12日のエントリーの続きです。先のエントリーでは、プライバシーマークの審査において納得性が低くなる現状には、審査の過程を通じて「オレがルールだ、オレが正しい、だからオレの判断(主観)で認定を決める」という意識が見透かされることにあるという話をいたしました。
この点については、中央青山監査法人に対する行政処分の場面でも同じような状況を見ることができます。特に、「今回の処分にあたっての量刑判断基準が明確でない」という点や、「処分根拠となる客観的事象についての十分な説明が行われていない」という点については、Pマーク審査と同根の問題の存在が感じられます。
では、その「根っこにある問題」とは何なのでしょうか?私は「行政が認定や処分をを行う際の体制構造」にその主たる原因があるのではないかと考えています。
まずプライバシーマーク審査の場合を考えます。プライバシーマーク制度では、一部の指定を受けた業界団体を除き、主にJIPDEC(日本情報処理開発協会)自身が審査を行う体制になっています。一方、JIPDECは、プライバシーマーク制度自身の構築や運用も行っています。つまり、認定制度における「審査基準の制定(立法)」「審査制度の運用(行政)」「審査制度の監視(司法)」の三権を一つの機関が担っていることになります。
このような「三権同立=一機関による運用」では、当然権能を持った機関の間に存在するべき相互牽制機能が働きません。するとどうしても避けられないのが「自己防衛的反応」、すなわち「自分たちに都合が悪いことが起こりそうな時には、自分たちの都合をベースに判断が行われる」ということです。
例えば、現在は個人情報に関する事故等が多発しており、プライバシーマークの既認定企業の中からも個人情報に事故を起こす事業者が現れる可能性は否定できません。セキュリティ側面で考えれば、どれだけ対策を施そうとも悪意ある人間が「執念をもって故意に」事故(事件)を引き起こそうとすれば、事故自身を防ぐ手立てはありません。(だからこそ、「マネジメント」発想の下、出来うる範囲で継続的に改善されていく仕組みを作りこむコトが重要となるのです。)
しかし、JIPDECから見れば「プライバシーマークを取っているのに、事故を起こすということは、Pマークの信頼を貶める行為でけしからん!」ということになります。すると「規格がどうのこうのという前に、けしからんことをしそうな事業者には認定が与えられない」という思考に陥ります。
現行制度上、JIPDEC自身はプライバシーマーク制度の審査基準も審査内容も自ら決められる立場です。そこで現実の審査の運用の中で「さじ加減=審査基準」を(主として厳しい方向に)勝手に変えていきます。この流れの中では、本来の趣旨である「JIS Q 15001規格とマネジメントシステムの合致性の審査」ということは二の次にされていきます。
こうして、『個人情報保護』の名の下での『制度運用』が、本来の制度の姿をゆがめていき、リスク認識に対する過度なパフォーマンス(個別対策)の押し付けを初めとした「勝手な(=本来のJIS Q 15001では要求していない)審査基準」が出来上がっていくことになります。
このとき、当事者は『審査側であるJIPDEC』と『被審査側である事業者』しかいませんので、誰も『本来の審査基準(であるJIS Q 15001)』と『実際の審査内容』のズレについて評価される場所がありません。したがって、このズレは補正されることなく、時を経るごとにさらに増幅していくことになってしまいます。このことが更なる「主観的な判断での審査認定」を助長し、問題を拡大していくことになるのです。
このことは、行政処分についても全く同様のことが言えます。中央青山への一部業務停止命令の例の例でも見らますが、法律での「処分の基準」が大変アバウトな状態で、実態としての『量刑基準』は行政の大幅な裁量に委ねられています。そこで、何らかの事件が起こると、「当事者だけでなく、監督官庁である行政も世間から非難される⇒これ以上非難されたくない⇒もう二度と起こさせたくない⇒従来より重い処分で『見せしめ』にする」という自己防衛反応的サイクルが生じます。これが繰り返されることで、自律的な補正が効かなくなり、「明白な理由なき処分」が罷り通る状況が発生してしまうのです。
