Scribble at 2024-09-08 21:38:01 Last modified: 2024-09-09 14:12:35
ただいま幾つかのプロジェクトを同時に進行させていて、その一つに社内規程の再構築というものがある。従来、弊社は15年くらい ISMS(JIS Q 27001)とプライバシーマーク(JIS Q 15001)とを認証・認定してもらってきていたので、社内規程、つまり文書としての規定内容に両方の対象を含む重複した記述があったり、場合によってはどちらかの規定内容に合わせる必要があった。そうしないと、ISMS とプライバシーマークによって情報管理のレベルに食い違いが生じたり、社内の実務として矛盾が生じる可能性があるからだ。たとえば、5年ほど前までならプライバシーマークの現地審査で「何日ごとにパスワードを変更していますか?」などという愚かな質問をされたので、海外の事情や議論を弁えているレベルの CPO として「そんなことはやっていない」と返答してきた。ISMS では、パスワードの定期的な変更などという、典型的な「セキュリティ劇場」など要求されない。もちろん、プライバシーマークの審査でも、PCI-DSS のようにパスワードの定期的な変更は明確に求められていないので、その場ではちょっとした議論にはなるが、それだけのことでプライバシーマークの使用許諾を剥奪されるようなことはない。
ただ、ISMS の認証を受けないようになると、もちろん情報セキュリティの対策をやめてしまうわけではないにしても、認証を受けるためのいわば形式的な手順や基準を維持する必要はなくなる。それに、ここでは何度か説明しているが、いまやプライバシーマークの認定基準となっている JIS Q 15001 は、ISMS のセキュリティ対策(「管理策」と呼ぶ)を列挙している JIS Q 27002 の内容を参考にしているため、プライバシーマークに対応する管理策を社内へ実装して運用すれば、ほぼ ISMS を運用しているのと変わらないと言えるようになってきた。したがって、もうプライバシーマークに準拠する社内規程だけに作り変えても(適用する対象を情報資産全般に広げるだけで)情報セキュリティ全般の対策をとることにもなるので、二つの産業規格を照らし合わせる必要がなく、一つの社内規程を整備すればいい。
といった事情で、社内規程を作り直しているわけである。しかも、今回は複数の規程に分散している文書を一つの規程にまとめるという目標も設定しているので、ほぼ全面的に社内規程を作り直しと言って良い。「複数の規程」とは、基本規程のような一般論を述べた規程に加えて、文書規程とか内部監査規程といった、具体的な基準や手順を記載した特別な規程文書のことだ。たいていの企業では、そうやって個人情報保護マネジメントシステム全体をカバーするための社内規程文書として、複数の文書に分割している。しかし20年近くの運用を続けてきて思うに、僕にはその有効性がないとしか思えない。そして、マネジメントシステムの原則から言えば、有効性を確認できない施策は改善したり変更する必要があり、それは社内規程としてどういう文書を作成して整備するかという文書体系についても当てはめて良い。ともかく、僕が分散した社内規程文書について改善の余地があると思う理由は、以下のとおりだ。
第一に、規程内容を分けることで、粒度の粗い規定を基本規程に記述し、粒度の細かい規定を個別の規程に記述するという無駄な作業が発生する。そして、どのみち個別の規程で更新するべき理由が起きたときは、たいてい基本規程の方も変更することが多いので(なぜなら、たいてい規程を修正するのはプライバシーマークの文書審査に応じて基本規程と個別の規程という双方の内容を改めるためだからだ)、規程文書を分割するメリットとして個別の規程だけを更新していれば済むと言われることは多いのだが、それで済むかというと、約20年間の実務の経験として言わせてもらえば、そんなことにはなっていない。「何か変更があっても個別の規程だけを更新すればいいように作ることが望ましい」などと言われたところで、そんなことのために規程文書を設計するのは、はっきり言って官僚的・事務屋的な発想の典型であり、本末転倒も甚だしい。
第二に、規格は、もともと規程文書を分割せよなどと要求していない。JIS Q 15001 の「文書管理」を読めば分かると思うが、管理目的に応じて区別しているのは、あくまでも「規定」つまり定める内容のことであって、それらを個別の「規程」つまり文書として起案し整備し運用せよなどとは言っていない。よって、もともと個人情報保護マネジメントシステムの社内規程は一つの文書でも全く問題ないわけである。それを、たとえばプライバシーマークのコンサルとか専門家などと称する人物や弁護士などが、オンラインの記事や書籍などで、文書類の実例として複数の規程「類」を例示して、いかにも複数の文書へと分割して作成し運用することが標準的であり適切であるかのようにデタラメを吹聴してきたのである。僕は、GDPR なども含めた国際的なスケールであるばかりか、事実上のインハウスの哲学者として、そんな馬鹿げたただの慣習に従う必要はないと思う。しかも産業規格でそう規定しているわけでもないのだから、なおさらだ。
第三に、複数の文書へ分割することによって、複数のファイルを運用しなくてはならないという単純な手間が増えるし、複数のファイルで基本規程と個別の規程とでどちらを参照すればいいかという利用者側の不便を無用に引き起こす可能性がある。そもそも、社内規程というルールや方針や基準を文書として作成したり運用するのは、それを使う人が誰であるかによってルールや手順の理解が異なったり間違うようなリスクを低減させるためなのであって、社内規程という文書を作ること自体が目的なのではない。また、そういう文書をプライバシーマークの文書審査や現地審査の担当者へ見せびらかすことが目的なのでもないはずだ。社内規程を文書として作成し運用する目的は、あくまでも社内の全員が、情報セキュリティの担当者であろうと営業マンであろうと社長であろうと、理解の食い違いなく個人データの取り扱いについて会社の方針や手順を遵守できることにある。よって利用者である全員が取り扱いに迷ったり誤解するような規程文書の作り方や運用は、適切ではないと思う。そして、僕の経験から言えば、文書をいくつも作って分割することによって、どれを参照すればいいのかはっきりしないという人が多い。また、プライバシーマークの文書審査においても、基本規程と個別の規程類との項番を一致させて読む必要があり、その手間は社内で文書を読む際の手間と同様に、読み間違いを誘発する恐れがあるし、作成・運用している僕らにしても参照するべき項番を取り違えるミスが起きやすい。
といったわけで、「基本規程」と「個別の規程」などという、いたずらに複雑なだけとなってしまう複数の文書で構成することは止めることにした。もちろん、規定内容どうしに優先関係や依存関係という system があることに変わりはないので、一つの文書にしても記載内容どうしの参照関係は変わらないが、少なくとも一つの文書にすることで管理は簡単になり、色々なリスクを軽減できると思う。
ただし例外はあって、まずマイナンバーに関する規程は、情報(個人番号)の取り扱い担当者を特定する必要があり、そして利用目的も法令で決まっているため、これを前者で共有するほどの必要はない。これは例外として個別の規程文書に追い出したほうがいいだろう。それから、弊社では求人情報のサイトを運営しているのだが、いわゆる「有料職業紹介業」の登録事業者として守るべき事業単位での特別な規定についても、個別の規程文書として作ったほうがいい。