CPO(チーフ・プライバシー・オフィサー)の責任

河本孝之(Takayuki Kawamoto)

1st appeared: 2016-03-25 15:55:38.

プライバシー法制に関する著作を数多く発表している、George Washington University のダニエル・ソロブ(Daniel J. Solove)さんが、LinkedIn にある自身のブログで “The Triumph of the Privacy Profession: An Interview with Bamberger and Mulligan” というインタビュー記事を公開しています。インタビューを受けているのは、2015年に Privacy on the Ground: Driving Corporate Behavior in the United States and Europe (MIT Press, 2015) という本を出版した、University of California は Berkeley 校のケネス・バムバーガー(Kenneth A. Bamberger)さんと、同じく U.C. Berkeley 校のディアドラ・マリガン(Deirdre Mulligan)さんです。両者は何年にもわたって CPO (Chief Privacy Officer) を担当している人々について、彼らの役割や責任がどれくらい変化していて、いまどのような仕事をしており、その仕事や役割は国ごとにどういう違いがあるのかを調べてきました。インタビュアーであるソロブさんは Privacy on the Ground の裏表紙に印刷された推薦文を寄せており、その推薦文では、この本が各企業においてプライバシーに関わる業務を統括しているプロフェッショナルたちの仕事の流儀を、プライバシーに関する不文律として詳しく洞察力をもって説明していると賞賛しています。そして、この本が教えてくれているのは、法というものは施行されるだけでは実効 (self-executing) せず、各組織において文化なり仕組みを運用し変えていく人々の働きに依存しているということです。そうした人々について、特にアメリカとヨーロッパでの調査を元に書かれたのが Privacy on the Ground だと言います。なお、インタビューの冒頭で話題になっていますが、バムバーガーとマリガンの著書にある “on the ground” というフレーズを採用した理由は、これまでのプライバシー法制に関する研究や著作物の大半が「紙の上での (“on the books”)」プライバシーだけを扱っていたためです。これに対して、Privacy on the Ground では、実際に企業ではプライバシーをどう考え、プライバシーを実際にどう扱っているか、そして特定の取り扱い方を促している影響力がどこにあるのかという点に着目したというわけです。ここでは、インタビューの中から幾つかのやりとりをご紹介して、簡単にコメントします。

まず、“CPO” という役職について言及している箇所を取り上げます。私自身も、いま所属している会社で CPO を拝命していますが、これは日本の制度、とりわけ「プライバシーマーク制度」が要求する JIS Q 15001: 2006 という規格で、事業者が社内の個人情報保護マネジメントシステムを運用する責任者としての「個人情報保護管理者」を指しています。また、この意味も含めて、日本国内では「CPO」と表記する際に、少なくとも以下のような色々な意味があります。

欧米企業(国内の外資系も含む)の Chief Privacy Officer
欧米の企業で言う CPO。ソロブさんらはこの意味で使っています。
個人情報保護管理者としての Chief Privacy Officer
経済産業省商務情報政策局の情報経済課が公表している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成26年12月12日、厚生労働省・経済産業省告示第4号)」などの文書で「個人情報保護管理者」を「いわゆる、チーフ・プライバシー・オフィサー(CPO)」のことだと表記していますが、実は根拠がありません。それに、そもそも「個人情報保護管理者」は JIS で定められている役職なので、経済産業省のガイドラインで事業者に求める施策としては、個人情報保護法を JIS でオーバーライドして更に強い個人情報保護体制を敷くべきだと事業者に求める根拠がなければ、二重におかしいような気がします(本来は法律の範囲に留めるべきであって、任意の規格にすぎない JIS に従わないといけないかのような表記は不適切ではないか)。
PIA (ISO 22307) で言う Chief Privacy Officer
マイナンバーの取り扱いに関する、「特定個人情報保護評価」という、マイナンバーに関連したシステム構築に先立って承認することが求められている評価書は、もともと ISO 22307 で規定されている “PIA: Privacy Impact Assessment” によって作成される評価書の考え方を応用したものです。そして、ISO の規定には、個人の法益を守る観点から当事者とは別の中立的な立場で PIA を評価したり助言・承認を行う Chief Privacy Officer の設置が求められており、これは事業者の中で個人情報やプライバシーにかかわる統制を行う JIS の CPO とは違っています。

