Scribble at 2023-12-13 12:11:16 Last modified: 2023-12-14 13:46:32
4~5日ほどかかると言われたので、金曜日くらいかと思ったけれど、意外に早く届いた。最新版の『個人情報保護マネジメントシステム―要求事項 JIS Q 15001:2023』(日本規格協会/発行、2023)だ。これからじっくりと眺めてゆくわけだが、ざっと見た限りで言えば、更に ISMS との融合が進んでいる印象がある。当社は2019年まで ISMS の認証も受けてきたため、PMS との規格の違いを社内規程でまとめたり別扱いにしたりと、非常に面倒臭いことをやってきた。2019年からは PMS だけを(もちろん ISMS の認証を受けなくなったからといって情報セキュリティ対策全般をやめたわけではないが)基準にして社内規程を整備して ISMS との妥協だとか ISMS との融合を図っていた内容を見直してきた。でも、今般のように PMS が ISMS に近づいていくとなれば、再び規程を ISMS にも照らして練り直すことになる。実際、管理策なんかは殆ど JIS Q 27002:2017 のコピペみたいなものだ。
そして更にややこしいことに、実は ISMS の方にも「ISMS-PIMS 認証」というものができていて、ISO/IEC 27701:2019(セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針)つまりは ISO/IEC の海外ベースの規格が国内にも普及しつつある。ということは、これら両者が近づいていくと区別する意味がなくなるわけであって、将来は国際的なスケールで統一したプライバシーや個人データの保護マネジメントシステムが整備されて、両者は統合されることになるのだろうか。どのみち、国内法である個人情報保護法だって、もともとは OECD のガイドラインなど EU 圏の規範が元になっているわけだから、必ずしも国内事情といった理由で独自の法令であり続ける必要もない。まぁでも、そんなことになるとしても、それは僕が死んだあとのことになろう。
ちなみに、ISMS-PIMS の規格も参照してみたいのだが・・・これは日本語訳の冊子が6万円もする。原文ですら35,000円ほどするわけで、これは規格を普及させるつもりがないのか、あるいは資金が豊富な事業者だけが対応できる事実上の「勲章」みたいなものにしたいのか。なんにせよ、認証ビジネスが一部の社会科学者から批判されるのも無理はないというところだ。