Scribble at 2021-10-05 09:54:16 Last modified: 2021-10-05 09:57:02

岡村久道氏の『個人情報保護法の知識』が第５版となった。実務家の末席にいる者として、法制度だけでなく解説の推移についても関心があったため、本書は古本で第１版から全て集めている。この第５版も、そのうち入手して比較の対象にしたい。

本書はアマゾンのような胡散臭い reputation の場だけでなく、ビジネスの現場でも評価の高い概説書の一つであり、コンパクトな新書に要領よく制度の仕組みがまとめられている。はっきり言って、コンメンタールや専門書を除けば、それ以外に乱造されている本など完全に無視してもいいと言える。仮に本書の内容でわからないことがあったとしても、それは自分で調べるべきである。市井の書店に積まれているクズみたいな俗書を買って読み、実務経験もなければ法律の知識すらない IT ジャーナリストとかライターが弁護士のブログ記事などからコピペした文章や、不正確あるいは端的に間違っている図表とかイラストで、錯覚にすぎない愚かな理解を大切に抱えて死んでゆくような喜劇を演じたくなければ、四の五の言わずに権威に従って良書と呼ばれる本を読むべきである。

権威に従って学んだり仕事に従事した経験もなしに、むやみに権威を軽視したり無視して仕事ができるのは、簡単に言えば〈有能な人間〉だけだ。そういう有能な人間が、IT ジャーナリストやライターとして生活している確率など、明日の正午に未知の巨大な隕石が飛来して地球に衝突する確率よりも低い。また、読む側のあなたがたが権威を無視して個人情報保護法制を適当なパンフレットや漫画だけで理解できる確率など、大谷翔平が１シーズンにホームランを100本放つ確率よりも低い。もちろん、誰も彼もが無能だと言いたいわけではないし、無能だから死ねと言っているわけでもないが、さしあたって自分が法律や制度の素人であるという自覚があればこそ、簡単に分かると思える傲慢こそが、自分の思考や理解を誤った方向に向かわせたり陰謀論のようなクズ理屈に向かわせる、自己催眠や自己欺瞞の原因なのだと知るべきである。

さてしかし、ここまで言っておいて更に明言しておかなくてはいけないことが一つだけある。それは、本書のように良く書けている本を読んだとしても、プライバシーマークの認定事業者としての実務、つまり JIS の運用はできないという事実である。なぜなら、法律には個人情報を保護するために具体的に何をせよとは指示されておらず、それどころか JIS の規格書にも具体的なことは書かれていないからだ。

たとえば、その典型として僕らが社内の研修で説明しているのは、内部監査だ。JIS では内部監査に大きく言って２種類がある（プライバシーマークの認証機関が行う「文書審査」と「現地審査」は、大別すれば外部監査に当たる）。一つは、古くから「合致監査」や「適合監査」と呼ばれてきたものであり、個々の組織が構築・運用している個人情報保護マネジメントシステム（PMS）が JIS という規格を適切に遵守しているかどうかという適合状況を確認するものだ。そしてもう一つは「運用監査」と呼ばれているものであり、これは組織が個人情報保護マネジメントシステムとして決めたルールを適正に運用しているかどうかを確認するものである。つまり、組織や会社が自分たちで作ったルールを自分でちゃんと守っているのかどうかを確認するのが運用監査であり、そのルールや組織の方針がそもそも JIS に適合するものなのかどうかを確認するのが適合監査だと言ってよい。そして、これらはどちらも法律には何も書かれていないし、JIS の規格書である JIS Q 15001:2017 という文書にも具体的な構築・運用の手順は書かれていない。よって、自分たちの会社なら会社でオリジナルの方針やルールや記録フォーマットを作らなくてはいけないし、その方が一律に決めたものを押し付けるよりも良いのだというのが JIS の発想である。これは、僕の会社で一昨年度まで運用して認証も受けていた ISMS という情報セキュリティのマネジメントシステムでも同じ発想を採用している。なので、帳票やルールの作り方が分からない駆け出しの実務家がオンラインで調べるのはいいとしても、「これをお使いください」などと WORD 形式でバラ撒かれている内部規程や記録フォーマットのテンプレートを流用する（しかも、そのまま会社名だけ替えて）というのは、制度の趣旨に反しているし、そもそもそれでは〈その組織の〉個人データはきちんと守れないのである。