プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)株式会社JMCリスクマネジメントマネジメントシステムコンサルタント浦名 祐輔http://rm.jmc.ne.jp/service/pm/p_column33.html皆さんこんにちは。少し前ですが、新聞にISOの審査を形式的なものから、運用面を重視するものに変えるという記事が掲載されていました。認証取得企業の不祥事が相次ぎ、審査そのものの有効性について疑問を投げかける声が増えてきたのでしょう。平たく言うと、「いったいどんな審査をしているんだ?」ということだと思います。プライバシーマークもISOと同じように第三者認証の仕組みである以上、決して他人事とは思えない話です。今日はこの記事を受け、プライバシーマークの審査について感じていることをお話しようと思います。結論から言うと、「プライバシーマークの審査はまだまだ形式的」ということです。個人情報保護マネジメントシステム(PMS)の運用まで深く踏み込まず、文書と記録のチェックに終始するケースも少なくないようです。現地審査の指摘事項の内容として規程・様式の修正が多いことも、形式的であることを証明していると思えます。JISQ15001は、PDCAのサイクルを回すことで自社の仕組みをスパイラルアップさせることを目的としていますので、その部分を重点的に審査してもらいたいと思います。なぜ、このようなことになっているのでしょうか。私なりに理由を考えてみました。(1)「審査員が審査する事業者の業務内容を理解していない」現地審査が終わったお客様に、「審査員は御社の業種特性・業務を理解しているようでしたか?」という質問をすると、「あまり理解していないようでした」という答えをよく耳にします。特にJIPDECの場合、多種多様の業種を審査していることもあり、このようなケースが多いように見受けられます。この事実から推測すると、プライバシーマークの審査員は、自身が精通していない業種を担当している可能性があると言えるでしょう。もしそうならば、運用まで深く踏み込んだ審査は望めないかもしれません。形式的になってしまうことも頷けます。(2)「審査時間に制限があるため」これは組織の規模が大きくなればなるほど、当てはまることだと思います。プライバシーマークの審査時間は、最長8時間と決められています。従業員が何千人いようと、拠点が何百箇所あろうと、8時間です。8時間の中にはトップインタビューや昼食・休憩、オープニング・クロージングミーティングの時間も含まれますから、正味6時間程度が実際の審査時間ではないでしょうか。その中でJISQ15001要求事項全ての運用状況をチェックするわけですから、大きい事業者になると時間が足りず、細かい運用まで目が行き届かないのもわかります。ISOでは受審企業の規模によっては複数名の審査員が数日に渡って審査を進めます。(複数名の審査員が個別に動き、各部門ごとにヒアリングしていく。)そのようにしてISOでは細かい運用部分までチェックしているのですが、プライバシーマークは比較すると審査時間が短く、形式的になってしまうのは仕方ないと思います。(3)「認証取得の動機と支援する側のスタンス」ここ1〜2年、プライバシーマークを取得する事業者に取得の動機を尋ねると、「取引先からの要求」という答えが殆どです。業種によっては発注条件としてPマーク取得が盛り込まれていますから、Pマークを取得しないと仕事ができないわけです。(取得事業者数10,000弱という数字の背景には、このルールの影響力が大きかったと思います。)そのため各社こぞってプライバシーマークを取得しているのですが、彼らは「プライバシーマークが欲しい」わけであって、手間隙をかけて個人情報保護体制を構築し、運用したい訳ではないケースが多いのです。また支援するコンサルティング会社も、そのようなニーズに合わせ安価でスピーディーなサービスを展開するようになります。こういった必ずしも各社に合った個人情報保護体制ができているわけではないが、内容に問題はないという理由で、形式的なチェックでカバーするケースもあります。いちコンサルタントとしては…【執筆:浦名祐輔】※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。http://rm.jmc.ne.jp/service/pm/p_column33.html
