Scribble at 2022-12-27 20:04:41 Last modified: 2022-12-28 10:04:09
以前、プライバシーマークの運用代行をうたうコンサル会社のファクシミリが何度も会社へ送られてくることに腹を立てて JIPDEC に通報したら、正式に「そのような代行サービスを利用するのは不正であるからやめるように」との告知が出たという経緯がある。もちろん、僕がその立役者だと言いたいわけではない。他にも多くの企業へ同じようなファクシミリを送っていただろうから、同じように腹を立てた人が通報したのかもしれない。同じような通報が重なれば、JIPDEC としても動かざるをえなくなるという事情もあっただろう(それはそうと、いまどきファクシミリが業務フローに組み込まれている会社の方が珍しいだろう。ファクシミリなんて大半が業務と関係のない営業なのだから、当社でもそろそろ電話番号を NTT に返却してファクシミリでの対応を止めた方がいいと提案しようかと思っている)。
で、次に仕事の邪魔をする連中が送ってくるファクシミリが、上記でサンプルをご紹介しているように、文書審査の指摘事項の事例集を売りつけようとするコンサルからの営業だ。もちろん、これはコンサルティング契約している会社の社内情報を無断で自社の営業ツールとして転用しているのだから、ふつうはこんなことをされる前提でコンサル契約を結ぶ企業などないだろう。もちろん、こういうことに情報を転用するという前提で安くなっている可能性はあるが、それは「ふつう」ではない。
改めて説明すると、JIS Q 15001 に準拠してプライバシーマークの使用許諾を受けるのに必要な認証審査(これが正確な表現である)には、文書審査と現地審査があり、それらの結果を審査会に委ねて JIS への適合性を認定され、プライバシーマークの使用許諾契約を JIPDEC と結ぶことになる。文書審査は最初の審査として実施され、現地審査までに不備を直しておくのが望ましい。当たり前だが、当社のように20年近くもプライバシーマークを運用していて、はっきり言って大多数のコンサルよりも経験がある僕らにしてみれば、運用代行もいらないし文書審査の指摘事項を集めた事例集もいらない。他人に実務を代行してもらったり指摘事項を教えてもらうほど低レベルの事業者ではないからだ。
だいたい、僕らのように経験も実績もある事業者だと文書審査のフィードバックなんて、それこそつまらん誤字脱字の類しかないんだよ。予算が通れば来年も12月に審査を受ける予定だが、マークの使用期限の8ヵ月前から4ヵ月前のあいだに更新の申請を出して、必要な書類と帳票の雛形や社内規程を書面で提出する。それを審査員に見ていただくのだが、個人情報保護法が改正されても実際に社内規程を大きく修正するようなことはない。当社の場合は、寧ろ ISMS と同時に認証されていた時期が長かったため、両方の規格を矛盾なく社内規程や実務に反映させる方が難しかったわけである(たとえば ISMS では言わないが、昔のプライバシーマークの現地審査ではパスワードの定期的な変更を求められていた。もちろん、僕は昔から情報セキュリティ・マネジメントのプロであり技術者でもあり、それどころか一部の話題については理論家でもあるから、そんなもんに応じなかったけれど、それでプライバシーマークの認定を取り消されることなんてない)。