Scribble at 2020-04-08 16:34:37 Last modified: 2022-10-03 09:47:07

個人情報保護法や JIS Q 15001 を始めとする情報法制と情報管理の業界団体や任意団体というのは、もちろんプライバシーマークが最大の規模をもつのだが、他にも独自の認定を行っている「一般財団法人個人情報保護士会」とか「一般社団法人日本プライバシー認証機構」とか（TRUSTe は日本ではここが運営を委託されたらしい）、他にも NPO 法人で「日本プライバシーコンサルタント協会」とか「日本マーケティングプライバシー認証機構」、それから消失したようだが「日本個人情報保護推進機構」だの「日本プライバシープロフェッショナル協会」だのがあった。いま並べた団体のうち、最後の日本プライバシープロフェッショナル協会は、殆どの事業を「一般社団法人日本プライバシー認証機構」に引き継いでいるため、プライバシーマーク制度を除けば、この一般社団法人日本プライバシー認証機構が民間では最大の民間資格と第三者認証の団体ということになるのだろう。TRUJSTe マークは、たまに掲載されているサイトがあるのを僕も見かけるので、読者の中にもマークを見かけた人がいるかもしれない。

ただ、認証や認定などというものは、いくら受けていても事故が起きたら言い訳にはできない。認証や認定を受けていて有利になるのは、それらを認証・認定されていることで保険が支払われやすくなる事業者側であり、個人情報が該当する本人ではないのである。よって最近の趨勢としては、アメリカの事業者のように、認証や認定ではなく実質的なセキュリティを重視して、例えば広く自社のサービスの脆弱性を通報してもらう懸賞付きのキャンペーンを開催するとか、CSIRT やらレッド・チームを編成して具体的な対応事例を公表することが（結局はステークホルダやシェアホルダのためにも）良いとされて、第三者認証のステータスには拘らない会社もある。たとえば、弁護士ドットコムなどは法制度にかかわる事業なのだから、従来の国内の事業者の姿勢としては積極的にプライバシーマークの認定を受けてもいい筈だし、医療機関のように杜撰な情報管理でも「いのちを守る」などとテレビ・ドラマや二束三文のドキュメンタリー番組のように叫んでいれば言い訳できるわけでもなかろう。しかし、昨今では自分たちが法律や技術のプロだと自認していれば第三者の認証など不要と胸を張る事業者が、いまのような事情もあって増えつつあるという。

ただ、いつものことだが、東アジアの田舎国家で弁護士や情報セキュリティ企業を営む人々に、プロだからと言い張るだけの素養や実力があるのかどうかは、誰も保証などできない。それゆえの第三者認証なのだが、サルのできることと言えばアメリカの猿真似でしかなく、《俺たちを信じてくれ》的な青春ドラマのセリフを口にすればいいというだけのことらしい。各国のプライバシー法制や行政システムすら理解していない無知な弁護士起業家どもに我々のような存在がいちいち教えてやること自体が工数の無駄なのだが、アメリカで認証制度が殆ど普及していないのは、代わりに社内の情報管理体制やリスク・アセスメントを詳細に開示したり、実際に強力な体制を敷いていなければ、FCC を始めとする監督官庁に大きな捜査、命令、起訴、それから懲罰的制裁金の権限があるからなのだ。認証なしで《俺たちを信じてくれ》式のセリフを口にするのであれば、日本なら個人情報保護委員会に強力な捜査権や制裁権限を与えて、業界を互角に牽制できるだけの力を与えなくてはいけないのだ。要するに、マークをウェブサイトや名刺に貼るかどうかの些末な違いではないのである。