昨日のエントリの締めの部分にて、「最近ある仕事の中で「フェアでない」と感じざるを得ない出来事に立て続けに出くわしている」との予告をさせていただきました。本日は、この部分について一つの問題提起をさせていただきたいと存じます。
なお、、本日のエントリはあくまでも私個人の体験に基づく見識を述べるものです。私が関与したクライアントはもちろん、過去及び現在において所属若しくは関与している一切の組織・機関と関連して意見を述べるものではありませんので、この点をご了承願います。
今回の問題提起は、プライバシーマーク 付与認定制度における認定審査に関するものです。プライバシーマークとは「事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定」するマークであり、財団法人日本情報処理開発協会に設置されたプライバシーマーク事務局が制度運用を行っています。
プライバシーマークの付与認定を受けるためには、事業者において個人情報保護のための体制(マネジメントシステム)が整備されているかどうかの審査を受ける必要があります。当然のことですが、審査に当たっては「体制整備」がどの水準にあれば合格となるのかという「客観的な基準」が求められます。
プライバシーマークでは、この基準として「JIS Q 15001 -
個人情報保護に関するコンプライアンス・プログラムの要求事項」を用いています。
このような「規格に基づく認定」というスキーム自身は、品質や環境のマネジメントシステムであるISO9001,14001の認証スキームとさほど変わりありません。しかし、現実で比較してしまうと、Pマークの審査レベルは他のISO系マネジメントシステムの認証審査と比べて極めて低い状態にあるといわざるを得ません。
その中でも、特に目に余る部分を3つ述べたいと思います。まず第1点目は「審査内容がJIS Q 15001規格に基づいていない」ということです。
プライバシーマークの付与認定に関して、同事務局自身が定める「プライバシーマーク制度設置及び運営要領」の中で次のように明記されています。
しかし、実際のPマークの審査の中では、JIS Q 15001の定めのない事項についても次々と「指摘事項」として是正指示が出されています。特に、現地審査に先立って行われる文書審査が行われますが、その「標準チェックリスト」と呼ばれるものの中には、JIS Q 15001に定めが全くない事項(例えば「個人情報保護方針の中への問合せ窓口等の明記」や「緊急時の主務官庁への連絡に関する規程の設置」)が複数含まれています。これは、審査側である事務局自らが勝手に判断基準を変えてしまっていることに他なりません。
また、現地審査の場面においても同様の問題があります。JIS Q 15001は「マネジメントシステム(=PDCAサイクルによる継続的な改善を生み出す仕組み)」について規程しているに過ぎず、個別具体的なセキュリティ対策についてはなんら要求を行っていません。これは、企業が講じるべきセキュリティ対策は、企業の規模や業種、また、取り扱っている個人情報の内容によって大きく異なり、同一レベルとして論じることは極めて困難となるためです。
このため、JIS Q 15001では、個別のセキュリティ対策に関して要求しない代わりに、個人情報保護の一側面であるセキュリティ基本的な考え方として「自社で十分なリスク分析を行い、その中で自社のリスクに応じたセキュリティ対策を自らの判断で講じること」ということを要求しています。(ちなみに、この考え方は情報セキュリティに関するマネジメントシステムの国際規格であるISO27001と同様の考え方となっています。)
しかし、現実の現地審査では「ノートパソコンはどのような状況であってもすべてチェーンをつけるか鍵のかかるところに保管しなければならない」といったような、本来、各企業のリスク判断に基づいて行われるべき個別具体的なセキュリティ対策について要求するケースが頻繁にみられます。また、情報セキュリティ全般について「ISMS(現在のISO27001の前身にあたる国内規格)」の認証取得を取っている企業が「セキュリティ不足」として個別のセキュリティ対策について指摘を受けるという極めて笑えないケースも発生しています。(繰り返しになりますが、これらの個別具体的なセキュリティ対策については、JIS Q 15001のどこにも要求はありません。)
