Scribble at 2021-01-27 09:27:44 Last modified: 2021-01-27 09:42:55

今年はプライバシーマークの使用許諾契約を更新するため、JIS Q 15001:2017 への適合性を審査してもらい認定を受ける予定だ。回りくどい表現だが、それなりに正確に書くとこういう言い方になる。正確に表現する目的の一つは誤解を防ぐためであり、つまりは上記のように表現しないと幾つかの誤解が生じるのである。

まず、「プライバシーマーク」という "P" の字形をあしらったマークを名刺やウェブサイトで利用するための契約を JIPDEC と交わすことは、必ずしも JIS Q 15001:2017 という工業規格へ準拠していると認められることとイコールではない。JIS Q 15001:2017 という規格に準拠しているかどうかを独自に認証する機関もあって、そこではプライバシーマークとは別のマークを発行しているが、別にそれは違法でもなければ非常識なことでもない。

そもそも、個人データやプライバシー情報の管理や利用という業務なり手順については、他にも審査で認証された事業者へ "TRUSTe" のマークを発行する団体があることは知られているし、第三者機関によって認証されたかのように誤解されないよう注意すれば、そもそも JIS に準拠して情報管理をしていることを自分たちで任意に宣言してもいいのである。

事業者が自分たちで規格に適合していると宣言することを「自己認証」と言っていて、自己認証のための適切な手順を解説する認証会社があるため、まるで自己認証にも決まったルールや形式や規格があるかのように誤解されているが、自己認証は相手から記録や社内規程を求められたときはすすんで開示するくらいの用意さえあれば、別に決まったルールなどない。要するに、当社は規格をこのように理解して業務管理に適用し、これこれの記録をとってマネジメント・システムを運用していると説明できればいいわけで、これは第三者機関から審査を受ける際の会社のスタンスと全く同じである。（つまり、認証機関に虚偽の説明をしたり嘘の記録を見せて認証を受けたら契約不履行になるどころか、悪質な場合は詐欺も問われる。）

次に、冒頭で述べた文に「認定」という言葉を使っているとおり、「認証」と「認定」は異なる手続きである。これらを正確に区別しないと誤解が生じる場合がある。ISMS（情報セキュリティマネジメントシステム：JIS Q 27001:2014）のように、JIS へ準拠していること、つまり適合性そのものを審査機関が保証する場合は「認証」と書く。他方で、「認定」とは事業者や団体を直に審査した機関から提出されたレポートを公的に認められた上位の機関が審査し、そのレポートの適合性を評価することである（つまり認証機関の認証プロセスを適正だと評価しているのである）。よって、プライバシーマークの審査というのは、正確には二段階式になっていて、まず認証機関や認証会社が事業者等の社内規程や現地審査でレポートを作成し、それを JIPDEC というプライバシーマーク制度の上位機関へ送って更に審査を受けている。そして、JIPDEC がそのレポートを審査した結果として、対象となる事業者や団体にプライバシーマークの利用を許可するという構図になっているのだ。