Scribble at 2025-09-05 09:52:23 Last modified: 2025-09-06 12:50:44
そろそろ JIS(プライバシーマーク)の運用実務について、丁寧な文書をまとめようかと思っているところだという話を書いた。これはもちろん僕の定年後の仕事に活かせるよう期待してのことだが、それだけではなく、20年に渡って携わってきたなりの実績を元にして、何らかの貢献なり社会的な還元とやらをするのが望ましいと考えているからでもある。もちろん、意欲も素養もない者に手取り足取り教える気なんてないが、それらがある人には何らかの参考になる文書を公開したいとは思う。
さて、些細なことから始めると、もちろん組織が取得して運用する個人データの特定と捕捉は重要な実務だ。そのために作成して管理するのが、個人データの台帳あるいは一覧表などと呼ばれている文書である。もちろん、昨今は弊社でも Google Spreadsheet のようにオンライン化しているため、利用しているサービスの履歴なりログを調べたり、あるいはオンラインのデータを印刷しない限り、変更の履歴を「変更管理」などと銘打って文書として残すことはしない。ともあれ、そういうフォーマットでの利用がすすんでいる昨今なのだが、どのように台帳を準備して情報をまとめるかは、必要最低限の要求事項を満たしていれば、あとは組織が必要とする範囲で補足事項を追加することになる。
ここでは、産業規格(JIS Q 15001:2023)で規定されている、個人情報保護マネジメントシステムが要求する管理項目を紹介しよう。しかし、その前に注意しておくべき事実がある。それは、法令あるいは産業規格や業界規範などの規制や要求について、初心者がウェブの検索や AI への質問だけで正しい答えを見出そうとすることには限界があり、僕らのように一定の実績がある(少なくとも、僕は企業で20年間にわたってプライバシーマークの使用許諾を受ける審査に対応してきたという実績がある)か、あるいは実際に JIPDEC や認証機関で監査や審査に携わってきた人々の発言や文書を最優先で参照することが望ましいということだ。したがって、弁護士だとか、それどころかただの IT コンサルなどがブログに書いている記事を参考にするのは、彼らがどれほど「プロ」だの「専門家」を自称していようと、止めたほうがよい。まず、実務の経験がなければ、JIS の規格書や書店で販売されている書籍を読むだけでは、プライバシーマークの文書審査や現地審査に対応できる現実の知識や能力は身につかない。弁護士がどれほど日本語の法令という文章に親しんでいようと、実務の経験がなければ、文言だけで実際に何をするべきなのかを推定したり想像することはできない(し、文言の意味をとらえるだけで「できる」という思い込みが最も危険である)。ましてや、日本語の文章を正確に読む能力があるのかどうかもわからない、しかも何の資格もないコンサルが、法令や規格書を居酒屋のバイトよりも正確に読んで他人に助言できる保証などなんにもないのである。もちろんコンサルは自称なので、中には優れた経歴や能力や実績を(本当に)もつ人もいるが、やはりそれらも国家資格でない限りは自称である他にないわけで、一人ずつ調べたり確かめる手間などかけてはいられないのだから、明白な証拠がない自称を信じるわけにはいかないのである。
それに、ウェブのコンテンツを僕らのような実務家が読めば、そういう自称専門家の愚かさはすぐに分かる。たとえば、「ISOプロ」と称するサイトで「【記載例あり】個人情報管理台帳とは?作成方法やポイントを解説」というタイトルの記事がある(https://activation-service.jp/iso/column/7648)。2025年02月14日に更新された記事のようだが、そもそも平成21年(2009年)の経済産業省のガイドラインを参考せよなどと時代錯誤な解説から始めている時点で、コンサルタント失格である。なぜなら、この経済産業省のガイドラインは個人情報保護法の解説を柱にしている文書なので、既に2009年から何回も改定されている現行の個人情報保護法とは明らかに食い違った内容を元にしているからだ。鎌倉幕府の御成敗式目で現代の国家公務員を監督するようなものである。したがって、このページで紹介されている個人情報管理台帳と呼ばれる文書の項目も、現在では通用しない。
このように不十分なアドバイスや解説を、意図するにせよしないにせよ、無自覚に公開してしまっているコンサル企業は多い。なぜなら、プライバシーマークや ISMS の審査というのは、項目が幾つか不足している程度のことで認証や認定を剥奪したり失格させたりしないので、多くのコンサルタントは、まず不十分な状態で審査に記録や規程といった文書のままぶつけてから、審査で指摘された不足を有能なコンサルが改善する、という体裁で企業に食い込んでいくという営業手法もあるからだ。必ずしもインチキだとまでは言わないが、未熟な人間がやるコンサルティングというものは、実質的にそういう不備が多いので、自分たちで不十分な助言をしておいてから更にサポートするという、マッチポンプをやってしまっている事例も多々ある(繰り返すが、わざとやっているとは限らない)。
