Scribble at 2024-11-14 13:25:22 Last modified: 2024-11-14 13:27:41
これは業界として一定の節度というか開示する範囲を決めているだろうと思うのだが、プライバシーマークのコンサル企業とか情報セキュリティ関連の企業で JIS や個人情報保護法の解説をしている殆どのサイトは、現実に JIS を運用する実務家にとって役に立つ情報を掲載などしていない。こういうサイトは、これからプライバシーマークを取得しようかどうか検討している事業者をターゲットにサイトを運営しているのであり、具体的に実務家の役に立つ情報なんて掲載したところで、別に実務家に感謝されるわけでもないし、何らかの発注をもらえるわけでもないのだから、当然だろう。なので、オンラインで何をどう調べようと実務家として参考になるサイトなんて全く無いのである。僕も JIS 運用の実務に携わるようになってから、暫くはオンラインのリソースを色々と調べていたけれど、だいたい2年くらいで調べるのをやめてしまい、プライバシーマークの文書審査や現地審査でのやりとりでフィードバックしてもらったことを参考にして、海外の実例なども考慮して、自力で社内規程や帳票のフォーマットを作ったり、社内のオンライン・システムを構築していった。
試しに調べてみるといいが、JIS Q 15001:2023 では、マネジメントシステムの運用状況を確認するために「監視、測定、分析及び評価」という自主的なチェックが求められている。これは組織(事業者)の「パフォーマンス評価」の一部であり、他にも内部監査とかマネジメントレビューとかがある。でも、通常の業務に実装して会社全体のセキュリティにとって最も効果的で重要なのは、この「監視、測定、分析及び評価」という部門・階層ごとの自主点検だ。これは、昔のバージョンの規格では「運用監査」と呼ばれていたものであり、内部監査は「合致監査」と呼ばれていたのだが、この合致監査を書類上の適合性という意味に理解して簡単に済ませてしまう場合があったので、こういう区別をやめてしまったのである。もちろんだが、僕ら CPO が実施する内部監査も、自社の規程が規格に沿っていることを文書として確認するだけではなく、マネジメントシステムの有効性を組織全体つまり全員に当てはめる基準によってチェックしないといけない。
さて、では「監視、測定、分析及び評価」とは何をやることなのか・・・実は、ウェブで検索しても全く詳しい説明や実例など見つからない。それもそのはずで、ここで実施する活動の確認項目や基準などは組織や部門ごとに違っているからだ。一般論ですら語るのは難しい。そして、組織ごとにどういうことを実施したり評価したり確認するのがいいかを指南するのがコンサル会社の仕事なのだから、彼らがこういうことを詳しく無料でオンラインに公表するわけがないのである。