目次
プライバシーマークの取得
勤務先で業務上の都合でプライバシーマーク(Pマーク)を取りました。
人手が足りないので一人でやることになったのですが、調べてみても今ひとつよくわからなかったのと、多少予算はあったのもあり、コンサルティング会社に頼んで取得しました。つつがなく取得はできたのですが、エンジニアの視点から見て思ったことを書いていこうと思います。
プライバシーマーク制度の調査
初めにやったのは制度自体の調査です。wikipediaによると「一定の要件を満たした事業者などの団体に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾する登録商標との記載されています。Pマークを与えてくれる日本情報経済社会推進協会がどのような組織なのかを調べてみると、民主党の事業仕分けの際に対象になったようで、元官僚の方々が在籍されているようです。つまりプライバシーマークは企業が個人情報保護について一定の文書等を作成して、実行した上で審査を受けると、どうも国と関連が強そうな組織が認定してくれるという制度のようです。
コンサルティング会社の調査
制度もわかり、どういうものを用意するかはある程度は調べると出てくるのですが、具体的な文書のテンプレなどがあまりないため、上述のようにコンサルティング会社に頼みました。これもだいぶ苦労しました。MAツールを導入したり、システムのパッケージを導入したりする場合はある程度製品名や会社名を知っているものの中から選ぶのですが、Pマークのコンサルティング会社はどこも名前も知らないし、サービス内容もあまりわからず、営業に来てもらっても内容は似たような感じです。社労士や税理士を探すときもそうなんですが、知り合いに紹介してもらえればいいんですが、そうでないと判断できないです。ぶっちゃけ運だと思います。私は比較してないからわからないですが、まあそんなに悪い会社ではないところに当たったと思います。
プライバシーマークを取得するまでにやったこと
やったこと、といってもコンサル会社が指示を出してくれたので、言われたとおりやっただけですが、大きくは
- 規定文書作成
- 規定に沿ったちょっとした運用
- Webサイトの同意文の変更など
- 従業者教育
- 内部チェック
といったところです。
規定文書については、ほぼそのまま使えるテンプレを提供してもらいました。でも規定文書一式を3万くらいで売ってるサイトもあるので、そっちの方が全然安いです。あとは台帳とかそういう記録系のものの作成、この辺は自分で作らないといけません。自社の個人情報に何があるかとかそういうものです。でもこれもテンプレを用意してもらえればそんなに大変でもなさそうでした。あとは従業員に教育をして、ある程度やるべきことをやって、チェックをしてというものでしたが、自社がそれほど大企業でないのもありそんなに大変なものではありませんでした。
審査と認定
一通り準備が終わってから、すごくわかりづらい申請書を書いて、実際に審査員がやってきて審査を1日受けて認定となりました。審査は半分くらい何を言っているのか正確なことはわからなかったけど、規定を見せたり何となく記録類を見せて、やっていることを伝えたらOKでした。と軽く書いていますが、丸一日近く責め立てられるような感じで精神的にはつらいものではありました。なので、精神的にタフでさえあれば、文書がちゃんとしていてある程度のレベルで管理していれば審査は誰でも乗り切れるものだというのを伝えたいです。
プライバシーマークについて思うこと
認定まで辿り着きましたが、個人情報がこれだけ重要視されている中で思うこととしては、プライバシーマークはあくまでも「個人情報保護法」やそれに準拠したPマークのガイドラインに違反していないか、つまり法律に準拠しているかを問うものであって、個人情報の漏洩対策について問われるものではないということです。実際、文書の文言などについてはとても厳しく聞かれましたが、IT部分についてはほとんどノーチェックに近いものでした。なので、セキュリティというよりもコンプライアンス的な部分の審査なんですね。派遣法とか労働安全衛生法とかそういうものに会社が準拠しないといけないのでチェックしますよというようなイメージです。
なので、Pマークを持っている会社が情報漏えいをしたとかよくニュースに出ますが、Pマークと情報漏えいは全く関係ないんです。コンプライアンスを重視していても、いくらでも外部から不正アクセスは受けますし、内部からの漏洩も起こり得ます。あくまでも、会社としては法律を守るような体制組んでますよというだけです。
もちろん法令遵守は企業にとって非常に重要なことですが、今の世の中はハード面での個人情報に対するセキュリティを強くしていくべきだと思いますが、そのための制度はないのが現状です。認定を取ろうと思ったら、一定基準のツールを導入して、Webサイトを持っている場合は一定のセキュリティ診断をしてとかそういう物理的なチェックをクリアした企業に認定を与えた方が本当の世の中の役に立つ気がするのですが。
プライバシーマークの展望
コンサルティング会社の人には非常によく説明してもらい、審査員の方も丁寧に審査をしてくれました。ただ思うこととしては、対面でやるので非常に時間を食う、慣れればわかるが慣れない内は非常にワードがわかりづらいということです。これは社労士とかそういうところでも思うんですが、情報が全然オープンでないので、あまり難しいことではなくても素人が分かりづらいというところです。
今の時代、クラウド・AIなどにより色々なものが昔より楽になってきており、専門家がいなくても会計などはできるようになってきています。ですのでそれほど難しいものではないけれど、法律用語がわかりづらくて専門家に頼まないといけないようなプライバシーマークのようなものはいずれなくなっていくのではないかと思います。クラウド上で必要項目を埋めて、ドキュメントを自動でチェックされて、slackで最終確認のような形になるのかなと。
RPAとかAIとか言ってる時代に、なぜ紙満載のアナログなものが企業の信頼としての認定としてあるのか非常に疑問です。確かにコンサルティング会社や審査機関、国など色々なところに雇用を創出しているんですが、もっとわかりやすいドキュメント化やシステム化、自動化してくれればいいと思うんですけどねえ。