1
/
5

CPO としての業務について

 ファーストブランドの「情報セキュリティ事務局」で CPO を担当している河本です。

CPO とは何なのか

 "CPO" は "Chief Privacy Officer" の略です。プライバシーマーク制度(JIS Q 15001)では「個人情報保護管理者」という名前ですが、海外の方には何のことか分からないので、CPO も併せて使っています。CPO は、社内で個人情報やパーソナルデータを適正に扱うためのルール・対策・技術を考えたり、選んだり、運用したり、チェックしています。

 つまり、CPO はマネジメントという社内の仕組みを構築したり運用する責任者です。メールとか、アンケート用紙とか、データベースとか、そういう具体的な個人データやパーソナルデータを管理するのは、もちろんそれらを実際に業務として扱っている人たちですし、その人たちを管理する責任は部門長さんが負っています。わたしは、社内でみなさんが情報や資産を利用したり保護するための、仕組みづくりを担当しています。

CPO がいると何がいいのか

 弊社では、情報セキュリティや個人情報保護のマネジメントを担当する専任の部門を「情報セキュリティ事務局」として設けています。わたしが何か別の仕事をしながら片手間にやっているのではありません(ただし、わたしは受託案件の開発やサーバ構築、あるいは社内の情報システムやネットワークの管理も管掌していますから、情報セキュリティの仕事だけで一日が過ぎ去るわけではありません。逆に工数実績としては開発業務の方が圧倒的に多くなる月もあります)。そして、専任の部門をわざわざ作って維持すると何がいいのかという理由・経緯を説明するために、まず弊社の経営理念の一部をご紹介します。

世の⼈々に『満⾜』を超える『感動』を提供できてこそ、幸せを与えることができる。

 取引先と共有している資料や、お問い合わせでいただいた送信データ、あるいは就職を希望する方から預かった履歴書などを、法律にしたがって適正に利用したり管理するなんて、当たり前です。「コンプライアンス」と称して、そういう当たり前のレベルの仕事をやっていても、満足はしていただけるかもしれませんが、感動されたり、驚かれたりはしないでしょう。

 当たり前のレベルを超えたところでマネジメントを運用しているという事例を提携先や顧客にご紹介することで、具体的に何かに感動するとまではいかなくても、期待していた所定の結果を超えるであろうと期待していただけるようです。

 そして、弊社の「ファーストブランドスピリット」には、こうあります。

お客様に信頼をいただくため。⾃らに責任を課すため。これが個々のスキルアップになり、質の⾼い『こころが感じられるサービス』に繋がっていきます。

 相手の信頼を得るには、誰もが当然だと思っていることをやるというだけでは不十分です。そして、高いレベルで情報管理を担うには、既存の職能で仕事をしている方々が片手間でやっていたのでは、知識も時間も技術的なスキルも経験も全く足りない時代へ入ったというのが弊社の理解です。同じ認識の会社さんであれば、専任の部門を置くかどうかはともかくとして、既にプライバシーマークを取得されていたり、取得を検討されていると思います。

実際に何をしてるのか

 弊社でわたしが CPO の管掌でやっている業務は、以下のようになります。もちろん、全て列挙する意味などないので、ごく一部です。

・個人情報を格納する機器やサーバに対する通信と操作の監視
・脅威や脆弱性の情報、ソフトウェアのアップデート情報を広報
・暗号技術や PET (privacy enhanced technology) の動向を調査
・国内外の情報漏洩事故について報道や専門家の分析を確認
情報セキュリティ委員会の通常会議で委員から報告や質問を受ける(毎週)
・情報セキュリティ委員会の委員によるチェックシートの運用(毎月)
小テスト(毎月)
・法令や条例や JIS あるいは業界ルールの改定・起案動向を確認
・経営会議での報告や全ての部門に対する依頼
自社のサービスサイトや帳票、あるいは架電プロトコルの検証
納品するサイトやページで個人情報を扱う場合の事前・事後の検査
・法律や JIS の安全管理規程あたる数々の対策や施策

 太字にしてある五つの業務や施策は重点施策です(最後の安全管理規程にあたる対策は、やって当然のことでもありますが)。そして、特に一昨年から始めている情報セキュリティ委員会の通常会議についてだけ説明します。

 もともと情報セキュリティ委員会という会議体はあったのですが、これまでに実施していた会議よりも頻度を増やして、毎週の実施としています。ただし、頻度を増やすと各部門への負担が多くなるため、事務局からの通知や、特に委員に伝えておくミニ研修のような話題がなければ、15分以内で終えることを目標にしています

 そもそも、個人的に聞きたいことや、最初から全社に通達すべきことがあれば、チャットのような手段を使っているので、それを除けば毎週のように15分以上にわたって話すことや議論する話題があるとは思えません。しかし、セキュリティ全般についての態度と同じく、何もないということを確認することも大切ですし、委員の方々が「本当にそうなのか?」と疑問を感じて丁寧にチェックしてくれるようになれば、更に望ましいでしょう。

最後に

 以上のように、社外の取引先や顧客の情報や資産を適正に運用するだけでなく、社内の従業員の情報や資産の適正な運用についても、方針から実務にいたるまで、社内の実情や社員のスキルを考慮してルールを作って導入しています。わたし自身がやっていることについても、法令や業界ルールの改正や起案の推移は何か月ごとにどこを確認するかという、一定のルールを作って実行しています。

 そして、これは入社ガイダンスでもお話ししていますが、ISMS やプライバシーマークのようなマネジメントシステムを運用しているからといって、なんでもかんでもルールで固めているというわけではありません。もちろん、法令や規格に準拠しているため、要求されている事項を満たすようにルールを決めて実施するのは当然のことです。しかし、弊社では技術的な観点や実務的な観点から言って、監査や認証の要求を満たすというだけの効用(つまり「うちでは、すんごいことやってるぜ!」的なハッタリに使えるだけのメリット)しかなさそうな、対策として効力の低いルールは採用しないというマネジメントの方針をもっています。

 次回は、そういう外見上のポーズの意味しかなかったセキュリティ対策、専門家のあいだでは「セキュリティ劇場」と呼んでいますが、その一つとして「パスワードの定期的な変更」という話題を取り上げようと思います。 もちろん弊社では、何年も前からこんなルールは採用していません(それに、実はプライバシーマークや ISMS の審査でも審査員に疑問視されたり指摘事項にはならないのです)ので、具体的にどう考えているかをお話しします。

2 いいね!
2 いいね!
同じタグの記事
今週のランキング