プライバシーマーク運用代行ねぇ

河本孝之(Takayuki Kawamoto)

Contact: https://plus.google.com/112326853631114362590/about

First appeared: 2010-06-01 23:57:00;
Last modified: .

出勤したとき、FAX 送信されてきたらしい紙が一枚だけ机に置かれていた。冒頭には「Pマーク取得済み企業様 各位」とある。具体的に会社名は挙げないが、「Pマーク運用*」を代行するという営業 FAX だ。

*このような表現は頻繁に見かけるが、非常に不正確だ。もちろん、プライバシーマーク制度によってマークの使用許諾契約を JIPDEC と結んでいる事業者は、「Pマーク」という意匠を運用しているだけではない。ここで言っている内容を正確に表現すれば、事業者は JIS Q 15001:2006 という工業規格に準拠していると認定された個人情報保護マネジメントシステムを運用しているのであって、それを内外に示すために「プライバシーマーク」の使用許諾を受けて、名刺や会社案内に印刷しているのである。もちろん、認定を受けた事業者の殆どは、「Pマーク運用」という文言が何のことを言っているかは分かるだろう。しかし、事業者内でのマネジメントシステム運用という本来の趣旨を、対外的なプレゼンスの問題に歪曲したような不適切な表現に慣れてしまうと、無自覚に名刺にマークを印刷し続けるために監査を受けることが自己目的化してしまうだろう。このような次第で、本稿の後半では「PMS運用」という表現に言い直している。

具体的な代行業務を見ると、月々 2.5 万円で、

といった実務を代行するという。簡単に計算すると、プライバシーマークの使用許諾は 2 年ごとに更新するため、次に更新するまでのあいだに最大で 60 万円(2.5万円×24ヶ月)を要する。専任の社員を雇うくらいなら、もちろんこちらの方が安上がりに違いない。しかも交通費込みだし、外部監査をパスすること(認定事業者資格の維持)も保証している。

ただ、この FAX を送ってきた会社のサイトを見てみると、どうも怪しい点がある。

まず最初に気づくのは、この会社自体がプライバシーマークの認定事業者ではないということだ。そして、この会社のプライバシーポリシーのページを見ると、末尾に「個人情報保護方針に関するお問い合わせ」としてメールアドレスや電話番号が記載してあるだけであった。これでは、外部監査を受けたら「指摘事項」を食らうだろう。「指摘事項」とは、それを改善しないとプライバシーマークの使用を認定されないような不備という意味だ。更に酷い場合はマークが使えないどころか主務大臣による行政命令が出るし、行政命令にも従わない場合は、個人情報の保護に関する法律の第56~59条により、行為者と法人が処罰される。

では、どうしてプライバシーポリシーのページに不備があるくらいで「指摘事項」になるのか。プライバシーポリシーのページにある不備は、もちろん事業者のマネジメントシステムそのものの不備に比べたら些細とも言いうるが、少なくとも個人情報保護マネジメントシステム(「PMS (Privacy protection Management System)」と略記する場合がある)の運用を代行すると称している事業者の掲げるポリシーとしては、とうてい容認できない誤りだと思う。理由は以下のようになる。

  1. 個人情報保護方針、つまりプライバシーポリシーは、その事業者が規定・運用している個人情報保護マネジメントシステムの基本方針なのだから、そもそもクレーム対応の問い合わせ先を掲げる必要はなく、逆に個人情報保護マネジメントシステムの最高責任者である代表者(殆どの場合には社長)の署名を掲示しなくてはならないはずである。(でなければ、そのポリシーを誰の責任で公表しているのかが分からず、事業者の代表者(「トップマネジメント」)がコミットしたという証拠がない。)
  2. 実際に JIS への準拠を認定されている事業者の実務においては、問い合わせ先は問い合わせる人の個人情報を取得する必要が生じうるので、「個人情報の取り扱いについて」(法令にもとづく公表事項にあたる)という別のページを設けて、そこへ掲示することが多い。また、問い合わせ先を掲示する場合の名目としては問い合わせる当人の個人情報を取得する可能性があるため、個人情報保護方針に関する問い合わせに限定するべきではない。その事業者に個人情報を提供した個々人が、開示請求したり訂正や削除を依頼するために問い合わせる事例の方が多いだろうから、開示、訂正、利用停止等の申し立て先として、それから個人情報の取り扱い全般に関する苦情・相談の窓口として掲示すべきだと考えられる。
  3. 問い合わせ先としては、「相談窓口」といった不明確な名称を用いるべきではなく、少なくとも部署名と窓口担当者の役職名を明記すべきだろう。ちなみに CPO (Chief Privacy Officer) や窓口担当者の氏名を表記している会社もあるが、これは従業員が買収も含めたソーシャルハッキングの標的にされる可能性があるため、僕自身はサイト上に具体的な氏名を公表しない方がよいと考えている(実名を出さなくても規格の要求事項や適法性を損なうことはなく、具体的な氏名を公表することで逆に個人情報の漏洩リスクを高めると判断する)。

