大な情報の適正な管理が、CPOに求められる業務です。

具体的業務は、

  • プライバシーポリシーの構築
  • 情報の管理に関する監査や評価を行う仕組みづくり

など。個人情報の管理に関しては、経済産業省もガイドラインをまとめており、その中では、企業に対してCPOの設置を広く求めています。

情報化が進む現代社会において、注目される役割でしょう。

評価運用の効率と「質」を向上させるクラウドツール

  1. MBO・360度・OKR・1on1など、あらゆる人事考課運用をクラウドで実現可能
  2. 多彩な運用実績で作られたテンプレートを使って、考課シートを手早く構築
  3. 進捗状況が一目瞭然。催促メールで締め日までに確実に評価結果を回収できる
  4. フィードバック面談だけは“紙で”やりたいときは、帳票として出力可能

カオナビで評価運用をクラウド化して、圧倒的な効率化を実現!

> カオナビについて詳しく見る

2.個人情報保護における組織構成

個人情報保護における組織構成をどのように行うかを示唆したものがあります。まず、企業のトップにはCEO(最高経営責任者)がおり、その下には役員クラスとして、

  • CISO(最高情報セキュリティ責任者)
  • CFO(最高財務最高責任者)
  • CIO(最高情報責任者)

を配置し、CISO、CFO、CIOと円陣を組むように役員クラスの一人としてCPO(最高個人情報責任者)を配置します。

CPOの下には、

  • CPP(個人情報管理者)
  • CPA個人情報取扱従事者

を配置します。CPOは、CEOの直下にある経営幹部の一人として重要なポジションにあると分かります。

CPP(個人情報管理者)とは?

CPPとは、個人情報管理者のこと。

  • 部課長
  • マネージャークラス

といった管理職で、

  • コンプライアンスプログラムの実施や運営に精通している
  • 個人情報を取り扱っている従業員の管理方法を熟知している

などを前提として認定される資格の一つです。

主な役割は、

  • 実効性のある個人情報保護の推進
  • 組織内コンプライアンスをもとにしたアクションプログラムの立案
  • コンプライアンスプログラムの実施と運用

など。

CPA(個人情報取扱従事者)とは?

CPAとは、個人情報取扱従事者のこと。

  • アルバイト
  • 契約社員
  • 派遣社員

なども含めた一般従業員であることが条件の一つです。

  • 日常業務において個人情報を直接取り扱う
  • 個人情報管理の最前線で仕事をする

といった業務従事者を対象とした認定資格になっています。

具体的業務は、

  • CPPの指揮の下、日常業務で扱っている個人情報を保護
  • 個人情報の適切な取り扱い方法を判断
  • 個人情報を扱う際禁止となる行為についての知識を持つ

など。

CISO(Chief Information Security Officer/最高情報セキュリティ責任者)との違い

CISOは、Chief Information Security Officerの頭文字を取ったもので、最高情報セキュリティ責任者と訳します。

役員クラスの役職の一つで、

  • 個人情報やプライバシー保護の取り扱い
  • 企業の機密情報の管理
  • 情報セキュリティの管掌
  • システムやネットワークに対する内外からの攻撃に備えた対策基準の策定
  • 精密機器やソフトウェアに関する安全対策や監視業務
  • システム関連有事の際の窓口対応

などが主な業務です。CPOと一部業務が重なりますが、一般向け会員制事業を行う企業などでは、CISOの個人情報に関する部分の業務をCPOが分担することもあります。

CIO(Chief Information Officer/最高情報責任者) との違い

CIOは、Chief Information Officerの頭文字を取ったもので、最高情報責任者と訳します。

CIOの業務は、

  • 情報システムの企画
  • システムの導入
  • システムの運用や更新

など。セキュリティ分野より、自社に適したシステムの立案や構築が主な担当業務になっているのです。しかし、CISOが設置されていない組織では、情報セキュリティ関連業務全般もCIOが担当します。

CSO(Chief Security Officer/最高セキュリティ責任者)との違い

CSOは、Chief Security Officerの頭文字を取ったもので、最高セキュリティ責任者と訳します。

日本の企業におけるセキュリティのほとんどは情報関連のセキュリティ。よって、CISOとCSOは、ほぼ同義語として解釈して構いません。担当業務もCISOと同様、情報システムやネットワーク、機密情報などの安全管理や監視、運営全般などです。

3.企業における個人情報保護管理者の役割

企業における個人情報保護管理者は、「代表者によって事業者の内部の者から指名された者であって、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」と定義付けされています。

個人情報保護管理者の主な役割は、

  • 個人情報の取り扱いの管理
  • 個人情報管理に関わる組織マネジメント業務全般
  • JIS Q 15001の規格に従った個人情報保護マネジメントシステムの構築、運用
  • プライバシーマーク取得に向けた取り組み

など。事業部が複数ある大きな組織では、CPOを設置するだけでなく、部署ごとにCPPを配置する場合もあります。

しかし、CPOとCPPがともに配置されることで、

  • 個人情報保護業務が分断
  • 連携がうまくいかないために情報漏洩のリスクが高まる

ことも。両者を併設する際は、CPOとCPPそれぞれの責任の所在を明確にして、業務分担や責任の所在を事前に取り決めておきましょう。

CPOの役割とは?

