Scribble at 2025-12-01 17:36:05 Last modified: unmodified

先月の後半にプライバシーマークの現地審査を終えて、幾つかの指摘事項に対応し始めたところだ。いくら20年近くも JIS を運用しているとは言っても、指摘事項が全く無いという審査はない。僕自身にしても、そこまで徹底してやっている自覚もないし、その必要もないと思っているので、何かしら抜け落ちることはあるのだ。そもそも、社内の警察をやっているわけでもなし、社員が勝手なことをしていないかどうか監視し尽くすなんて無理があるし、そうする意味もない。ということなので、社員が黙って勝手にやっていることは分かりようがないし、社員の方から申し出たり相談してくれるかと言えば、そういうわけでもないのはしょうがない。なので、今回もまた僕の預かり知らないところで問題があった。

とはいえ、他の部門で対応してもらうようなことは一つか二つだし、せいぜい公表している利用規約の文言を修正するといったことでしかない。マネジメント・システムそのものの運用を疑われるようなことは、僕らのレベルになると起きるわけがないのである。したがって、それ以外は社内規程の些細な誤記を改めるていどのことだ。

だが、だからといって自社の体制や運用が万全であるなどと錯覚してはいけないわけで、僕らが目指しているのは日本なんていう田舎国家のプライバシー法制などはるかに凌駕するレベルの実務なり運用だ。なんなら、自社で EU 圏のデータを預かってもいないのに GDPR と同じレベルで情報を取り扱おうかというレベルにまで自主的に管理体制を引き上げてもいいくらいである。われわれが目標にするのは、ステークホルダーの情報を客観的な基準に照らして適正に扱うことであり、特定の認証をクリアするといった些細なことではないからだ。