JIS に準拠しているかどうかを監査する第三者事業者(つまり監査会社)によっては監査や審査の基準や方針が異なるので、一概に上記のような点を指摘されるとは限らないが、このように細かい点も考慮しておく必要があるということだけは言える。という次第で、「なるほど、しっかりやってるな」と思えるところに一部の業務(たとえば正式な監査機関以外の会社に第三者として監査してもらうのは有効だと思う)をアウトソースするていどなら検討の余地はあるが、あれでは信用に値しない。

ちなみに、この記事を書いている動機を誤解されるといけないので開示しておくと、僕の場合は、別に PMS の実務をやらなくてもシステム部長という職務があるから、アウトソースして自分の役務が減る(と、リストラの対象になったりする)ことに抵抗するというモチベーションはなく、マネジメントシステム運用の実務に割く工数が減れば減るほどありがたい(はっきり言って手当てなどのインセンティブすらないのだから尚更だ)。なので、「外に出すと不安だから、俺を雇い続けて仕事をさせた方がいいですよ」なんてことを言う動機が僕にはないのだ*

*この記事は 2010 年に公開したものであり、当時はシステム部長と情報セキュリティ事務局の責任者を兼任していた。

最後に、このような代行サービスを提供する会社さんには申し訳ないが、敢えてなし崩しのような点を指摘しておこう。それは、この代行会社が内部監査を代行すると称している点に大きく関わっている。PMS 運用の実務を委託すると、帳票や内部監査といった業務を委託するだけでなく、具体的に個人データの運用も委託することになるはずだ。でなければ、それぞれの事業者で取得・運用・維持・破棄している個人情報の目録を運用したり、取り扱いの作業履歴を運用できないからである。すると、委託先が具体的な個人情報のデータベースを扱うことになるので、委託元の会社は外部の会社に実務を委託しているという管理責任が発生する。そのような管理責任の一つに、自社で外部の委託先に対して行う与信判断なり監査があるわけだが、当の委託先である代行会社が、委託先である自分たち自身に対する監督や管理という実務を代行するわけにはいかず、委託先の与信判断や監査という業務を代行できるわけがないのである。

追記(2015-07-23)

上記の記事を書いてから暫く経過して、ようやく JIPDEC から「個人情報保護マネジメントシステムに係る代行を謳う事業者の利用について(注意喚起)」(2015年1月30日)という文書が公表された。本稿で取り上げた代行業者は、初めて架電するふりをして何度も営業電話をかけてくることから、恐らく他のプライバシーマーク認定事業者にも同様の営業活動をしているのだろう。こうした業者の営業活動が増えてくるとともに、こうした業者を利用していると思われる事例が目立つにつれて、JIPDEC にも問い合わせなり苦情が集まっていたのだと思われる。文書の中では、

昨今、付与適格性審査の過程で、個人情報保護マネジメントシステム(以下、「PMS」という。)に係る代行を謳う事業者等(以下、「代行業者」という。)にPMSの構築から運用に至る活動(以下、「PMS運用」という。)及び付与適格性審査に係る申請・改善報告対応等を「丸投げ」している事業者が散見されております。