次に「セキュマガ」というサイトの「個人情報の特定に必要なこととは?管理台帳の項目なども含めて解説」(最終更新: 2023.01.27; https://www.lrm.jp/security_magazine/current-situation-importance/)というページでは、個人情報の管理台帳を整備するために、個人情報を特定するところから解説している。しかし、この記事は、その「個人情報」とは何であるかという、はっきり言えばプライバシーマークについて語る際の一丁目一番地と言ってもいい話題について、根本的に誤解しているか、あるいは理解すべき内容が10年以上も前の情報のままで止まってしまっているような人物が書いている記事だとしか思えない。
まず、法令の話をする場合は、可能な限り現実に施行されている最新の法令に言及するべきであって、その仕方も不正確ではいけない。「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって、特定の個人を識別できるもののこと」などという不正確な説明では、たぶんこういうウェブ・ページだけを参考に適当な社内規程やフォーマットを作ってしまうような素人には、重大な悪影響を与える(この引用箇所の説明で何が不正確または不十分なのかは、演習課題にしよう。最低でも三つは指摘できることが望ましい。末尾に答えを挙げておいた)。この説明で欠けている内容は、令和五年の改正時には、既に条文に盛り込まれていたので、2023年の記事だからという言い訳は通用しない。そもそも、プライバシーマークの監査でも、最新の法令を参照できるように、定期的に法令やガイドラインの更新・改定状況を把握することが事業者に求められており、コンサルでありながらそんなことすらやってないに等しいのだから論外であろう。また、過去に公開したウェブ・ページを放置してよいなどという理由はないのであって、そのあたりのウェブ・コンテンツの管理・運用方針というものが、たいていの事業者では杜撰という他にない。企業として情報を発信しているのであれば、大学生が遊びでやってるのとは違うのだから、広告・PR の資格試験のテキストでも読んで、「パブリック・リレーション(PR)」とは何であるかという、初歩的な内容を改めて学ぶことが望ましい。
それから、このページには個人情報の(未熟で不正確な)「定義」が紹介された後で、「極端な話、フルネームが書いてあれば個人情報になります」などと書いているが、フルネームだけで個人情報として扱うべきことになるのは、それこそ法令にあるとおり(そして、困ったことに彼ら自身が書いている「個人情報」の説明では欠落している条件なのだが)、他の情報と照合して個人を特定できるからなのであり、その条件がなければ、「河本孝之」だけだと僕を特定することはできないのである(同姓同名の人物がいる可能性があるからだ。こんなことは小学生でも分かる)。ということなので、たぶん誰かの解説書からコピペするだけで記事を書いているから、そういう矛盾(自分たちが説明していない条件を説明しないと言えないはずの説明を書いているという)を放置しているのであろうが、せめて他人にコンサルティングすると宣言している事業者であれば、情報や知識や解釈あるいは実務経験というものが知財として売り物になっているのだし、少しはまともな人間に文章を書かせたり校正・編集させるほうがよいだろう。
もう、こういう低レベルな文章をいちいち取り上げるのも馬鹿らしいが、いちおう検索して上位に出てくるのだから、見識・教養・実績・経験・技術がある人間が取り上げて指摘しておかないといけないだろう。次に、「プライバシーマーク取得辞典」なる大袈裟な名前のサイトが掲載している「個人情報の管理台帳はこうやって作る」(https://xn--eckwax3h7a7b5d3hb5330gy90a.com/jisq15001/kojinjoho-tokutei/kanridaityo.html)などと称したページを見よう。JavaScript で右クリックを抑制しているようだが、こんな素人の文章をコピーする値打ちなどないね。
そもそも、このページは個人情報の管理台帳を作る心構えみたいな話ばかりで、具体的な実務が何も説明されていない。台帳のフォーマットに設定する管理項目の例すら話の途中で幾つか挟むというていどの扱いで、これでは実務経験がなくても中学生にだって書ける文章だ。それから、こう言っては気の毒かもしれないが、僕の経験に照らすと、「~ということになります」のような表現に、「~と言うことになります」などと IME の当て字を使って平気な人は、高齢者か、あるいは文章を書いた経験が乏しい人物に多い。この場合の「いう」は、発言したり発声するという意味ではなく、直前の文節を受けるための placeholder となるような役割で使われていて、英語では "it is said that..." の "said" みたいなものである。この英語表現を「~と言われている」などと訳したら、東大はおろか F ランの入試でも減点である。もちろん、もともとは「言う」という意味に関連しているからこそ使われている表現だが、それをいちいち漢字で書き表すのは、(失礼かもしれないが満足な教育を受けていない)高齢者に特有のペダンディックな文章スタイルだったり、IME の変換結果を信じて疑わない、自分の文章スタイルや文体のようなものを持ち合わせていない、書き手として非常に未熟な人物の文章だと言わざるをえないわけである。
