Scribble at 2024-01-17 15:06:01 Last modified: unmodified
昨年度の暮れにプライバシーマークの現地審査が終わり、現在は指摘事項への対応や改善報告を進めている。今回は文書での修正が多くなっていて、これは仕方のないことなのだが、先に更新監査の申請を8月に出してから9月に産業規格が JIS Q 15001:2023 へと更新されて審査基準が変わってしまったため、その新しい審査基準に過去の文書が対応しているわけがないため、多くの修正が必要となっている。しかも、困ったことに昨年から僕は MORISAWA Passport のライセンスなしで社内文書を作成することにしたため、InDesign のレイアウトが相当な規模で崩れてしまっていて、その整形作業も同時にやっている。
こういう話は、もちろん規格や個人情報保護マネジメントシステム、ひいてはお客さんや社員の個人情報をどう適切に取得したり利用するかという大きなテーマにとっては、もちろん二義的なことにすぎない。やることをちゃんとやっていれば、そもそもプライバシーマークだって必須というわけではないのだ。とは言え、対外的に信用を得るための有益な手段であることも確かであるし、こういう規格への適合をきっかけにして社内のルールや状況を整備することも一つの効用であろう。
ちなみに一つだけ話題として提供しておくと、これまで社内で自主点検する仕組みとして「合致監査(あるいは適合性監査)」と「運用監査(運用状況監査)」という二種類の内部監査があるという説明がスタンダートだった。実際、プライバシーマークの取得事業者向けに JIPDEC が主催しているセミナーでも、同じ二分法が採用されてきた。しかし、現在は二種類の監査があるという仕組みにはなっていない。監査はあくまでもマネジメントシステムの監査(適合性監査)のみであり、これまで社内で各部署の人員が自己点検として行ってきたことは、現在では運用状況の「監視、測定、分析及び評価」という捉え方になっていて、これと内部監査(適合性監査)とを合わせて、その事業者全体の個人情報保護マネジメントに関する「パフォーマンス測定」というカテゴリーに含まれるようになった。