Scribble at 2025-11-10 17:00:35 Last modified: 2025-11-10 17:31:44
プライバシーマークの新しい規格である JIS Q 15001:2023 では、これまで「適合性監査(内部監査)」と「運用状況監査」として実施されていた二種類の内部チェックを、「内部監査」と「運用状況の監視・測定」という二つの表現に改めている。実際にやることは殆ど同じなのだが、従来の区別だと運用状況の監査も内部監査と同様に年次のスケジュールとして実施してしまう企業があったり、そもそも名称として両方が「監査」と呼ばれるのは不自然だという事情もある。運用状況監査だって「内部」監査であることに違いはないから、どうして適合性監査だけが「内部監査」と呼ばれるのか、妥当な理由がなさそうに思える。
さて、これら二つの内部チェックについて、前者の内部監査(適合性監査)は分かりやすい。つまるところ、組織の PMS が規格に適合しているかどうかの監査なので、二年ごとに受けているプライバシーマークの文書審査や現地審査と同じことを自分たちでやればいいだけだからだ。実際、プライバシーマークの認証機関が行う審査は、組織が自分たちでやっている内部監査を外部から客観的な基準で再監査するという体裁として理解すればいい。だが、もう一方の運用状況の監視・測定は、それぞれの企業によって実務の内容や基準が大きく異なる可能性があるし、実際に組織の規模や業種によって異なっているのが当然だろうと思うので、内部監査のような一般論では解説できないところが多い。僕らのように20年程度の実績がある実務家であればともかく、担当し始めてから数年だとか、今年になっていきなりプライバシーマークの認定を受けようという話になった組織の方であれば、まずウェブで検索して具体的な情報を集めたいところだとは思うが、特に運用状況の監視・測定については殆ど具体的なことがわからないか、自社の状況(それこそ自社の「運用状況」)に全く合っていない文書が見つかるだけだろう。
もちろんだが、だからといって「プライバシーマークの運用代行」を謳うコンサルや代行業者に丸投げすればいいかと言えば、そんなことでは JIS を自社のマネジメントや業務に実装する意味がない。情報セキュリティ全般について言えることだが、見た目の書類や俗説への盲従だけでセキュリティ対策をとっているかのような「セキュリティ小芝居(セキュリティ劇場)」を演じたところで、リスクは低減しないどころか、対策しているかのような思い込みや自己欺瞞から生じるモラル・ハザードが起きて、逆にリスクは高まると言える。経験者の意見として言わせてもらえば、もちろん継続的な向上は必要であるにしても、最初にしっかり体制や規程を整備して運用すれば、実務的な負担なんて大したことはないのだ。記録の取得・分析・活用・保管・廃棄といったライフサイクルに沿った手続きだって、個人情報管理台帳を毎日のように更新するわけでもない。せいぜい半年か1年ごとに更新すればいいだけだし、事業の内容が大きく変わらない限り、扱っていて管理する個人データの種類なんて続々と増えるわけでもないだろう。すると、リスク分析の対象も大して増えないわけで、あとは管理策や自社で決めたルールに沿って運用状況を少しずつ確認する習慣がつけば、プライバシーマークの監査を受けるからといって、なにか急いで書類を用意したり勉強したり調べるなんて必要は生じない。会計監査などとは違って、ふだんから運用している記録類や文書を揃えて見せるだけなのだから、よく監査の前に徹夜して準備するとかなんとかいう話が聞かれるけれど、いったい何をそんなに焦ってやっているのか、理解不能である。
・・・というのは嘘で、実は理解できる。プライバシーマークの監査を控えて、慌ててあれこれと文書を用意したり作業しているのは、PMS を運用しているという体裁の証拠づくりをしなくてはいけないからだ。はっきり言うなら、記録類の捏造である。ふだんから記録をとって運用していないからこそ、監査が近づくと審査員に見せるべき書類をでっち上げて、体裁を取り繕わなくてはいけなくなるのだ。
特に運用状況の監視・測定は、自主的な業務プロセスのチェックを内部監査よりも頻繁に実施することが求められ期待されているので、組織の現状にもとづかない基準や対象をチェックしても無意味であるし、たいていの審査員にはまともにチェックしていないことがバレるものだ。なので、プライバシーマーク関連の解説書に付属しているサンプル文書だとか、オンラインで公開されている見本のドキュメントなどを適当な文言を埋めるだけで済ませているような組織は、おおよそ致命的な欠陥がない限りは指摘事項とならないまでも、審査員は記録の出鱈目さに気づいていると思っておいたほうがよい。
ただ、全く一般論を語れないわけでもない。
まず運用状況の監視・測定という場合に、そもそも「運用」とは何かという疑問が生じるだろう。そして、生半可な理解で解説している人たちは、この時点で間違うことが多い。この「運用」というのは PMS という自社のマネジメントシステムの運用という意味ではない。もしそうなら、PMS の運用を監視したり測定するということなのだから、それは要するに適合性監査と同じであろう。こんなことは、産業規格の現物を実際に手にとって眺めたら誰でも分かることであり、ちゃんと箇条8に「運用」という項が立てられている。そこには、個人情報保護要求事項を満たすことと、箇条6で決めた取り組み(リスク対応計画や教育実施計画のこと)を実施するために必要なプロセスだと説明されている。そして、実際に組織の運用状況について監視・測定などを規定している箇条9では、それらのプロセスと管理策が監視などの対象となる。
ここで「管理策」と言っているのは規格書にある「管理策 A」と「管理策 D」に相当する。このうち、管理策 A は法令などにもとづいて規定されている事項であって、PMS を実施している組織では必ず確認すべきことである。他方で、管理策 D は組織が自社の状況や業種や事業内容などによって自ら選んで決めるリスク対策の見本であって、あくまでも「参考」の扱いでしかない。したがって、規格書に列挙されている事項を全て確認することが求められているわけでもないし、逆に規格書に記載されていない事項を確認する必要があると審査員から指摘される場合もあろう。マネジメントシステムは、原則として規格書に規定されていることを実行すれば自動的に組織へ適用できるわけではなく、したがって文書のとおりにやれば認証されるというものではない。なので、管理策 D だと全体で200項目を超えるわけだが、最初に自社の状況に照らして何を確認するべきか選んでおけば、2年毎に同じことを繰り返して膨大な時間を使う必要などないわけである。プライバシーマークの審査時期が近づくたびに徹夜で何事かをしているような組織は、つまるところ初手から間違っているからこそ、そういう面倒臭いことを2年毎にやらなくてはいけなくなるのだ。