2つ目の問題点は「このような勝手な審査基準が、時を経るごとに勝手に書き換えられている」ということです。前述のような「勝手な審査基準」が存在する状況は1~2年ほど前から見られた現象ですが、それでも昨年の秋ぐらいまでは「まだ受忍できる範囲内=規格の解釈論の問題で応じられる」でした。しかし、特に今年に入ってからはこの「勝手な審査基準」のハードルがいきなり引き上げられているようです。
例えば、昨年までの審査では「内部監査は通常のISOで行われているような内部監査と同様の方式」でも十分OKが出ていたのですが、今年審査を受けた企業については、同様の方法で内部監査体制を構築しているにもかかわらず「リスク分析を反映した内部監査が行われていない」という指摘を受けています。何らかの内部基準が変わったのかもしれませんが、規格自体にはなんら変更が加えられていませんし、そこまで規格は要求していなかったことは過去の審査結果を見れば明らかなわけですから、この部分についても極めて妥当性にかけていると考えます、
さらに3点目の問題点として、「審査プロセスが極めて一方的である」であるということが挙げられます。
審査結果を前向き・生産的な活動に結び付けていくためには「仮に不適合な部分が発見され指摘を受けたとしても、納得して改善活動につなげることができるようにする」ということ重要です。このためISOの審査の中では「基準と証拠に基づく監査の実施(左手に規格を、右手にペンを)」や「発見した不適合に対する合意形成」ということが非常に強く求められています。(なお、これらのことは監査に関する指針規格であるISO19011にも示されています。)
しかし、Pマークの審査ではこれまで見てきたように「左手の規格(基準)」が非常にあいまいな状況になっています。それだけれはなく「発見した不適合に対する合意形成」についても、ほとんど行われていません。Pマークの審査の場合、一方的にヒアリングや現地調査が行われた後、終了ミーティングでどのような点が指摘の候補となっているかについての説明も同意も行われず、当日のまとめを記した文書も作成されません。数日~数週間ほどたってから、一方的に審査結果の文書(指摘事項文書)が送付され、是正処置を行われる状況になっています。
さらに、送付される指摘文書の記載にも問題があります。Pマークの指摘文書の中には、ただ単に「是正要求」が列挙されているのみであり、指摘の基準とした規格の番号や、指摘にいたる具体的な証拠が記載されていることはほとんどありません。。また、是正要求内容自体も非常に曖昧な表現で書かれている場合が多く、是正処置としていったい何をしなければならないのかということが分からないケースも見られます。さらにひどい時には「文書審査で適合しているという回答があり、当日なんら指摘を受けていない(監査項目となっていない)のにも関わらず、指摘文書(是正要求書)に項目が挙げられている。」といったことも複数回経験しています。
このような審査プロセスでは「納得性」など生まれるはずがありません。現状のPマーク審査は、「俺がルールだ。だから俺の言うことを聴かなければ認定してやらない。認定を通すも通さないも俺のさじ加減一つなんだ。」というレベルにあるといわれても仕方がない状況であると私は考えます。
では、プライバシーマーク審査はなぜこのような状況となってしまっているのでしょう?これは『プライバシーマークの審査体制』が大きな要因となっていると私は考えています。さらに、ここには日本の官庁に見られる『悪しき論理慣習』と共通する部分が見え隠れしているように感じています。このことについてはまた次のエントリーで考察していきたいと思います。
【追伸】
GW明け&相方のラジオ出演を記念し、5月8日~20日をブログランキングUP強化ウィークとさせていただいております!皆様の応援クリックにより順調にランクUPが進んでおり、現在は35位前後を推移していますm(_ _)m
当面の目標はマーケティング・経営ランキングでのトップ10入りです!ぜひ、1日1回の応援クリックを宜しくお願いいたしますm(_ _)m
↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓
