Scribble at 2024-10-13 10:01:03 Last modified: 2024-10-13 11:37:47

Google で "個人情報 規程 filetype:pdf" と検索してみたら、あいかわらず個人情報の取り扱いに関連する規程類のドキュメントが大量にヒットする。もちろん、規程類は企業機密や業務秘密であるとは限らず、積極的に公表している組織もあるから、必ずしも意図せずに検索ロボットがインデックスしてしまったとは限らないのだが、たぶん多くの組織では不本意なことなのだろう。それに、僕はいちおう20年近くもプライバシーマークの体制を維持しているような企業の実務責任者として Chief Privacy Officer を拝命していて、プライバシーマーク指定審査機関の文書審査や現地審査の担当者に準じる知識や経験があると自負しているので、そういう人に見られたくないとも思うはずだ。さらには、相変わらず「プライバシーマークの実務を代行します」といったコンサルの会社も次々と現れるようなので（いちど僕が JIPDEC に通報して既存の会社は鳴りを潜めたが、事情を知らない人が同じようなことをビジネス・チャンスだと勘違いしてしまう可能性はある。凡人の起業なんて、イノベーションだクリエーティブだと称している馬鹿がどれほどいようと、大多数がそういう脱法事業のモグラ叩きだ）、そういう業者に粗探しされて営業電話も受けたくなかろう。

ただ、営利企業の規程はそう簡単に見つかるわけでもない。実際、冒頭で紹介したキーワードだけで検索しても、ヒットする規程類の殆どが官公庁、地方行政団体、外郭団体、大学、学術団体、病院、組合などであり、私企業の文書はそう簡単に出てこない。そもそも私企業が内部文書である規定類の PDF を、ウェブ・サーバへアップロードする理由や事情がないからだろう。上場企業ですら、そんなことをする義務はないのだ（上場企業には自社で認めている色々なリスクを株主へ公表する義務はあるが、社内規程のような文書を公表する義務はない）。

ちなみに、上の段落で「プライバシーマーク指定審査機関」と書いたが、かなり多くの実務家が「認定個人情報保護団体」と混同しているらしいので、注釈しておく。これらは全く異なる目的で指定されており、前者はもちろんプライバシーマークという認定制度で指定されている団体のことだ。指定するのはプライバシーマーク制度を管轄する JIPDEC である。原則として、事業所がある都道府県にある審査機関で審査を受けることになっていて、弊社は大阪が本店なので、最初の何回かは KIIS という関西電力系列の団体に依頼していたのだが、弊社は東京に支社があるので、長らく東京の JUAS という情報システム関連の団体へ審査を依頼している（正直、情報関連でない機関の審査は税務署の書類審査みたいなもので、データを保護する技術やサービスを知らない審査員も多い）。事業所がある都道府県の審査機関であれば、本店所在地でなくとも依頼できるからだ。これとは別に「認定個人情報保護団体」というものがあって、これは個人情報保護委員会が指定する民間組織であり、個人情報の取り扱いについて苦情処理などを担当する窓口の役割を担っている。こちらは都道府県の単位で活動しているのではなく、原則として業種別に活動している。

したがって、JUAS のように両方に該当する団体もあるのだ。

審査機関として：https://www.juas.or.jp/privacymark/

認定団体として：https://www.juas.or.jp/nintei/