とあり、つまりプライバシーマークの初回審査や更新審査(どちらであれ文書審査と現地審査がある)において、認証機関あるいは審査機関(JIPDEC は「審査機関」からの報告を受けてプライバシーマークの利用を「認定」する機関である。JIPDEC が直に監査するわけではなく、別の事業者が審査機関として監査する)が、代行業者に丸投げしている実態を把握したのであろう。二回目以降の更新審査では、審査機関の審査員は前回までの審査でヒアリングした記録なり現地確認で得た観察結果を引き継いで、その後に起きた事業の変化や外部からの新しい要求などを質問するので、監査を受ける事業者の(個人情報を扱う業務に限らず)業務フローや事業内容を具体的に尋ねる。もちろん、このようなことは相当な工数を費やして当該の被審査事業者で働いたりヒアリングしないとわからないことであり、安易に丸投げしてしまえば現地審査の場で代行業者がいい加減なことを説明してしまい、前回の回答と内容が違えば疑われる。また、はじめてプライバシーマークの利用許諾を受けるという事業者については、初回審査の審査員は当然ながら審査対象の事業者について何も知らないので、個人情報を取扱う業務だけに限らず色々な内容を質問する。当然、その事業者で働いていれば分かるはずのことを、事業者側の「責任者」として出席している人間が答えられなかったり、個人情報の取り扱いに関する質問以外は全て同席している他の人間に答えさせていると、当然ながら疑われる。審査員は、もちろん回答している人間が外部のコンサルかもしれないと想定しているので、単純に丸投げしているような場合はすぐにバレるのだ。

JIPDEC の文書で「プライバシーマーク制度は、事業者が主体的に構築したPMSの体制とその運用状況がJIS Q 15001:2006に適合しているかどうかを審査し、適合が認められた事業者にプライバシーマークを付与する制度です」と書かれているように、どのようなマネジメントシステムであろうと、それを実装する事業者の業種や業態に応じて規程や手順書を作成して運用するのが基本である。それは、それぞれの事業者が独特の業務内容やビジネスモデルをもっていて、それぞれの事業者に特有のリスク(とりわけ脆弱性)があると想定されるからだ。概括して外からでも指摘できるようなリスクだけではなく、自分たちに特有の脆弱性なり脅威を発見して対応することが求められているので、そうしたリスク対応のために必要な(その事業者で働いていればこそ発見できる)情報を得るのが難しい外部の代行業者にマネジメントシステムの運用を委託するというのは、要するにPMS 運用の放棄と見做されても仕方ないだろう。

また、「代行業者を利用される事業者各位においては、代行業者が提供・作成する運用方法、様式・記録等を最適化することなくそのまま使用したり、代行業者を現地審査時に同席させ改善報告書の作成まで対応させる等、自らの事業の実態に即したPMS運用が行えていない事実が多く見受けられました」と指摘されているように、オンラインで適当にダウンロードした他社の規程書や、同じくオンラインで販売されている各種書類のテンプレート集に手を入れただけの文書で審査を「すり抜け」ようとしても、実態に合った規程や記録なのかどうかを確認するのが現地審査の一つの目的なので、審査員にはすぐに分かる(はずだ)。その場で「アウト」とはならないにしても、山のような指摘事項を通達されて、それこそ規程・記録類をスクラッチから書き起こすのと変わらないほど酷い修正作業となるかもしれない。事実かどうかは分からないが、そのように杜撰な運用のまま実務を押し付けられた社員が鬱になって休職・退職した会社があったという話も聞く。

もちろん、僕がこのような正論を言えているのは、情報セキュリティ専門の担当部署を CPO として預かり、専任で取り組めるという、条件のよい立場にいるからだろう。多くの事業者では、総務部や法務部の人員が片手間(良く言えば「兼任」)で実務に携わっており、零細企業の中には代表者が実務を適当にこなしている場合もある。もし、「適当ではなく十分にやっている」と言い張る代表者がいるなら、その人は経営者としての本来の責務を軽視していると思う。個人事業主の規模ならともかく、いやしくも企業を経営している立場や責任にある人間がクリティカルな専任事項である経営に打ち込まないのは、敢えて言えば怠慢である(もちろん、だからといって PMS 運用を雑務だと言うつもりはない)。また、伊達や酔狂ではなく真面目にマネジメントシステムを導入すると決めたのであれば、「担当できる人がいない」だの、昨今流行の「人材不足」だの、「スキルや知識がない」だのという寝言は事業者による敗北宣言であり、事業の経営陣に社内体制を整備する経営能力(もちろん、専任者を確保するための原資を調達するというファイナンスの能力も含まれる)がないと公言することに等しいと自覚するべきである。どれほど純粋な「善意」や「おもてなし精神」で事業を始めようと、無能な人間に他人の個人情報を大量に扱う資格はない。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook