CPO（最高個人情報責任者）とは？重要性を事例から徹底分析！

CPO(最高個人情報責任者)とは？

CPO（Chief Privacy Officer）は個人情報の管理を担う最高責任者のことであり、GoogleやApple、P&Gなど、ユーザーの膨大なデジタルデータを取り扱う大企業はもちろんのこと、グローバルな視点においてその必要性は個人情報を取り扱う日本企業全般に波及しつつあります。

その理由として、近年のデジタルツールの急速な発展に伴い、効率的に膨大な顧客の個人情報を管理できる半面、「情報漏洩のリスク対策」を避けては通れない状況になってきたことがあげられます。

2018年施行のGDPR（General Data Protection Regulation：ユーロ商圏EUにおける「一般データ保護規則」）では、個人データの処理や移転する際の「DPO」（データ保護責任者）設置義務や、GDPRに違反した場合の罰則などが定められました。

そして2022年春、日本で施工予定の「改正個人情報保護法」では、本人の権利保護が強化され、事業者の責務の追加や法令違反に対するペナルティ強化が改正の要点となっており、国内外の個人情報に関する法律は、世界的に厳しさを増しています。

個人情報漏洩は個人に損害を与えるだけでなく、企業にとっても莫大な損害を被る場合があり、案件によっては再生困難となることも少なくないため、今後多くの企業でCPOの設置が増えていくことが予想されます。

個人情報漏洩リスク

ハッキング被害や内部不正によっても発生してしまう情報漏洩ですが、その結果、社会的信用の失墜、サービス停止、さらには損害賠償に発展するケースも実際にあります。

知名度のある企業の事例だけがニュースで取り上げられることが多いですが、いかなる会社や個人においても不本意に情報漏洩が発生してしまう可能性は否めません。

リスク１：不正アクセス・マルウェア感染

近年、個人情報漏洩リスクの1つは、インターネットを介した情報漏洩であり、ハッカーによる不正アクセス（アクセス権限を持たない者がコンピューターに不正に侵入し、システムを乗っ取る行為）の高度化や、「マルウェア」と呼ばれる、デバイス操作の不具合や、情報漏洩を引き起こす悪質なソフトウェアの巧妙化がその要因です。

マルウェア感染や不正アクセスは、スパムメール（※受信者の意向を無視して一方的に繰り返し送り付けられる迷惑メール）や悪質なWebサイトの閲覧などが主な感染経路であり、感染してしまうと、個人情報や顧客情報の流出、ネットバンクへの不正侵入、IPアドレスの悪用など、様々なリスクにさらされます。

他にも「Webサイトの改ざん」によって顧客がフィッシングサイトに誘導された結果、個人情報を盗み取られる被害や、実在の人物を装い受信者に悪意ある添付ファイルや不正サイトへのリンクを介してマルウェアに感染させる「標的型攻撃メール」も脅威となっています。

リスク２：ヒューマンエラー

関係者による作業ミス「誤操作・紛失・置き忘れ」はヒューマンエラーによる情報漏洩の3大原因とも言われ、人為的ミスが思わぬ事態を引き起こしています。

2021年における日本の情報漏洩、紛失事故の137件のうち、「ウイルス感染・不正アクセス」の68件（構成比49.6％）が最多で、次いで、「誤表示・誤送信」が43件（同31.3％）で、メールの送信間違いなどの人為的なミスが中心。

そして、保管しておくべき書類や取引記録の廃棄・紛失、従業員が外出先で紛失したケースなどの「紛失・誤廃棄」が16件（同11.6％）と続き、ヒューマンエラーが、情報漏洩の原因の約半数を占めています。

リスク３：関係者のモラル低下・内部不正

会社の資産である特許や特殊技術など内部不正によって競合企業にわたってしまうケースも拡大しており、外部の人間と比べて、社内の人間には疑いの目が向けられていない分、解決することが難しいと言われています。

また、社内のセキュリティに精通したエンジニアや、上級管理者が内部不正をしている場合は、犯行の痕跡を社内から消すこともできるため、発見が遅れることもあり、近年特に問題視されています。

関係者による情報持ち出しなど、容易にアクセスできる脆弱なシステムにも問題がありますが、強固なセキュリティシステムを構築するには膨大な費用と時間を要するため、日頃から「セキュリティ講習」や「罰則の明確化」「社内信頼関係の構築」など、社内全体のモラル低下を回避する取り組みが必要です。

近年の個人情報漏洩事例

フェイスブック（現meta:メタ）

2019年、Facebook：Metaは、5億3000万人を超えるユーザーの個人情報流出が発覚し、最近さらに、当時流出した情報が再び ネット上にあげられる事態が発生しています。

流出した情報は、利用者の電話番号やFBのID、氏名、所在地、生年月日、自己紹介などで、一部には電子メールアドレスも含まれており、同社が2019年にシステムの脆弱性が原因として修正済みとしていました。

英国ではフェイスブックを使用している最大4400万人が「搾取」を受けたとして同社に対価の支払いを迫る代表訴訟が計画されており、補償金は少なくとも23億ポンド（約3600億円）と推測されています。

日能研

2022年1月29日、中学受験関連サービスを提供する株式会社日能研は、同社のウェブサーバーが何者かのサイバー攻撃を受け、最大28万106件のメールアドレスが流出した可能性があると明らかにしました。

攻撃者は不正なコードを注入し本来運営側が想定しない事態を引き起こす「SQLインジェクション」と呼ばれる手口で同社の情報を窃取した疑いがあるとのこと。

ただし、同社が調査したところ、流出懸念の生じているデータはメールアドレスに限定され、住所や電話番号に講座情報および成績関連データなどは流出対象外と判明しています。

CPOの役割

CPOの具体的な役割は、個人情報を安全に管理することであり、その情報には、従業員や顧客の情報といった個人情報も多く含まれます。

よってCPOの仕事は「ユーザーと社員のデータとプライバシーを守る」に集約され、主な業務内容は下記が該当します。

①個人情報保護法やGDPRなどの個人情報関連の法律知識集積と対応

②個人情報漏洩時の対応

③プライバシーポリシー/Cookeポリシーの作成・改正

※プライバシーポリシーとは「個人情報の取扱い方法やプライバシーにどのように配慮しているかを示すための指針」

※（Cooke）クッキーポリシーとは「顧客が該当サイトを閲覧したという情報を、その顧客のコンピューター（またはスマートフォンやタブレットなどのインターネット接続可能な機器）内に記憶させておく機能の指針」

④必要なシステム対応の企画、設計

⑤従業員への教育（プライバシー遵守に関する指針）

⑥既存事業、新規事業に関するプライバシー侵害のリスク調査

まとめ

今後CPOの重要性はますます高まり、企業の規模に応じては設置が義務化される可能性もありますが、膨大な個人情報を漏洩することなく適切に管理することは容易ではありません。

そのためCPOにはITと法務両方の豊富な知識と経験が必要不可欠であり、CPO人材を育成することや採用することも難しいのが実情です。

ただ情報や技術、資産の流出の原因は、約半分がヒューマンエラーやモラル低下によるものであるため、今一度個人情報などの管理方法の見直しと、講習やミーティングなどで社内全体のモラル向上の取り組みを強化することが先決です。

CPOは、個人情報を一元的に取り扱えるような一貫した情報管理システムの構築や監視業務を担う存在のため、CPO自体が不正に走らないよう、モラルの高い人材の育成や登用が望まれます。