Scribble at 2025-10-12 13:06:56 Last modified: 2025-10-12 13:10:57

個人情報保護マネジメントシステム（PMS）においては、最新版の規格である JIS Q 15001:2023 の第９節で規定されている組織のパフォーマンス評価が二つあり、一つは「監視、測定」、もう一つは「内部監査」である。これらは従来の規格で「運用（状況）監査」と「内部監査」と呼ばれてきたのだが、誤解を招きやすい表現であるため、当社の内部規程を更新するときに新しい呼び方を採用したいと思っているところだ。なぜなら、どちらも第一義的には組織つまり会社の内部で行うプロセスであることには変わりがないのであって、どちらか一つだけを「内部監査」と呼ぶのは実施している社員にとってみても不自然に思えるだろうからだ。自分たちのやっていることに納得できないようなことをさせるのは、マネジメントを担っている者としては優先して避けなくてはいけない。社内の各人が、社長だろうとバイトだろうと、自分のやっていることを「じぶんごと」であると感じられなくなるのは、人的あるいは組織的な対策としてのリスクを増大させる愚行であろう。よって、JIS に関連する文言が ISO/IEC の規格書からの（言い方は悪いが）翻案やコピペであることは、英語が使える者としてよく知っているわけだが（そもそもイギリスの BSI で策定された ISMS という国際規格の国際規格案に英語でパブリック・コメントを投稿していたこともある）、だからといって日本語版になった規格書で使われる文言のまま使って良いとは思えない。このサイトで何度も書いているように、僕は権威主義者であるから BSI や ISO/IEC は一つの権威として認めているし、日本の産業規格を策定している団体にも一定の権威を認めているが、日本語の運用なりマネジメントシステムの理屈において誰からの批判も反省も求めずに済むほどの強力な権威だとは思っていない。なので、思考や作業の効率を優先して不問にして良いわけではない。おかしなところがあれば確認したり検証して、認められないことがあれば自分たちに合わせて改めても良いだろう。そして、そもそも規格とはそれぞれの組織が置かれた状況に適合させて、要求事項や管理策を選んだり改めることを期待されているのである。右から左へ機械的に規格書の内容を遂行する事務作業だけが Chief Privacy Officer の役割ではない。

ということなので、組織の監視や測定は内部の業務つまりプロセスの監査であり、いわゆる内部監査は組織の個人情報保護マネジメントの監査なので、前者は組織の「プロセス運用状況監査」と呼んで、後者は組織の「JIS の適合性監査」と呼べばいいわけである。特に、後者の呼び方は ISMS でも JIS の要求事項や管理策などとの適合性、つまり「合致」を監査するものとして使われてきた言葉であり、手放す必要などないのである。

ただし、ここには一つだけ懸念するべき点がある。それは、どちらであれ社内の PMS という体系からチェックしたり、あるいは JIS という体系からチェックすれば「それだけで十分である」と考えてしまう危険があることだ。実際、JIS や法令だけで個人情報の保護が「万全」であるという思い込みは、哲学者でもある僕に言わせれば深刻な（そしてプライバシーマークのコンサルなどが口走ることが多いので、「悪質な」とすら言える）残留リスクの一つだと思う。もちろん、だからといって GDPR を導入すればいいとか、PCI-DDS の認定を受ければいいとか、新しい ISMS 系のプライバシー認証ならいいかとか、そんな単純な話ではない。もしかすると、どこの国であれ機関であれ、あるいはどこの法律家や法学者や技術者も提案していない妥当な方針とか対策があるかもしれないのである。