なお、一般社団法人日本プライバシー認証機構が認定する資格に「認定CPO」というややこしい名称があります。これは実は “Chief Privacy Officer” の省略ではなく、“Corporate Privacy Officer” の省略なのです。もちろん法律や JIS の要求事項とは無関係なので、この資格をもっている人材がいないからといって、違法性が問われたり、プライバシーマークを取れないなどということはありません。

では、欧米の企業や官公庁で言う CPO とは、どのような役職なのでしょうか。

ソロブ:この本 [Privacy on the Ground] は Chief Privacy Officer (CPO) の役割を重点的に取り上げています。彼らは何をしてるんでしょうか。この役職は企業の中でどういう位置にあり、またどういう位置にあるべきものなのでしょうか。そして、この役職は合衆国とヨーロッパとではどういう違いがあるのでしょう。我々 [たぶんここでは「プライバシー法制に関わる研究者」のこと] は CPO たちから何を学べるのでしょうか。

バムバーガー & ミリガン:CPO の役割は、企業内での権限や影響力によって色々なレベルがあります。それは役員や上級役職者にアクセスできるレベルや、対外的な活動――行政当局や市民運動家や専門家のグループといったエキスパートたちや、他社の CPO との交渉――などに応じて色々です。そして、そうした違いは、それぞれの企業においてプライバシーを保護する強さを決める要因になっています。

影響力や権能を及ぼす範囲が広い CPO がいる企業では、プライバシーを単なる法的なコンプライアンスの問題というだけではなく、戦略的な課題として受け止めるようになってきています。そして、企業統制や取引やエンジニアリングあるいは他のプロセスにもプライバシーを保護するための堅い事業基盤をもつようになってきています。更に、そうした企業は複数の国々でもっと堅実な実務を開発していて、プライバシー保護の専門職を養成することが必要だと強調しています。したがって、プライバシーを保護する専門職は派生的に必要とされているわけではなく、企業の統制という戦略の中で重要な価値をもつとされています。

これは非常に難しい課題であることは確かです。もとより、全ての企業には構成員が一人以上いるため、少なくとも構成員のプライバシーを適正に扱わなくてはなりません。しかし、多くの企業において自社の従業員や役員のプライバシー管理は、顧客やサービス利用者の個人情報に比べて非常に杜撰と言ってよい状態にあります。したがって、自社つまり自分たち自身の個人情報やプライバシーを杜撰に扱っている人々が、いくらクレームや炎上が怖いからと顧客や利用者の情報を丁寧に扱っているといっても、本質的には情報の取り扱いが統制されているとは言えないでしょう。

このような状況を改めて、個人情報やプライバシーの適正な管理・運用を行うには、もちろん上位の役職者による権限と責任が求められます。このインタビューでも、20年前にはマネジメント上の影響力を欠いた状態でプライバシーが扱われていたと言われています。

バムバーガー & ミリガン:20年前には、プライバシーは下位の役職者によって扱われていて、彼らには企業内での地位や影響力あるいは権能がありませんでした。プライバシーは、経営全体における無関心、そして経営資源のサポートがない状況に置かれていたわけです。重大な領域に関して事実上はポリシーがなく、仮にポリシーが定められている領域でも守られていませんでした。そして経営陣の無関心は、従業員に対して、プライバシーが経営戦略上の課題ではないという印象を持たせていたわけです。

ただ、こうした状況がどのような事情で変わってきたのかという点については、“the external environment demanded firm engagement”(外の状況が企業にプライバシー保護への積極的な関与を要求した)とだけ説明されているので、なかなか具体的なことまでは分かりません。その「外の状況」の一つは、数多く発生している情報漏洩と、情報管理体制に対する批判や訴訟なのでしょう。したがって、プライバシーの保護が経営戦略の一つの要素にまで格上げされたとは言っても、まだそれは「リスクマネジメント」の枠を出るものではないと言えるかもしれません。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook


著者の簡単なプロフィール

河本孝之(かわもと・たかゆき / Takayuki Kawamoto)

大阪市内のベンチャー企業で Chief Privacy Officer(個人情報保護管理者)として、情報セキュリティにかかわるマネジメントや社内システム、ネットワーク全般の運用を担当。1968年、東京都目黒区生まれ。神戸大学大学院博士課程中退(科学哲学専攻)。日本科学哲学会所属。Twitter アカウントは @identifiable_me