ともかく、この人物は「プライバシーマーク」という言葉を何か勝手に自分で理解して使っているようだが、マークはしょせんマークにすぎない。それのマーケティング的な効用を議論するのは好きにすればよいが、あくまでも他人の資産である情報の適正な取得や利用という事業者としての実務と、それの管理手法である PMS なり法令の理解が最優先であり、そこがしっかりしていれば、アメリカを始めとする多くの国ではマークをサイトや名刺に掲示するようなことをしていないのを見れば分かるように、マークなんて必須でもなければ最も有効なブランディングでもないという理解がなくてはいけない。マークがなければ重大な何かが欠落するかのような、業界関係者の保身でしかない態度から出発するような文章を書いていたのでは、本来の目的である個人の資産である情報を守るという姿勢は、凡庸な実務家の多くがそうであるように、マークを取得できるかどうかという愚かな姿勢に歪んでしまう。正直、システム開発のエンジニアでもあり、privacy enhanced technology という工学の知見や、ニッセンバウムら法哲学者の議論まで視野に入れているわれわれのようなレベルの実務家からすれば、日本の法令や GDPR ですら、或る意味では「低レベル」なのだ。また、ひろみちゅを始めとする、LINE 学会で日本の法令だけをごちゃごちゃと議論しているような連中のレベルで PII や個人情報を議論したり扱っているのは、せいぜい上場企業で CPO をやっている暇人どもくらいのものだ。
では、具体的に個人情報の台帳なり一覧表に含める管理項目を紹介しよう。産業規程をフォローしている方なら分かっているように、JIS の文書には「個人情報の項目,利用目的,保管場所,保管方法,保管期限,アクセス権を有する者などの項目が含まれる」とされ、必要に応じて要配慮個人情報の存否などが加えられるとだけ書いてあり、つまりは MECE な(漏れや重複のない)項目など列挙されているわけではない。したがって、規格で明記されている項目を含めるのは必要条件だとしても、十分条件であるような MECE と言って良い「可能な管理項目の全リスト」なんてものはないのである。もし、そんなリストがあれば、最低限の項目にどういう項目を足せばいいかは、選択の問題に帰着する。しかし、現実の PMS 運用では自社あるいは自社の事業にとって必要かつ適切な管理項目がなんであるかは、それぞれの組織が自分たちで考えて決めなくてはいけないのである。JIS というのは、他の規格にも言えることだが、規格書に書いてあることを文字通り機械的に行うだけでよいというものではなく、それぞれの組織が自分たちのマネジメント・システムを構築するための指針や手引きにすぎないのだ。
ひとまず、弊社で採用している項目を紹介すると、「管理番号、管理対象、開示対象であるかどうか、受託の取り扱い対象であるかどうか、取り扱いを委託しているかどうか、取得方法、保管方法、保管形態、利用期間、保管期間、廃棄方法、件数、管理責任者、取り扱い担当者、利用目的、備考(要配慮個人情報などの特記事項)」となっている。
このような一覧表を作成して運用する(管理だけだと意味がない)場合に注意したいのは、まずリストに列挙する単位だ。 外形的な種類が同じだからといって、ひとまとめにして扱っていいとは限らない。たとえば、マイナンバーを通知してもらう書類を人事担当者が管理している場合に、本人の個人番号を通知してもらう書類と、家族の個人番号を通知してもらう書類とでは法的な意味が違っているので(家族の個人番号は社員が会社への番号通知を委託されているという体裁になっているので、委任状とのセットになる。寧ろ、同じフォーマットで社員本人と家族の個人番号を扱っている会社は、マイナンバー法をぜんぜん理解していないと言って良い)、これは管理項目としては別立てにするべきだろう。こうしておかないと、些細なことだが、社員が退職したときに社員の文書だけを破棄してしまい、家族の文書を誤って残してしまうミスが起きる恐れがある。しかし、このような配慮が必要だからといって、分類を細かくしすぎると管理コストが増えるし、逆にひとまとめにして扱わないことによる見落としなどのリスクが生じる。なので、分類の単位は(もちろん PMS の一環として見直し改善しながら)必要に応じて検討し続けることが望ましいし、現状の分類で適切なのかどうかを、逆にプライバシーマークの現地審査で審査員に質問することも有効だ。
