Pマーク、ISOコンサル現場の声〜誰も教えない個人情報保護「プライバシーマークに関わる方へ（前編）」

　プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名祐輔
http://rm.jmc.ne.jp/service/pm/p_column37.html

　皆さんこんにちは。

　長い間ご愛読頂いたこのコラムですが、残念ながら今回を含め、あと2回で終了となります。

　今回と次回のコラムでは、筆者がプライバシーマーク制度と、制度に関わる人たちに今後、望むことをお話しようと思います。

　JIPDECのホームページを見ると、認証取得事業者は9000社を超え、いよいよ1万社の大台が現実的になってきています。しかしその一方で認証取得の増加スピードは明らかに落ちてきているようですね。市場としては、そろそろ成熟期といったところでしょうか。

　プライバシーマークに長い間、関わってきた身としては、この制度が末永く存続し、プライバシーマーク取得企業がマネジメントシステムと情報セキュリティの本質を理解した上で、自社の環境に合った個人情報保護マネジメントシステム（PMS）を確立し、自社の経営に役立てるという未来があってほしいと願っています。

　そのためには、「取得企業」、「JIPDECと審査員」、「コンサルタント」のそれぞれが前向きに取り組んでいくことが必要ではないかと思っています。

　まず、プライバシーマーク取得企業の方々については、せっかくコストをかけて取得した認証です、今以上にPMSのルールを活用してみてはどうだろうかと思います。

　例えば、個人情報管理台帳を作成する際に、個人情報だけを管理すると、どうしてもプライバシーマークのためだけに作っているような感覚を覚えてしまうと思いますが、他のデータや書類を記載することで情報資産全般の管理ができるようになります。

　PMSを運用するための他の作業にも当てはまりますが、「マークを維持するためだけ」という意識だと、どうしても手間になり、面倒くさいという思いが強くなってしまうと思います。そうではなく、PMSの仕組みを日常業務でも活用することで、今より格段にPMSの運用が身近なものになります。

　そして、JISQ15001要求事項の本質を理解するようにして欲しいと思います。プライバシーマークを取得し、運用するためには、方針の作成やリスク分析、通知同意や代表者の見直しなど、JISQ15001要求事項に基づき様々なことを実施しなければなりません。

　それらの要求事項には、全て「なぜ対応が必要なのか」という本質があります。コンサルタントに言われた通りやるのではなく、本質を理解することで、自分たちなりの規格解釈、自分たちなりのルールが作れるようになります。それらのルールは自社の環境に合致しているでしょうから、PMSが負荷なく運用できるようになります。

　要求事項で求められている作業は…

【執筆：浦名祐輔】

　※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
　　コラムの全文は、同社下記情報サイトから利用可能です。
　　 http://rm.jmc.ne.jp/service/pm/p_column37.html