プライバシーマーク 新指針での申請が始まります

１．新指針での申請受付が10月１日より開始

10月1日から、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001：2023準拠】」（以下、「新審査指針」）による申請受付が開始されます。審査機関によっては新しい申請書での受付も可能です。私の担当しているお客様も、数件、複数の審査機関で9月中に新指針対応の申請書で更新申請を受け付けていただいております。来月には文書審査結果が出てくるかと思います。新しい申請書は、従来とほとんど変わらないようですので心配はいりません。

ただ、最近は審査機関のクラウドにファイルをアップする電子申請が主流になってきています。また指摘対応の改善報告も同じクラウドにファイルをアップする審査機関が増えてきました。JIPDECも電子申請になりましたし、Pマークの登録証もダウンロードする形になりました。まあデジタル化の流れやペーパレス社会の影響でしょう。

２．NTT西日本子会社のPマーク取消

さて、個人情報保護法の改正により漏洩等の報告が義務化されましたが、昨年、NTT西日本子会社における個人情報の漏洩事件について、9月20日にJIPDECは2社のPマーク取消を発表しました。

https://privacymark.jp/news/2024/system/0920.html

本件は、2013年7月頃から2023年2月頃にかけて、ProCX社のコールセンター業務に関するシステムの提供及び保守運用を行っているNTTビジネスソリューションズ株式会社（NTT西日本が 100％出資する子会社。以下「BS社」）の元従業者（派遣会社からBS社に労働者派遣されていた派遣社員）が、委託元である民間事業者30社、独立行政法人1機関及び地方公共団体38団体（委託元）の顧客又は住民等に関する個人データ等合計約928万人分を不正に持ち出したことにより漏洩が発生し、派遣社員が名簿業者に売却したというものです（個人情報保護委員会の公表資料より）。

驚くべきことは、10年以上にわたり漏洩が行われていたことです。あのベネッセ事件が発覚したのが2014年です。大きな漏洩事件が起これば、自社は大丈夫かと改めて安全管理措置を見直し、必要があれば（通常は必要性を認識するはず）改善を行うのが事業者としての務めです。

ベネッセ事件と同様に委託先に派遣されていた従業員による漏洩ということで、そもそも委託元から一番離れた立場にある派遣社員が、顧客データベースにアクセスしてUSBメモリーにコピーして持ち出せるということ自体、安全管理措置を実施していないに等しいものです。

３．マネジメントの機能不全

外部記憶媒体に個人情報データベースをコピーして持ち出すというケースは、個人情報漏洩事件の最高裁判決におけるリーディングケースである宇治市住民基本台帳の漏洩事件と同様です。当時はMOディスクに学生アルバイトがコピーして持ち出しました。ベネッセ事件では派遣社員が個人スマホにコピーして持ち出しています。MOディスクは何百MBレベルの記憶容量でしたが、最近のスマホやUSBメモリーは何GBレベルですので、ポテンシャルが桁違いです。

そもそもこうした技術の進歩は、リスクアセスメントにおいて再評価ポイントになるべきものです。しかも1年前にあれだけ世間を騒がせた事件が発生し似たような業務をしているわけですから、委託先や再委託先へのチェックを委託元が行うのはもちろんですが、委託先や再委託先も自己点検を行えば発見できたはずです。

こうしたインシデントから学ばない事業者の姿勢は、マネジメントが機能していないことの証左でもあります。Pマークの要求事項は、個人情報保護マネジメントシステム（PMS）です。これはISOのMS（マネジメントシステム）を模倣しているわけですが…。

はて？　

では、マネジメントとは何でしたっけ？

４．マネジメントとは…

マネジメントと言えば、あのドラッカー先生が有名ですね。

　産業革命以後、急速な近代市民社会が発展していく中で、企業に限らず行政サービス（教育・医療・社会保障）など、あらゆる公共機関も組織なしに運営することができなくなりました。組織社会の到来です。マネジメントは、こうしたあらゆる組織における課題を達成し成果を上げるために必須の機関・機能となったのです。