なお、、本日のエントリはあくまでも私個人の体験に基づく見識を述べるものです。私が関与したクライアントはもちろん、過去及び現在において所属若しくは関与している一切の組織・機関と関連して意見を述べるものではありませんので、この点をご了承願います。
今回の問題提起は、プライバシーマーク 付与認定制度における認定審査に関するものです。プライバシーマークとは「事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定」するマークであり、財団法人日本情報処理開発協会に設置されたプライバシーマーク事務局が制度運用を行っています。
プライバシーマークの付与認定を受けるためには、事業者において個人情報保護のための体制(マネジメントシステム)が整備されているかどうかの審査を受ける必要があります。当然のことですが、審査に当たっては「体制整備」がどの水準にあれば合格となるのかという「客観的な基準」が求められます。
プライバシーマークでは、この基準として「JIS Q 15001 -
個人情報保護に関するコンプライアンス・プログラムの要求事項」を用いています。
このような「規格に基づく認定」というスキーム自身は、品質や環境のマネジメントシステムであるISO9001,14001の認証スキームとさほど変わりありません。しかし、現実で比較してしまうと、Pマークの審査レベルは他のISO系マネジメントシステムの認証審査と比べて極めて低い状態にあるといわざるを得ません。
その中でも、特に目に余る部分を3つ述べたいと思います。まず第1点目は「審査内容がJIS Q 15001規格に基づいていない」ということです。
プライバシーマークの付与認定に関して、同事務局自身が定める「プライバシーマーク制度設置及び運営要領」の中で次のように明記されています。
(認定及び付与)
第3条 プライバシーマーク付与認定は、事業者のコンプライアンス・プログラム(個人情報保護のための内部規程又は当該内部規程及びその運営(見直しを含む。)を含む個人情報保護のためのマネジメントシステムをいう。以下同じ。)のJISへの適合性を評価することにより行う。(下線は筆者による。)
しかし、実際のPマークの審査の中では、JIS Q 15001の定めのない事項についても次々と「指摘事項」として是正指示が出されています。特に、現地審査に先立って行われる文書審査が行われますが、その「標準チェックリスト」と呼ばれるものの中には、JIS Q 15001に定めが全くない事項(例えば「個人情報保護方針の中への問合せ窓口等の明記」や「緊急時の主務官庁への連絡に関する規程の設置」)が複数含まれています。これは、審査側である事務局自らが勝手に判断基準を変えてしまっていることに他なりません。
また、現地審査の場面においても同様の問題があります。JIS Q 15001は「マネジメントシステム(=PDCAサイクルによる継続的な改善を生み出す仕組み)」について規程しているに過ぎず、個別具体的なセキュリティ対策についてはなんら要求を行っていません。これは、企業が講じるべきセキュリティ対策は、企業の規模や業種、また、取り扱っている個人情報の内容によって大きく異なり、同一レベルとして論じることは極めて困難となるためです。
このため、JIS Q 15001では、個別のセキュリティ対策に関して要求しない代わりに、個人情報保護の一側面であるセキュリティ基本的な考え方として「自社で十分なリスク分析を行い、その中で自社のリスクに応じたセキュリティ対策を自らの判断で講じること」ということを要求しています。(ちなみに、この考え方は情報セキュリティに関するマネジメントシステムの国際規格であるISO27001と同様の考え方となっています。)
しかし、現実の現地審査では「ノートパソコンはどのような状況であってもすべてチェーンをつけるか鍵のかかるところに保管しなければならない」といったような、本来、各企業のリスク判断に基づいて行われるべき個別具体的なセキュリティ対策について要求するケースが頻繁にみられます。また、情報セキュリティ全般について「ISMS(現在のISO27001の前身にあたる国内規格)」の認証取得を取っている企業が「セキュリティ不足」として個別のセキュリティ対策について指摘を受けるという極めて笑えないケースも発生しています。(繰り返しになりますが、これらの個別具体的なセキュリティ対策については、JIS Q 15001のどこにも要求はありません。)