上記で見てきたとおり、行政処分にしてもプライバシーマークにしても、その根本には『自己補正できない体制構造の問題点』が潜んでいると考えています。よくよく考えると、この『自己補正できない体制構造の問題点』とは『仕組み全体の中で相互牽制を生み出す仕組みが備わっていない』ということと同値であり、実は、認定や処分を行う側自身に『内部統制』が備わっていないという表れともいえるのではないかと私は考えます。
ちなみに、Pマークと同種の国際制度であるISO9001/14001/27001認証制度の場合には『審査機関と認証機関』を別にする』ことによって内部統制機能を実現し『規格に基づく審査』が行われるようになっています。
また、行政処分と類似する効果をもたらす(こともある)刑事裁判では、『力量を担保された弁護士・検察官・裁判官という独立した3者の役割分担による相互牽制』や『三審制』などによって、裁判全体としての内部統制機能を実現しているといえます。
今回の一連のエントリの中で、内部統制の第一歩として「アンパイヤにルールブックを書かせないこと」が重要となることが整理できたのではないかと思っています。そして、抽象的によく言われる『内部統制が大事だ』というコトバは、行政から様々な認定や処分を受ける側にある事業者(監査法人を含む)よりも、むしろ『行政の体制』の中にこそ必要なことではないか、と感じています。
もし、行政が内部統制を本気で根付かせたいと思うのであれば、まず行政自身たちが『内部統制の効いた仕組み』に転換を行っていく必要があるのではないかと、私は考えます。
以上、長くなりましたが『行政側の内部統制』という観点から一考察を行ってみました。もし宜しければ、皆様からのコメント・ご意見をお寄せいただけましたら大変幸いです。
【追伸】
GW明け&相方のラジオ出演を記念し、5月8日~20日をブログランキングUP強化ウィークとさせていただいております!皆様の応援クリックにより順調にランクUPが進んでおり、現在は40位前後を推移していますm(_ _)m
当面の目標はマーケティング・経営ランキングでのトップ10入りです!ぜひ、1日1回の応援クリックを宜しくお願いいたしますm(_ _)m
↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓
この点については、中央青山監査法人に対する行政処分の場面でも同じような状況を見ることができます。特に、「今回の処分にあたっての量刑判断基準が明確でない」という点や、「処分根拠となる客観的事象についての十分な説明が行われていない」という点については、Pマーク審査と同根の問題の存在が感じられます。
では、その「根っこにある問題」とは何なのでしょうか?私は「行政が認定や処分をを行う際の体制構造」にその主たる原因があるのではないかと考えています。
まずプライバシーマーク審査の場合を考えます。プライバシーマーク制度では、一部の指定を受けた業界団体を除き、主にJIPDEC(日本情報処理開発協会)自身が審査を行う体制になっています。一方、JIPDECは、プライバシーマーク制度自身の構築や運用も行っています。つまり、認定制度における「審査基準の制定(立法)」「審査制度の運用(行政)」「審査制度の監視(司法)」の三権を一つの機関が担っていることになります。
このような「三権同立=一機関による運用」では、当然権能を持った機関の間に存在するべき相互牽制機能が働きません。するとどうしても避けられないのが「自己防衛的反応」、すなわち「自分たちに都合が悪いことが起こりそうな時には、自分たちの都合をベースに判断が行われる」ということです。
例えば、現在は個人情報に関する事故等が多発しており、プライバシーマークの既認定企業の中からも個人情報に事故を起こす事業者が現れる可能性は否定できません。セキュリティ側面で考えれば、どれだけ対策を施そうとも悪意ある人間が「執念をもって故意に」事故(事件)を引き起こそうとすれば、事故自身を防ぐ手立てはありません。(だからこそ、「マネジメント」発想の下、出来うる範囲で継続的に改善されていく仕組みを作りこむコトが重要となるのです。)
しかし、JIPDECから見れば「プライバシーマークを取っているのに、事故を起こすということは、Pマークの信頼を貶める行為でけしからん!」ということになります。すると「規格がどうのこうのという前に、けしからんことをしそうな事業者には認定が与えられない」という思考に陥ります。
