Pマーク構築・運用指針改定シリーズ:第３弾

１．Pマーク構築・運用指針改定セミナーを開催しました（全3回中最終回）

　年初から3か月連続セミナーを無事に終えることができました。多くの方々に全3回フル参加いただきまして、ありがとうございました。まだJIPDECから改定指針についての詳しい情報は公開されていない中で、あいまいな解説にならざるを得ない部分もありましたが、2月29日に発売されたガイドブックを読む限り、審査実務に大きな変化はないかなという印象です。

　その根拠やより詳しい内容は、4月のセミナーでお話します。次回のセミナーは、これまでの総括的な意味を込めて、PMS運用におけるPDCAサイクルと要求事項との関連性を、弊社のPMS文書を交えながら解説していきます。法律や規格要求事項は、条文や箇条の順番に読み進めても、イマイチ全体像がよくわかりません。そのため実際のPMS運用に当てはめて（落とし込んで）みると、条文や要求事項相互の関連性も浮き彫りになり、頭が整理されます。

　たとえば、個人情報の特定といっても、ただ特定すればいいわけではありません。個人情報の取得がJ.8.4かJ.8.5かによって、その後に関連する要求事項が変わりますし、提供や委託があれば、その要求事項の対応が必要になります。そして、特定した個人情報についてのリスクアセスメント・リスク対応…、と他の要求事項に波及していくのです。

4/12開催「実践！PMS運用セミナー ～実際の文書を基に考えるPMS構築や審査時のポイント解説～」　セミナーお申込み

２．プライバシーホワイト（日本DPO協会認定データ保護実務者）試験に合格

　セミナーでもご紹介した「個人情報保護力量検定」の受験に先立ち、一般社団法人日本DPO協会のプライバシーホワイト（J-CDPP：Certified Data Protection Practitioner：日本DPO協会認定データ保護実務者）試験を受けてきました。こちらは2024年度中に上位資格のプライバシーゴールド（J-CDPS：Certified Data Protection Specialist：日本DPO協会認定データ保護スペシャリスト）の試験が開始予定だそうです。そして、プライバシーブラック（J-CDPO：Certified Data Protection Officer：日本DPO協会認定データ保護オフィサー）で資格制度が確立されるようです（DPO認定）。

　情報セキュリティ関連では、国家資格である情報処理安全確保支援士の制度がありますが、プライバシー保護や個人情報保護に関する資格制度はなかったので、画期的な取組みといえます。しかも、日本の個人情報保護法制の生みの親とも言ってもいい堀部政男先生（初代、個人情報保護委員会委員長）をはじめ、大手の法律事務所や個人情報法保護法などを専門にする弁護士の先生方が顧問となっており、事実上の個人情報保護法学会といっても過言ではありません。私が行政書士試験を受けた際に試験委員をしていらっしゃった先生のお名前もあります。

　JIPDECと共同で開始されているのが、「個人情報保護力量検定」です。スタンダードとエキスパートの二種類ありますが、個人情報保護管理者や個人情報保護監査責任者の方はエキスパート、事務局スタッフや部門管理者はスタンダードの力量があることを証明したいところです。私も来週受験してきますが、50問を100分で解く択一式試験ですので、試験時間は十分な余裕があります。

出題範囲は、下記の通りです。

• プライバシーの基礎（時事問題を含む）
• 日本の個人情報保護法（民間部門）及び番号法の基礎（「個人情報の保護に関する法律についてのガイドライン」に関するQ＆Aを含む）
• 個人情報保護法コンプライアンス対応
• プライバシーマーク制度と個人情報保護マネジメントシステム
• プライバシーマーク付与適格性審査指針
• プライバシーマーク制度における個人情報保護管理者（CPO）と個人情報保護監査責任者の役割（エキスパートのみ）

　2冊の公式テキストで自習をするか、指定教育機関の研修を受けるなどして、試験対策をすることになります。弊社もこの指定教育機関となるべく、コンサルメンバーが受験します。

　1月のセミナーでは力量については改定指針により審査実務への影響を力説しておきましたが、こうした検定試験を受けて合格しておくのも審査時には心証がよくなる要因になるかもしれません。弊社の更新審査の際に審査員の反応を見たいと思います。

３．個人情報保護委員会の行政上の措置

　セミナー開始前、個人情報保護委員会のホームページを見ておりましたら、「株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について」が公表されていました。セミナーでクラウドサービス事業者の委託先判定に関するお話を盛り込んでいたので、急遽、内容を確認し、取り急ぎ、該当箇所でお話をしました。

　当初、エムケイシステムは、委託先には当たらない主張をしていたようですが、公表資料によると委託先にあたると判定されています。このあたりは、従来の委託先の監督で審査していたのを改定指針で安全管理措置で審査対応すると変更になったところですので、来月のセミナーで改めてこの事案を例にお話いたします。結果として、委託元に対しても委託先の監督が不十分であった可能性があるとして、注意喚起も公表されています。

　ただ実務上、こうしたクラウド事業者への審査は難しさもあります。サイバー攻撃の脅威もあるためデータセンター等の設置場所は教えられないでしょうし、技術的安全管理措置が防御策なので、軽々にお知らせするわけにはいきません。

４．「漏えい等の報告等」の意味

　上記の事案においては、個人情報保護法の報告義務に基づき、報告者ベースで3,067件（本人数計7,496,080人）と膨大な量の報告が個人情報保護委員会に上がってきたようです。大半は社会保険労務士事務所経由での顧問先事業者の分となります。このあたりの対応は、ご支援している先生方からもご相談を受けたり、その先の顧問先のお客様からも問い合わせを受けたりしました。

　2022年4月1日施行の改正法から漏えい等の報告等の規定が法制化されました。この漏えい等の「等」は、個人データの漏えい、滅失、毀損のことです。報告等の「等」は、事業者による報告と本人への通知です。漏えいされた本人にとっては、1件中1件の漏えいも、100万件中1件の漏えいも同じです。法律では氏名や連絡先等のみの本人への影響が小さいと思われる漏えいでは、1,000件を超えるか否かが報告等の義務要件となっています（影響の大小は、本人の主観なので客観的な数値基準で区切るのはどうかとは思います）。他方でPマーク制度では、メールの誤送信1件でも報告対象となっています。

　問題は、法律上の報告対象事案については、事態を知ってから3日～5日以内を目安に速報をしなさい、30日以内に確報をしなさいという義務規定です。確報はまだいいとして、速報は事業者に過度の負担になっていないかということです。上記の件数を見ればわかるように、5日以内に速報は事業者の負担もさることながら、報告を受けた個人情報保護委員会が処理できるのですかということです。

　ランサムウェアの感染のようなケースでは、いち早く初動対応をすることが大切で、事業者としては専門業者への協力依頼・警察や弁護士に相談・利害関係者への対応で速報どころではありません。またそもそも報告をしたところで、事態が収拾するわけではありません。より大切なのは、むしろ本人への通知のほうです。このあたりは「いわゆる３年ごと見直し規定に基づく検討」を通じて、法改正やガイドライン改正が必要ではないかと思います。