　企業は利益を追求する組織ですが、ドラッカーは利益の機能について、次のように説いています。

　①　利益は成果の判定基準

②　利益は不確実性というリスクへの保険

③　利益はよりよい労働環境を生むための原資

④　利益は医療、国防、教育、芸術など社会的なサービスと満足をもたらす原資

　なぜ、企業は利益を上げなければならないのか、この四つの機能を達成するためと考えれば理解しやすいでしょう。企業には経営理念や事業目的・達成すべき戦略などがあります。それが実現できたかどうかは、利益が出ているか・目標利益が出ているか、という視点で判定できます。これは①と②の目標利益から算出できます。いうなれば狭義における企業の社会的責任を果たしているかどうかの評価指標ともいうべきものです。

　③については、昨今、働き方改革とかハラスメント予防とか、労働者の働く環境の整備や健康管理に対する企業の法的な義務（労働法関係）の要請が高まっています。関連する法律として、11月1日から施行される新法、特定受託事業者に係る取引の適正化等に関する法律（いわゆるフリーランス・事業者間取引適正化等法：長いので以下、フリーランス法）もそうした時代の要請ともいうべきものです。

　ベネッセ事件やNTT西日本子会社事件に見られるように、システム技術者の中にはフリーランスとして働いている方もいます。フリーランスと言えば、テレビ朝日の人気ドラマ『ドクターX』に出てくる女医が「バイトじゃなくて、フリーランス」というセリフが有名です。

　ドラマのように「わたし、失敗しないので」、と言い切れいるような高度な能力を持った人たちがフリーランスの代名詞であれば、こうした法律は成立しなかったでしょう。そうした方もいるとは思いますが、どちらかというと少数派で、一般的には事業者（委託元）との力関係が相対的に弱い個人が多数派と思われます（不適正な取引形態）。

　こうした新法の成立による法的なリスクへの対応をするためにも利益が必要だということがわかりますし、何よりも新法にはハラスメント対策のための体制整備等が義務付けられています。まさに③のことではないですか。

　加えて、企業が利益を出さなければいけないのは、社内的なサービスを提供するためという④については、スポーツイベントや音楽イベントのスポンサーなどを通じて、豊かな社会に貢献していることからも明らかです（オリンピックや国際大家のスポンサーに限らず、アマチュア選手の育成やプロ選手のスポンサー、音楽ホールや美術館の運営など）。つまりは、広義における企業の社会的責任ですね。

５．新法のPMS運用への影響

さて、そうしたフリーランス法の施行まで1か月と迫りましたが、PMSのマネジメントは機能していますか？

　新審査指針の「J.1.3 法令、国が定める指針その他の規範」には、次のような要求事項があります。

　事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範（以下、「法令等」という。）を特定し参照する手順を内部規程として文書化すること。

《留意事項》

　参照とは、特定した法令等の内容を事業者が遵守することを含む。

　フリーランス法は、上記の法令等に含まれるでしょうか？

　当然、業務委託事業者に該当する事業者には含まれると考えるべきです。その判断をするには、フリーランス法を理解していないといけません（法令等を特定し参照する）。そして、適用されるようなら法令等を遵守しないといけません。

　もっとも従業員を対象にハラスメント対策のための体制整備ができていることが前提ですから、これらの関係法令は特定され参照する手順があるはずです。

　そうすると、法令の内容を遵守する手順が社内規程として制定されているはずなので、その運用記録も存在していないといけませんし、内部監査等でチェックしていないといけません。つまり、PMS運用全般についてレビューできているか、今からチェキラーが必要となるのです。私が審査員なら、ズバリここを突っ込んで、不適合を出しまくりますね（笑）。マネジメントが機能していない事業者は、絶対できていないはずなので…。

６．マネジメントシステムの迷走は続く…

もともとMSの形骸化は、ISOで問題となってMS部分の共通文書化で改善を図ろうと2013年に規格改訂されました。それがISO/IEC27001:2013（JISQ27001:2014）です。それから10年、MS部分は実質的に改訂されることなくISO/IEC27001:2023（JISQ27001:2024）が発行されました。それを右へ倣えしてできたのがJISQ15001:2023で、新審査指針はこれに準拠して審査基準としました。

　どうやらMSの形骸化は、まだまだ続きそうです。これを打破するには、マネジメントとは何か？

に立ち返って、PMS運用を見直さないといけません。このあたりは、ISMSのコラムのほうでじっくりと考察していきます。