現行制度上、JIPDEC自身はプライバシーマーク制度の審査基準も審査内容も自ら決められる立場です。そこで現実の審査の運用の中で「さじ加減=審査基準」を(主として厳しい方向に)勝手に変えていきます。この流れの中では、本来の趣旨である「JIS Q 15001規格とマネジメントシステムの合致性の審査」ということは二の次にされていきます。
こうして、『個人情報保護』の名の下での『制度運用』が、本来の制度の姿をゆがめていき、リスク認識に対する過度なパフォーマンス(個別対策)の押し付けを初めとした「勝手な(=本来のJIS Q 15001では要求していない)審査基準」が出来上がっていくことになります。
このとき、当事者は『審査側であるJIPDEC』と『被審査側である事業者』しかいませんので、誰も『本来の審査基準(であるJIS Q 15001)』と『実際の審査内容』のズレについて評価される場所がありません。したがって、このズレは補正されることなく、時を経るごとにさらに増幅していくことになってしまいます。このことが更なる「主観的な判断での審査認定」を助長し、問題を拡大していくことになるのです。
このことは、行政処分についても全く同様のことが言えます。中央青山への一部業務停止命令の例の例でも見らますが、法律での「処分の基準」が大変アバウトな状態で、実態としての『量刑基準』は行政の大幅な裁量に委ねられています。そこで、何らかの事件が起こると、「当事者だけでなく、監督官庁である行政も世間から非難される⇒これ以上非難されたくない⇒もう二度と起こさせたくない⇒従来より重い処分で『見せしめ』にする」という自己防衛反応的サイクルが生じます。これが繰り返されることで、自律的な補正が効かなくなり、「明白な理由なき処分」が罷り通る状況が発生してしまうのです。
上記で見てきたとおり、行政処分にしてもプライバシーマークにしても、その根本には『自己補正できない体制構造の問題点』が潜んでいると考えています。よくよく考えると、この『自己補正できない体制構造の問題点』とは『仕組み全体の中で相互牽制を生み出す仕組みが備わっていない』ということと同値であり、実は、認定や処分を行う側自身に『内部統制』が備わっていないという表れともいえるのではないかと私は考えます。
ちなみに、Pマークと同種の国際制度であるISO9001/14001/27001認証制度の場合には『審査機関と認証機関』を別にする』ことによって内部統制機能を実現し『規格に基づく審査』が行われるようになっています。
また、行政処分と類似する効果をもたらす(こともある)刑事裁判では、『力量を担保された弁護士・検察官・裁判官という独立した3者の役割分担による相互牽制』や『三審制』などによって、裁判全体としての内部統制機能を実現しているといえます。
今回の一連のエントリの中で、内部統制の第一歩として「アンパイヤにルールブックを書かせないこと」が重要となることが整理できたのではないかと思っています。そして、抽象的によく言われる『内部統制が大事だ』というコトバは、行政から様々な認定や処分を受ける側にある事業者(監査法人を含む)よりも、むしろ『行政の体制』の中にこそ必要なことではないか、と感じています。
もし、行政が内部統制を本気で根付かせたいと思うのであれば、まず行政自身たちが『内部統制の効いた仕組み』に転換を行っていく必要があるのではないかと、私は考えます。
以上、長くなりましたが『行政側の内部統制』という観点から一考察を行ってみました。もし宜しければ、皆様からのコメント・ご意見をお寄せいただけましたら大変幸いです。
【追伸】
GW明け&相方のラジオ出演を記念し、5月8日~20日をブログランキングUP強化ウィークとさせていただいております!皆様の応援クリックにより順調にランクUPが進んでおり、現在は40位前後を推移していますm(_ _)m
当面の目標はマーケティング・経営ランキングでのトップ10入りです!ぜひ、1日1回の応援クリックを宜しくお願いいたしますm(_ _)m
↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