Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 「プライバシーマーク審査について」 | ScanNetSecurity
2024.05.05(日)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 「プライバシーマーク審査について」

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集 特集
facebookLINE
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column33.html

皆さんこんにちは。

少し前ですが、新聞にISOの審査を形式的なものから、運用面を重視するものに変えるという記事が掲載されていました。認証取得企業の不祥事が相次ぎ、審査そのものの有効性について疑問を投げかける声が増えてきたのでしょう。平たく言うと、「いったいどんな審査をしているんだ?」ということだと思います。プライバシーマークもISOと同じように第三者認証の仕組みである以上、決して他人事とは思えない話です。

今日はこの記事を受け、プライバシーマークの審査について感じていることをお話しようと思います。

結論から言うと、「プライバシーマークの審査はまだまだ形式的」ということです。

個人情報保護マネジメントシステム(PMS)の運用まで深く踏み込まず、文書と記録のチェックに終始するケースも少なくないようです。現地審査の指摘事項の内容として規程・様式の修正が多いことも、形式的であることを証明していると思えます。

JISQ15001は、PDCAのサイクルを回すことで自社の仕組みをスパイラルアップさせることを目的としていますので、その部分を重点的に審査してもらいたいと思います。

なぜ、このようなことになっているのでしょうか。私なりに理由を考えてみました。

(1)「審査員が審査する事業者の業務内容を理解していない」

現地審査が終わったお客様に、「審査員は御社の業種特性・業務を理解しているようでしたか?」という質問をすると、「あまり理解していないようでした」という答えをよく耳にします。

特にJIPDECの場合、多種多様の業種を審査していることもあり、このようなケースが多いように見受けられます。

この事実から推測すると、プライバシーマークの審査員は、自身が精通していない業種を担当している可能性があると言えるでしょう。

もしそうならば、運用まで深く踏み込んだ審査は望めないかもしれません。形式的になってしまうことも頷けます。

(2)「審査時間に制限があるため」

これは組織の規模が大きくなればなるほど、当てはまることだと思います。プライバシーマークの審査時間は、最長8時間と決められています。従業員が何千人いようと、拠点が何百箇所あろうと、8時間です。8時間の中にはトップインタビューや昼食・休憩、オープニング・クロージングミーティングの時間も含まれますから、正味6時間程度が実際の審査時間ではないでしょうか。

その中でJISQ15001要求事項全ての運用状況をチェックするわけですから、大きい事業者になると時間が足りず、細かい運用まで目が行き届かないのもわかります。ISOでは受審企業の規模によっては複数名の審査員が数日に渡って審査を進めます。(複数名の審査員が個別に動き、各部門ごとにヒアリングしていく。)そのようにしてISOでは細かい運用部分までチェックしているのですが、プライバシーマークは比較すると審査時間が短く、形式的になってしまうのは仕方ないと思います。

(3)「認証取得の動機と支援する側のスタンス」

ここ1〜2年、プライバシーマークを取得する事業者に取得の動機を尋ねると、「取引先からの要求」という答えが殆どです。業種によっては発注条件としてPマーク取得が盛り込まれていますから、Pマークを取得しないと仕事ができないわけです。(取得事業者数10,000弱という数字の背景には、このルールの影響力が大きかったと思います。)

そのため各社こぞってプライバシーマークを取得しているのですが、彼らは「プライバシーマークが欲しい」わけであって、手間隙をかけて個人情報保護体制を構築し、運用したい訳ではないケースが多いのです。また支援するコンサルティング会社も、そのようなニーズに合わせ安価でスピーディーなサービスを展開するようになります。

こういった必ずしも各社に合った個人情報保護体制ができているわけではないが、内容に問題はないという理由で、形式的なチェックでカバーするケースもあります。

いちコンサルタントとしては…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column33.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 特集 特集 記事
TOP