CPOの具体的な役割は、個人情報を安全に管理すること。現代社会では、企業活動は膨大な情報によって支えられており、その情報には、従業員や顧客の情報といった個人情報も多く含まれます。

個人情報を漏洩することなく適切に管理するのは容易なことではありません。

もちろん、個人情報の流出といった事態を避けるために、企業は全従業員に対してさまざまな啓蒙活動や教育を行ってきました。しかし、部門ごとに扱う個人情報には違いがあるため、個別の管理では安全性を保った情報活用がうまく機能しないことも多いのです。

CPOは、個人情報を一元的に取り扱えるような一貫した情報管理システムの構築や監視業務を担う存在。つまり、情報漏洩の危機と隣り合わせにある膨大な情報を安全に管理してくれる頼れる存在なのです。

高度情報化社会における企業内CPOの重要性は、ますます高まるでしょう。

4.CPO(最高個人情報責任者)の仕事内容

企業や団体の代表者から任命されるCPOの主な仕事内容は、

  • 社内の個人情報保護体制の構築や運用
  • 個人や組織の技術的、物理的側面に注意を払った監査体制の確立
  • 監査の責任者の設置

など。

  • 経営
  • 財務
  • 情報管理

といった部門別の最高責任者とタイアップしながら、慎重に進めます。

個人情報の外部流出は、企業の運命を左右すると同義語。いくら謝罪をしても、企業は損害賠償の額や信用も失います。人事担当者はCPOの設置に関して速やかに検討に入り、適正な個人情報管理の実施に全力で取り組む必要があるでしょう。

5.なぜCPOの設置は重要なのか? 個人情報漏洩事例

CPOの設置がこれほどまでに重要視されているのには理由があります。それは、大手企業の個人情報漏洩事件です。日本の通販会社などで顧客情報の流出が立て続けに起こり、個人情報管理の重要性が社会で大きく取り上げられるようになりました。

2005年4月、個人情報保護法が完全施行したのを受けて、企業がリスク管理の一つとして情報管理に力を注ぐことになります。

一例を挙げると、大手教育関連企業のベネッセコーポレーションでは、

  • 1999年に個人情報保護に関する指針を定める
  • 2002年全社委員会の設置
  • 2004年4月CPOの任命により、個人情報に関する社内規定やルールを策定

といったように法律施行前後から、

  • 個人情報保護に関する制度設計
  • CPOの任命

の両輪に取り組んできました。これに類似した施策を取る他企業も増えています。

個人情報・プライバシー保護にまつわる歴史

個人情報やプライバシー保護に関する歴史は2000年前後まで遡ります。

  • インターネットの普及によって、個人情報の保護やプライバシーに対する配慮についての問題意識が徐々に芽生えてくる
  • アメリカでは2000年前後から個人情報の保護に関する事項を取りまとめるための最高責任者を設置する企業が増え始める

といった歴史的な流れがあり、CPOの存在が徐々にクローズアップされ始めたのです。その動きをいち早く察知したIBMは、

  • 2000年11月に北米
  • 2001年には日本やカナダ

でCPOを設置。IBMでは、CPOを上級管理職の位置に据えています。

CPOは、

  • 個人情報保護に関する全面的な責任や権限を保有
  • 個人情報保護のために必要な施策の独自予算を持つ

など個人情報保護における強力な権限を持っているのです。

個人情報漏洩・流出事件の事例

個人情報漏洩や個人情報流出事件の事例を考察してみます。

  1. ベネッセ 個人情報流出事件
  2. 日本航空(JAL) 個人情報流出事件
  3. Google+ 個人情報流出事件
  4. 日本年金機構 個人情報流出事件
  5. 東京商工会議所 会員情報流出事件

