Scribble at 2024-08-29 12:20:50 Last modified: 2024-08-29 12:56:40
本書は、既に第3版を手にして利用していたのだが、水曜日に出社してから帰宅途中で立ち寄った古本屋で第5版が400円という破格の値段で売っていた。ほぼ新古書という状態でもあったし、スタンダードなコンメンタールとして読む価値があるから、もちろん手に入れている。
ちなみに、こういう本の評価、特にアマゾンのレビューなどでは「実務に使えない」などと書く人が非常に多いのをご存知だろう。しかし、その企業実務で Chief Privacy Officer を拝命しているプロとして言わせてもらえば、そういう人々が口にしたり思い描いている「実務」というのは、出来合いのテンプレートやコンサルのアドバイスをコピペするといった、まさしく事務屋の作業にすぎない。大抵の本は、アイドルのグラビアや漫画を学術研究に使ったり、学術書を漫画の原作に使ったり、読み方に応じていくらでも応用できるわけであって、実務家だから実務について書かれた本だけを高く評価し期待するなどという、新卒のマニュアル小僧から成長していない雛鳥みたいな知性でマネジメント業務に携わってもらっては困る。
しかも、企業の PMS(個人情報保護マネジメントシステム)を構築したり運用するにあたっては、そのコア・コンピタンシーとして法令や業界規範から自社の実務を考慮して社内規程や手順書に落とし込んだり実装する能力が必須である。大手の企業でもよくある、プライバシーマーク専門の出入り業者やコンサルに、プライバシーマークの監査用に帳票類の捏造を丸投げするといった実態では、そういう会社の法務や総務(そうした部署の役職者か、同じ管掌の役員が片手間に CPO をやることが多い)の能力など、コンピタンシーを語る以前に実質的なスキルはゼロであろう。せいぜい、社内政治での寝技に長けたクズみたいな人間が育つだけの話である。
それから、こういう古い版の本を扱うにも有効な扱い方というものがあって、実務家であればなおさら、この第5版は2016年の発売であるから、JIS Q 15001:2023 に対応していないのは自明として扱う必要がある。すると、それまでの歴史的な経緯の解説として2016年までをカバーする資料として読めば、後は自分で不足している内容を補えばいいわけである。もちろん、そこも含めて最新の内容までを誰かに解説してもらいたいのであれば、さっさと最新の版で買えばいいのだ。どのみち、これだけの内容の本を読む必要がある実務家であれば稟議を出して会社に買ってもらえるであろう(弊社のような30人規模の中小零細ですら、プライバシーマークを認定されているので稟議は通るはずだ)。つまり、古いとか自分の実務へのアドバイスみたいなものが書かれていないというだけで、こういう学術書だとか法令のコンメンタールを「実務に使えない」などと言ってのけるのは、企業人としての無能を自己紹介するだけでなく、そもそも大人として本の読み方を知りませんと開き直っているようなものだ。恥ずかしい。
もちろんだが、本書には実務家として参考にできる範囲や程度というものがあって、本書を読むだけでプライバシーマークを認定してもらえるような実務上の知識が身につくわけではない。たとえば、現行の JIS Q 15001:2023 で規定されている PMS では、自社のパフォーマンスを測定する(これは古い規格の内容では「運用監査」と呼んでいたものだ)ときに参照するべき管理策(controls)として、JIS Q 27002 に掲載されている管理策と殆ど同じ内容を踏襲している。この JIS Q 27002 は情報資産全般のセキュリティを対象とする ISMS の管理策を集めた規格である。最新は2024年度版だが、JIS Q 15001:2023 では一つ前の JIS Q 27002:2014 を参考に、ほぼ JIS Q 27002 と同じような管理策を採用している。弊社が ISMS の認証を更新しなくなったのは、それが理由だ。もちろん情報セキュリティの対策をやめてしまうわけではなく、その準拠するべき規範として、実質的に同じような内容の二つの規格を必要としなくなっただけである。そして、こういう管理策は200項目を超える詳細な内容となって列挙されているわけだが、実際には個人情報保護法には全くこの類の規定がない。それらは全て「安全管理措置」として各事業者が対策せよと求められているだけであり、具体的な内容は法令に規定がないため、本書でもわずか4ページしか解説されていない。