CPOとは?最高個人情報責任者の役割と本当にあった個人情報漏洩事例

CPOとは?最高個人情報責任者の役割と本当にあった個人情報漏洩事例

記事更新日: 2021/10/28

執筆: 高浪健司

デジタル化が進み、情報管理もITを活用することが当たり前となった現代。

効率的に個人情報を管理できる一方で、個人情報漏洩といったリスクも以前と比べ増しています。

個人情報漏洩は企業にとって莫大な損害を被り、場合によっては再生が困難となることも少なくありません。

そのため、多くの企業でCPOの設置が増えており、今後もさらに増えていくことでしょう。 

CPOは「Chief Privacy Officer」の略で、個人情報の管理を担う最高責任者のことです。

今回は、個人情報の管理を安全かつ適切におこなううえで、非常に重要な役割を担うCPOについて、具体的な役割や仕事内容、重要性など詳しく解説していきます。

このページの目次

目次を開く

CPOとは?

CPOは「Chief Privacy Officer」の頭文字を用いた経営用語であり、個人情報の管理を担う社内における最高責任者(最高個人情報保護責任者)のことです。

デジタル化が進む近年では、個人情報の取り扱いに関して極めて重要性の高いものであると捉えられています。そのため、経済産業省でも個人情報の漏えいを未然に防ぐため、企業にCPOの設置を求めています。

CPOの役割

CPOの役割は、企業内における情報保護に関する全般を統括することです。

そこには個人情報保護体制の徹底やプライバシーポリシーの構築、各部門における監査や評価、システム管理、従業員への教育など多岐にわたります。

徹底した個人情報保護の実現を果たすため、CPOは企業内にとって非常に重要なポストを担う。ということは言うまでもありません。

混同しやすいCPO

CPOは「Chief Privacy Officer」の略で、最高個人情報責任者を指すと記述しましたが、CPOと略されるCXOはこの限りではありません。

CPOと略されるポストには他にも「Chief Product Officer」というものがあります

これを直訳すると最高製品責任者。つまり企業の製品に対して戦略的な方向性を決めるなどの責任あるポジションのことです。

このように、おなじくCPOと略されますが、それぞれ意味は異なりますので、混同しないよう注意しましょう。

CPOは社内でどれくらい偉いのか

CPOは社内における極めて重要度の高い個人情報に関する最高責任者であるため、就任するのは通常、役員クラスが望ましいとされています。

そのため、社内での地位は非常に高いといえます。 

なお、社内におけるCPOの位置づけとしては一般的に下図のとおりです。


このように、最高経営責任者(CEO)によって任命されたCPOは、CISO・CIO・CFOなどの役員クラスと協力しあいながら、企業内における個人情報保護に関する責務を全うします。

こうしてわかるように、CPOは最高経営責任者であるCEOの直下という重要なポジションに位置づけられる経営幹部のひとりです。

CPOの社内での役割と仕事内容

個人情報の保護に関して大きな責任を担うCPOは上級管理職のひとつで、企業など組織内における重要さは言うまでもありません。

そんな重要ポジションに位置づけられるCPOですが、具体的にどのような役割や仕事内容を担うのでしょうか。

続いて、CPOの役割と仕事内容について見ていきましょう。

CPOの役割と仕事内容

社内全体の個人情報を適切かつ安全に管理すること。これこそがCPOとしての大きな役割です。

しかし、こうした役割を果たすため、下記のように多くの高難度業務を伴います。

  • 個人情報保護法やGDPRなど個人情報に関する法律への対応
  • プライバシーポリシー・Cookieポリシーの構築から改正
  • 個人情報の取り扱いやコンプライアンスに対する従業員への教育や訓練
  • プライバシーポリシーに準拠した内部監査体制の構築
  • 個人情報の漏えいが発覚してしまった際のインシデント対応
  • 外部からの苦情処理対応および管理監督 など

このように、個人情報保護に関連した多岐にわたる内容事項を「CIO・CISO・CFO」など各最高責任者と協力関係を保ちながら日々業務を遂行します。

情報管理のIT化が進む現代において、企業が保有する個人情報の量は膨大です。

万が一、個人情報が外部へ流失してしまったら、企業の信用失墜はおろか、倒産という最悪な事態に陥りかねません

このような事態に陥らないためにも、CPOは適正かつ確実な個人情報の管理に全力を尽くさなければならないのです。

CPPやCPAとの違い

前章で示した図表(CPOの位置づけ)のなかに、CPOのほかCPPとCPAというポジションがありました。

このCPPとCPAも、CPOを知るうえで重要な経営用語となりますので、それぞれの違いを覚えておくと良いでしょう。

CPP

CPPは「Chief Privacy Professional」の略で、個人情報管理者のことを指す管理職です。

CPPの役割としては、おもに個人情報を取り扱う従業員の管理ですが、コンプライアンスの立案や実施、運営もおこないます。

CPA

CPAは「Chief Privacy Associate」の略で、個人情報取扱従事者のことを指します。

なお、このCPAは一般従業員(契約社員や派遣社員、アルバイトなどを含む)のなかで個人情報を日常的に取り扱う従業員を指します。

日常業務において個人情報の保護に努めることが、おもな役割です。

個人情報に係わるという意味ではCPO・CPP・CPAすべてに共通していますが、それぞれの立場や役割、責任の重さなどまったく異なります

ただ、用語としては非常に混同しやすいので注意してください。 

CPOの重要性

インターネットが普及し、デジタル化が進む現代社会において、プライバシーへの配慮や個人情報の取り扱いに関しては、日本のみながらず世界各国で重要な課題として捉えられています。

こうしたプライバシーや個人情報の保護に対して重要視されてきたのはインターネットが急速の普及しはじめてきた2000年前後。この時期あたりから、アメリカの企業では個人情報の保護に関して取りまとめる最高責任者を設置するなどの動きが増えはじめます。 

現に、世界170か国で事業展開する大手コンピュータ関連企業IBMは、2000年11月に北米で、翌年の2001年には日本やカナダでもCPOが設置されています。

以降、個人情報の保護に対する重要性は年々高まっており、2014年12月には「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改正。経済産業省においても「責任者としてCPOを設置することが望ましい」と明言されています。

個人情報の漏えいは企業のブランドイメージを大きく低下させるだけでなく、賠償や訴訟など大きな問題にまで発展する可能性が極めて高いといえます。

そのため、企業は個人情報の取り扱いに関して、常に危機意識を持っておくべきです。

実際にあった個人情報漏洩事例

ニュースなどでもたびたび報道されているように、個人情報漏洩に関するトラブルは決して珍しいことではなく、むしろ頻繁に発生しているのが現状です。

そこでこの章では、実際に発生してしまった個人情報漏洩の事例をいくつかピックアップして紹介していきます。

ソニー

2011年5月、大手電機メーカーであるソニーは、自社が展開するオンラインサービス「PlayStation Network(PSN)およびQriocity」に登録していたユーザー情報の漏洩を公表しました。

漏洩したのはいずれも「氏名・住所・生年月日・性別・メールアドレス・ログインID、パスワード」などの個人情報7700万件。

加えてクレジットカード情報1000万件に関しても漏洩した可能性があるとしました。 

なお、漏洩した原因はいずれもサーバーの脆弱性をついた不正アクセスによるもの。当時の報道によると、この度の情報漏洩に対する被害額は2兆円以上ともいわれていました。 

またソニーは、この度の情報漏えい事件に関し、漏洩が発覚してから1週間ほど公表なかったということについても多くの批判を集めることとなりました。

ベネッセ

2014年7月に発生したベネッセコーポレーションの顧客情報漏えい事件。同社は「進研ゼミやこどもちゃれんじ」など多数の教育サービスを展開しており、顧客も多数抱えます。 

情報漏えいした内容としては「受講していた子供の氏名・保護者の氏名・住所・生年月日・電話番号」などの個人情報約3,504万件。なお、情報漏えいの原因は、同社グループ企業に派遣社員として勤務していた者が顧客情報を盗み出し、その情報を売却したことによるもの。 

事件発覚後、顧客情報漏えいの責任を取るかたちで代表取締役2人が辞任。さらに顧客へ謝罪として約200億円を要し、加えて物品や受講費の減額など様々な形でお詫びする結果となりました。

NHK

2017年10月には、NHKでも個人情報を紛失するという事件が発生しました。ことの発端は、静岡県沼津市の住民から「受信料の帳票が路上に散乱している」と通報が入ったことからでした。

通報を受けたNHKが調査したところ、委託業者が保管する段ボール1個分であったことが判明、約3,300人分の個人情報を紛失したことが明らかになりました。 

紛失した書類には「住所・氏名、電話番号・メールアドレス」さらには支払いの際のクレジットカード情報も記載されていたということで、カードの悪用も危惧されます。 

NHKは、被害者にお詫びと説明をおこない、万が一にもクレジットカードが悪用され被害に遭った場合は、すぐさまカード会社に問い合わせて欲しいと呼びかけたとのことです。 

厚生労働省

2021年8月、厚生労働省は同省が実施する「中長期的なキャリア形成を支援するためのキャリアコンサルタント向け研修の実施事業」において、個人情報漏えいがあったと明らかにしました。 

事件が発生したのは2021年6月25日。原因は委託した学校法人大原学園の学園内部向けメールを誤って研修申込者1名に送信してしまったことによるもの。誤送信したメールの内容には、受講生1,106名の「氏名・住所・電話番号・生年月日」などの受講生名簿が保存されているクラウドサーバーのURLが記載されていました。

また、受講生名簿が保存されていたクラウドサーバーにはセキュリティが確保されておらず、誰でもアクセス可能な状態であったとのこと。

同省は、受託した同学園による仕様書に定められた方法に基づかない不適切な情報管理に加え、メール送信時の確認不十分であったことが要因だと判断。

同学園に対し、適切に個人情報を取り扱うよう注意指導するとともに、情報セキュリティに関する監査を実施することを決定しました。

なお、同学園はメールを誤送信した研修申込者に謝罪したうえで当該メールの削除を依頼、また名簿に記載されていた1,106名に対して個別に連絡、謝罪をおこなったとのことです。

まとめ

デジタル技術の進歩により、今ではさまざまな情報管理もITを活用することが当たり前の時代となりました。

なかでも個人情報は管理する量も膨大になることが多いため、システムによるデータ管理が有効的です。

しかし、セキュリティ対策の不十分さや従業員の注意の甘さなど、管理に対する危機意識の低さが個人情報漏洩という最悪な事態を引き起こす要因となります。

個人情報というのは慎重かつ確実に管理するべき情報であり、情報漏洩など絶対にあってはならないことです。

CPOの設置は、個人情報漏洩のリスクを未然に防ぎ、なにか問題が発生した場合も適切かつ迅速に対応するためにも必要であるといえます。

ぜひ、CPOの重要性を理解し、個人情報に対する万全な管理体制の構築を目指していきましょう。

画像出典元:O-DAN

最新の記事

CXOに関する記事

オススメ記事

ITサービス比較

ページトップへ