①ベネッセ 個人情報流出事件

ベネッセコーポレーションは、

  • 進研ゼミ
  • こどもちゃれんじ

を運営する日本国内の通信教育において多くの顧客を抱える企業。

このベネッセコーポレーションで、2014年7月9日に個人情報流出事件が発覚しました。流出した顧客情報の規模は、最大で約3504万件に上ります。

流出したのは「進研ゼミ」の、

  • 通信教育を受講していた子どもの氏名
  • 保護者の氏名
  • 住所
  • 電話番号
  • 性別
  • 生年月日
  • 顧客情報

など。原因は、グループ企業に勤務していた派遣社員であるエンジニアが名簿会社に情報を売却したことにあります。

個人情報漏洩の責任を取って2人の代表取締役が辞任しましたが、事件の影響は経営に大きなダメージを与え、顧客離れや経営赤字転落など企業の経営を大きく揺さぶることになったのです。

②日本航空(JAL) 個人情報流出事件

日本航空(JAL)社内のパソコンがウイルスに感染し、2014年9月24日、保管していた個人情報が漏洩しました。当時の発表では、最大75万件の個人情報が流出したとされています。

流出したのは、

  • マイレージ会員の住所
  • マイレージ会員の生年月日

といったもので、心配されていたクレジットカードの番号やパスワードなどの流出はなかったとされています。

しかしウイルス感染したパソコンには、少なくとも19万人以上の個人情報があったことが分かっており、顧客管理体制は万全だったかという企業の責任が問われました。外部からの不正アクセスに適切な対策を取ることの重要性が再認識されたきっかけともいえます。

③Google+ 個人情報流出事件

2015年から2018年3月にかけて、Google+で個人情報流出事件が起こりました。個人情報の漏洩をグーグル社が認めたのは2018年10月8日です。

2015年からそれまでに約50万人の個人情報の流出があったとのこと。さらにGoogle+は、2018年12月11日に新たに約5250万人分の個人情報が流出した恐れがあると明らかにしました。

11月にソフトウェアのアップデートを実施した際、APIの不具合が生じ、外部から個人情報が閲覧できる状態になっていたことが原因とされています。

不具合発生後1週間ほどの期間で修正対応を行いました。度重なる個人情報漏洩を受けGoogle+は、提供していた個人向けサービスを前倒しして2019年4月で終了すると発表しています。

④日本年金機構 個人情報流出事件

日本年金機構でも、個人情報流出事件が起こりました。原因は日本年金機構の年金情報管理システムサーバーに対して行われた外部からの不正アクセスとされています。

日本年金機構がこの不正アクセスを把握したのは2015年5月8日。5月19日に警視庁に捜査を依頼し、5月28日に警視庁より日本年金機構に情報流出が確定したとの知らせがあります。

捜査によって、直接の原因は職員がコンピューターウイルスに感染したメールを開封したためと判明しました。

流出したのは、

  • 年金加入者の氏名
  • 基礎年金番号
  • 生年月日
  • 住所

など。大事な年金に関する情報流出であることから国民の関心も非常に高く、日本年金機構は専用の電話窓口を設置するなど対応に追われることとなりました。

⑤東京商工会議所 会員情報流出事件

東京商工会議所でも会員情報流出事件が起きています。流出した可能性があるのは、

  • 東京商工会議所主催セミナー参加者の氏名
  • セミナー参加者の住所
  • セミナー参加者の電話番号
  • セミナー参加者の電子メールアドレス
  • セミナー参加者の会社名

など計1万2139件。事務所職員が使用していたパソコンがマルウエアに感染していたことが原因です。

個人情報を収めていた文書ファイルには、パスワード設定がされていませんでした。また、インターネットに接続してあるパソコンで管理していたため、情報はそのまま流出。大事な情報に関する管理体制の甘さが指摘されています。

6.経済産業省が定義するCPOとは?

2014年12月12日、経済産業省は「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正を公示・施行しました。

この改正は2014年7月9日に発覚した通信教育の最大手企業であるベネッセコーポレーションの個人情報流出事件を受けたもので、このような事案の再発防止に主眼が置かれています。

改正前と後で変わるCPO

経済産業省が定義しているCPOに関しても、改正前と後でその中身が変わっています。

改正前のガイドラインでは、「個人情報保護管理者(CPO)の設置」のみが推奨されるだけで、CPOの具体的業務内容にまでは言及していませんでした。

しかし改正後は、CPOを「個人データの安全管理の実施及び運用に関する責任及び権限を有する者」と位置付けるとともに、

  • CPOを責任者として社内にある個人データ取扱いについて監督する管理委員会を設置する
  • 委託先の選定、委託先における個人データ取扱状況などを把握する

といったCPOの具体的役割までが記載されるようになったのです。このことは、個人情報保護に対するCPOへの期待の高まりを表しているといえるでしょう。