2つ目の問題点は「このような勝手な審査基準が、時を経るごとに勝手に書き換えられている」ということです。前述のような「勝手な審査基準」が存在する状況は1~2年ほど前から見られた現象ですが、それでも昨年の秋ぐらいまでは「まだ受忍できる範囲内=規格の解釈論の問題で応じられる」でした。しかし、特に今年に入ってからはこの「勝手な審査基準」のハードルがいきなり引き上げられているようです。
例えば、昨年までの審査では「内部監査は通常のISOで行われているような内部監査と同様の方式」でも十分OKが出ていたのですが、今年審査を受けた企業については、同様の方法で内部監査体制を構築しているにもかかわらず「リスク分析を反映した内部監査が行われていない」という指摘を受けています。何らかの内部基準が変わったのかもしれませんが、規格自体にはなんら変更が加えられていませんし、そこまで規格は要求していなかったことは過去の審査結果を見れば明らかなわけですから、この部分についても極めて妥当性にかけていると考えます、
さらに3点目の問題点として、「審査プロセスが極めて一方的である」であるということが挙げられます。
審査結果を前向き・生産的な活動に結び付けていくためには「仮に不適合な部分が発見され指摘を受けたとしても、納得して改善活動につなげることができるようにする」ということ重要です。このためISOの審査の中では「基準と証拠に基づく監査の実施(左手に規格を、右手にペンを)」や「発見した不適合に対する合意形成」ということが非常に強く求められています。(なお、これらのことは監査に関する指針規格であるISO19011にも示されています。)
しかし、Pマークの審査ではこれまで見てきたように「左手の規格(基準)」が非常にあいまいな状況になっています。それだけれはなく「発見した不適合に対する合意形成」についても、ほとんど行われていません。Pマークの審査の場合、一方的にヒアリングや現地調査が行われた後、終了ミーティングでどのような点が指摘の候補となっているかについての説明も同意も行われず、当日のまとめを記した文書も作成されません。数日~数週間ほどたってから、一方的に審査結果の文書(指摘事項文書)が送付され、是正処置を行われる状況になっています。
さらに、送付される指摘文書の記載にも問題があります。Pマークの指摘文書の中には、ただ単に「是正要求」が列挙されているのみであり、指摘の基準とした規格の番号や、指摘にいたる具体的な証拠が記載されていることはほとんどありません。。また、是正要求内容自体も非常に曖昧な表現で書かれている場合が多く、是正処置としていったい何をしなければならないのかということが分からないケースも見られます。さらにひどい時には「文書審査で適合しているという回答があり、当日なんら指摘を受けていない(監査項目となっていない)のにも関わらず、指摘文書(是正要求書)に項目が挙げられている。」といったことも複数回経験しています。
このような審査プロセスでは「納得性」など生まれるはずがありません。現状のPマーク審査は、「俺がルールだ。だから俺の言うことを聴かなければ認定してやらない。認定を通すも通さないも俺のさじ加減一つなんだ。」というレベルにあるといわれても仕方がない状況であると私は考えます。
では、プライバシーマーク審査はなぜこのような状況となってしまっているのでしょう?これは『プライバシーマークの審査体制』が大きな要因となっていると私は考えています。さらに、ここには日本の官庁に見られる『悪しき論理慣習』と共通する部分が見え隠れしているように感じています。このことについてはまた次のエントリーで考察していきたいと思います。
【追伸】
GW明け&相方のラジオ出演を記念し、5月8日~20日をブログランキングUP強化ウィークとさせていただいております!皆様の応援クリックにより順調にランクUPが進んでおり、現在は35位前後を推移していますm(_ _)m
当面の目標はマーケティング・経営ランキングでのトップ10入りです!ぜひ、1日1回の応援クリックを宜しくお願いいたしますm(_ _)m
↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