Scribble at 2024-11-21 11:00:38 Last modified: unmodified
JIS Q 15001 を運用する事業者というだけなら、もちろんプライバシーマークの使用許諾を認定された事業者でなくとも PMS を社内で構築・運用するのは自由にできるわけだが、事実上は JIS Q 15001 を自発的に社内に実装しているのはプライバシーマークの認定事業者だけと言って良い。そういう事業者でマネジメントシステムを預かる実務トップの Chief Privacy Officer として、ここ数年にかけて社内の帳票や記録を電子化・オンライン化することに着手してきた。一部の仕組みは既に運用しているのだが、これを更に整備して、来年の暮れにはプライバシーマークの現地審査があるため、それまでに最低でも半年くらいは運用している実績を作っておきたいと予定している。
したがって、設計は今期の会計年度中にやるのだが(弊社は12月が期末である)、実際に動かすまでには3ヶ月程度で終える必要があると思うので、来年はそれなりに忙しくなる。ただし他の雑用が殆どなくなる予定なので、受託案件での下らないトラブルや要求が出てこない限りは、じっくり開発に専念できるだろう。
もちろん、社内のシステムだが、外部の審査に預ける内容でもあるから、記録や帳票の内容については確実性なり CIA-triad で言うところの「完全性」なりを担保する必要がある。いちばん簡単なのは、記録画面のハード・コピーを PDF として、承認者(内部監査責任者と代表取締役)にオンラインの承認システムで決裁を受けることだ。これも一つの手順として導入するつもりなので、たとえば期末に提出する「マネジメントレビュー」と呼ばれる年間の報告書については、GMO サインのようなサービスを使って、後から改竄できないように書類を第三者のシステムへ預けてしまうのが望ましいだろう。
ただ、それを全ての記録でやるとお金もかかるので、たとえば記録類を全て PDF に変換し、それら PDF ファイルのチェック・ディジットをあわせて、記録に関わる人々へメールで送付するようにしたい。これで、たとえばシステム全体の権限を持つ僕が記録を後から改竄しても、それを PDF 化したものはチェック・ディジットが違うので改竄がバレるというわけである(異なる文字の組み合わせでチェック・ディジットを全く同じにできないわけではないが、そんなコスト・・・AWS で数百のインスタンスを何時間も回す・・・をプライベートでかけるお金があるなら、そんな悪事は考え直すであろう)。