これは弊社、というよりも Chief Privacy Officer(個人情報保護管理者)としての僕のスタンスだが、外部の監査というものは、建前だろうとなんだろうと自社の現状について、社内事情や業界知識などに影響されていない立場から眺めてもらうという効用もあるわけで、単純に間違いや不備を指摘されるということだけに戦々恐々とするのは愚かである。どちらかといえば自社の現状のマネジメントを改善し向上させるためのチャンスとして捉えることが望ましく、これは僕が最初に ISMS という規格の監査を受けたとき(2007年)に、TÜV Rheinland という監査機関の審査員から熱心に説明されたことでもある。もちろん、こういう監査とか認証という仕組みの是非については、ストラザーンの文化人類学などを始めとして批判的な研究があるにしても、それらの批判的な着眼点に留意しつつも、僕は欧米の社会科学者にありがちな、大多数の人々は凡庸であるという事実を無視した理想論だけを基準にして世の中を捉えたり考えたり批評するというスタンスには、「人類史スケールの保守思想家」という立場から言って与しない(ただし、僕の保守主義は日本によくいるインチキ保守や愚劣な右翼とは違って、凡俗の保身と言ってもよい通俗主義や現実論だけを基準にした社会評論でもない。凡人に社会を語る資格などあるものか)。
それから、PMS というマネジメント・システムの中で、こういう台帳なり一覧表が果たす役割を理解しながら運用する必要があろう。つまり、個人情報(個人データ)を台帳として一覧にして管理するのはどうしてなのかを理解することである。これは、このような台帳をどうやって作成したり更新するのが望ましいかという実務を考えたら分かる(そして、不適切な台帳を作って運用している組織は、その実務を分かっていない)。まず、自社、そして自社の事業の用に供している個人情報を「特定」しなくてはいけない。そこで、まず自社でどのような業務を行っているかを理解する必要があろう。外部のコンサルだとか、あるいは「JIS 運用の代行」をうたう怪しい業者に任せてはいけないのは、こういう実務を外部の人間は殆ど理解していないからだ。そうした業務は、規格の用語では「プロセス」と呼ばれていて、問い合わせフォームで照会内容を受け取って対応するとか、社員の健康診断の結果を保管するとか、個人情報を扱うなら全てプロセスとして把握しておかなくてはいけない。もちろん、そのためには全ての部署の協力が必要であり、当たり前だが面倒がってこちらの質問を無視したり、あるいは実際に扱っている情報があることを隠したり過小に報告するような、凡庸なサラリーマンにありがちな出鱈目や甘えを許してはいけないので、こういうことはたいていの会社で強い権限のある取締役が担当する。もちろん、僕は取締役ではないけれど、いまや最古参と言って良い社員の一人であって、年齢も役員に近いので、実質的には「ファウンダー」として遇されているから、権限はなくても、それなりに権威はある。また、事実として知識、経験、実績、技術などにおいても社内で殆ど唯一の「IT人材」と言える社員であるため(ちなみに弊社はネット・ベンチャーなのだが)、情報セキュリティや個人情報の管理だけに限らず、他の色々なことがらについても権限なり権威がある。そういうことを(もちろん保身のような理由ではなく)利用して、うまく社員の協力が得られるような立場を作ることも必要となる。お客さん、あるいはただの委託先としてやってくるだけのコンサルでは、そういう立場を築くのは難しい。
そして、個人情報の特定というプロセス(もちろん、PMS として行っている作業も業務なのであるから、プロセスに該当する。たとえば PMS 文書を誤って破棄したり漏洩すれば、あたりまえだが「不適合」であり「インシデント」だ)の結果として一覧にするだけでなく、個人情報の台帳や一覧表は、それらを使ってリスク分析するための対象を把握することに役立てなくてはいけないし、一覧表にすることで、逆に個人情報の特定に抜け落ちがないかどうかを発見したり、他の個人情報と管理項目で比較してみて、取り扱いに何らかの不備がないかどうかを検討することにも役立てるのが望ましい(一覧表にすると、色々な部署から集めた実態が一つにまとまるので、或る部署で管理している個人情報だけが異様に多いとか、あるいは保管期間が長すぎるといったことが分かる)。
といったように、個人情報の台帳なり一覧表についてだけでも、色々なことが解説できるし議論できる。でも、「半年でプライバシーマークを取得」といった雑書やコンサルのブログ記事などいくら読んでも、このレベル、あるいは最近の流行語で言えば「解像度」で、実務や理屈を教えてくれる人なんていないだろう。
=====
演習問題の答えは、(1) 生存する個人の情報という条件が欠落している、(2) 他の情報との照合容易性が欠落している、(3) 個人情報保護法第二条第一項第二号の「個人識別符号」(指紋データやマイナンバーなど)についての説明が完全に欠落している。