Scribble at 2025-12-03 17:37:08 Last modified: 2025-12-03 19:37:32

添付画像

プライバシーマーク取得・更新のための、個人情報保護の運用実務をやさしく解説。個人情報保護改正や、JIS Q15001:2023に対応して改訂!規定・様式のひな型も付属。

『6ヶ月で構築する-個人情報保護マネジメントシステム実施ハンドブック』(第3版、NPO法人日本システム監査人協会、2024)

PMS の構築・運用には幾つかの里程標があって、おおよそ僕が20年に渡って文書審査や現地審査を受けてきた経験から言うと、第一に個人情報の特定、第二にリスクアセスメント(分析も含む)、第三に内部監査、第四に教育、そして第五に取引先の管理(与信も含む)だと言える。おおよそ、現地審査などで不十分な点を指摘される(そして、実際に「指摘事項」として対応するよう求められる)のは、圧倒的にこれらの点であり、これらの点で内部規程や運用状況を改善できると、マネジメントシステムとして少しステージが上がったと言える。逆に、これらの点で不備が残れば、毎回のように指摘事項を受けてしまう。

弊社の場合は2019年まで ISMS と並行しての運用だったので、社内規程や帳票・記録類の運用にも複雑なところがあった。それゆえ、ISMS からの影響を受けすぎているという指摘を受けることが何度かあり、その一つがリスク分析である。ISMS では脆弱性や脅威の見積もりをもとにしてダイアグラムを作って「リスク・レベル」を算定することが多いのだが、これはプライバシーマーク(JIS Q 15001)の審査員によっては改めたほうがいいと言われることがある。なぜなら、PMS ではリスクが「ある」だけで何らかの仕方で対処すべきだと考えるので、リスク・レベルとやらがスコアとして低かろうと放置して良いわけがないというのが建前だからである。つまり、個人情報保護マネジメントにおいては、ISMS のようにリスクを受容(実質的に放置でもある)するなどという発想はない。個人情報の取扱事故は、メールの誤送信1件であろうと、本来は管轄の認証機関へ届け出なくてはいけないわけで、プライバシーマークの審査員にしてみれば、ISMS はインシデントのインパクトについて見積もりが甘いというのが常識になっている。実際に、10年以上にわたって両方の認証・認定で審査を受けてきたから言えるのだが、ISMS の審査員とプライバシーマークの審査員はかなりライバル意識があるようで、かたや ISMS の審査員からすれば、プライバシーマークの審査は法令という枠があるために型にはまっていて、実質的なセキュリティ対策というものを考慮していないとなる。たとえば、これは審査員によって違うだろうから一般論として言うつもりはないが、ISMS の審査員は、僕が接してきた人々の大半が「セキュリティ・ソフトなんて使っても意味がない」と口を揃えていたのが印象的だった。

さて、その次に弊社で長らく何度か指摘事項を受けてきたのが、監査である。これは正確に理解して実施するのが難しいプロセスの一つであり、しかも JIS Q 15001:2023 になって「監視、測定、分析及び評価」というプロセスが加わって、かなり混乱している事業者が多いと聞く。で、実は僕も勘違いしていたのだが、この「監視、測定、分析及び評価」を昔の「運用監査」だと考えるのは間違いであり、運用監査は運用監査で、内部監査の一部として実施しなくてはいけないのである。それをちゃんと解説している本は、意外に少ない。というか、プライバシーマーク制度の管轄団体である JIPDEC が出している『個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応』という本にすら書いていないので、これは実際に現地審査を受けている人でなければわからないことなのだ。もちろん、JIS Q 15001:2023 の規格書にも書かれていない。いや、示唆されてはいるのだが、9.2.1 項の a) と b) が「適合性監査」と「運用状況監査」という二つの監査に該当するということが、読む側にまるで伝わっていないのである。上にご紹介している本は、そこをきちんと(ただしさらっとなので見落としやすいが)説明してくれているため、実践的だし役に立つと思う。その代わり、丁寧に読む必要はある。

ただし、本書はどう見ても実務家向けの本であり、これからプライバシーマークを取得しようという全くの初心者が一読して分かるようなものではない。また、6ヶ月で構築するというのも不可能だと思う。上場企業や大企業とは違って、多くの中小企業には僕のような Chief Privacy Officer を専任で担当させるような余裕がある会社は少ないからだ。しかし、余裕がある会社だけがプライバシーマーク、なかんずく PMS なり個人情報保護に取り組んでいればいいかというと、法の趣旨から考えれば、そんなことはないはずだ。可能なら、オンラインで商品を販売している個人事業主ですら PMS と同等の運用を実現できることが望ましいはずであり、知能があるのかどうか不明な人間でも都内にマンションが買えるような上場企業の社員や人員・体制を基準に構築の可否を想定してはいけない。そして、大半の中小企業の実情を考えると、どこまでの水準で PMS を構築するかはともかく、どこかの仏壇会社のように僕が書いた個人情報保護方針をコピペしてコーポレート・サイトに掲載するだけでは PMS の構築ができたことにはならないわけで、書類さえ揃えたらいいというものではないのだということを強調しておきたい。そんなことだから、代行業をうたような連中がいつまでも営業メールを送ってくるのだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る