Scribble at 2024-02-26 13:48:28 Last modified: unmodified

本日、ようやくプライバシーマークの審査（文書審査・現地審査）での指摘事項に対応した改善報告書を審査機関へ提出した。弊社の場合は東京に事務所があるため、JUAS（一般社団法人日本情報システム・ユーザ協会）に審査をお願いしていて、申請した改善報告書に問題がなければ、JUAS から JIPDEC の審査会にかけてもらって、審査会をパスすれば JIS Q 15001 への適合性が認定され、プライバシーマークというマークの使用許諾が下るという手順になっている。なので、よく無知な（あるいは意図的にバカのふりをした）会社とかが勝手にプライバシーマークをサイトなどに掲載していて、僕らのような実務家に通報されたりしているわけだが（僕も見つけたら積極的に通報している。ステータスを維持するのにどれだけ金や労力がかかると思ってるんだ）、実際にはマークを掲示できるまでには面倒な手続きがたくさんある。阪神の赤星の背番号のステッカーや、東急ハンズで売ってるウケ狙いの面白シールをトラックに貼り付けるのとはわけがちがうのだ。

今回は、プライバシーマークの更新審査の申請を出してから現地審査が始まるまでのあいだに、産業規格が2023年版に更新されてしまい、途中で審査基準が変わってしまったために、ほとんど後出しジャンケンのような指摘がいくつかあった。でも、これはしょうがない。ISMS だと規格が更新されたら、審査基準として参照する規格を新・旧のどちらにするか決められる移行期間があるのだけれど、JIS Q 15001 の場合は今回からそういうものがなくなったらしい（実際、更新審査を申請する際に新・旧のどちらの規格で審査を受けるか選択する余地はなかった）。ということで、2017年度版の規格に沿った社内規程と運用の記録で2023年度版の基準に照らした審査を受けたわけである。対応の不備が生じるのは当然であろう。

実際、今回は現地審査での運用状況よりも文書審査の方が圧倒的に大きな比重を占めていたわけで、現地審査は昨年の暮れだったのだが、殆ど二ヶ月くらいを社内規程と帳票類の更新や修正に費やした。もちろん、審査員に質問したり確認してもらいながらの作業だが、おおよそ週に１回くらいしか確認は依頼できないので（彼らも同時に複数の事業者を担当しているのだから、当然だろう）、このほどようやく全ての対応が完了したというわけである。

なお、この機会に現行の社内規程を点検してみると、なるほど新しい規格に対応すべき点が多々あった。そして、それだけではなく当社の社内規程として、文書体系を改める必要を感じた。法令や規格が変更された場合に、どうやって既存の社内規程を迅速かつ適正に対応させられるか（そして、それに応じて社内の運用状況も変えたり改善させられるか）という変更管理も、今後の文書管理においては大きなテーマにしたい。

また、昨年度から進めている、記録類や帳票類を一元管理するウェブ・アプリケーションの開発という大きなプロジェクトを完了させて、実務上の負担を減らしたり正確な記録を整合的に作成し管理する必要がある。或るていどは自社の事情に応じたフォーマットや仕組みを用意しておかないと、仮に僕が退任したり退職しても、後継あるいは後任の人材が理解不能な状況に放り込まれることになる（中小零細企業の実務だと、経理にしても人事にしても、たいていそうなる）。したがって、どういうことをどれくらい管理しているのかが見通しやすくなる仕組みをつくって負担を減らす方が（もちろん僕自身も楽になるし）情報セキュリティなり個人情報の適正な取り扱いについて、色々と学んだり、社内の情報を集めたり、それから具体的な対策を検討するという、もっと重要な作業に工数を割り当てられるだろう。