Scribble at 2023-09-15 10:57:15 Last modified: 2023-09-15 10:58:57

具体的に書いてしまうが、かつて「ISO総研」(現在は社名が変わっているので、武士の情けで書くのはやめておくが調べたらすぐに分かる)という事業者が「Pマーク代行」を謳ってマネジメント実務を代行するというサービスを提供していた。いまだにやってるのかどうかは知らないが、これは何年か前にプライバシーマークの運営機関である JIPDEC から「こういうサービスは利用しないように」とのお達しが出ている。もちろん、どういう事情でお達しが出たのかは知らない。けれど通報がきっかけであれば、何人が通報したのかは知らないが、そのうちの一人は僕である。

プライバシーマークの使用許諾を認定された事業者の Chief Privacy Officer として、僕らには制度を悪用する事例を JIPDEC へ通報する、いわば公的な責任がある。他にも、認定されてもいないのにビックリマン・チョコのシールみたいにプライバシーマークを勝手にコーポレート・サイトのページに貼り付けているようなバカも、見つけたら通報している。僕らは科学哲学のアマチュアとしても同じことが言えるけれど、バカを積極的に晒し上げたり通報しなくてはいけない。こういう地道なことはプロパーがやろうとしても立場や人員の少なさなどで難しいことなので、アマチュアこそ貢献しなくてはいけない。放置すれば会社も社会も国も下から腐っていくのだ。また、CPO には所属企業での違法行為を通報する義務もあるのは言うまでもない。CPO にとってのステークホルダは自社だけではなく、周囲の住民や公的機関も含まれる。日本に限らず、たいていのアジアの会社というのは根本的に政府や法律や他人(競合や株主、そして自分たちの客ですら)を信じていないため、自分たちのルールや手順を「社風」と称して民事や刑事どころか公法(憲法)よりも優先する傾向にある。しかるに、CPO のように個人情報保護法という法律で定められた公的な責任を負っている者は、真面目に担うのであれば、そうした(たいていは自堕落の言い訳に過ぎない)社風なるものを華麗に無視して違法行為は即座に通報しなくてはならないし、そうならないように日頃から社内を牽制しないといけない。もちろん、僕のように社内で唯一の IT 人材として、それなりに強い発言権をもっている者は、なおさらそういうポジションを活用しなくてはいけない。僕が日頃から「偉そう」にしているのは、そういう牽制のためであって、有能な技術者だから偉そうにしているわけではない。

さて、そういう僕の立場を説明した後で今回の話題となるのだが、本日は出社日である。執務室へ入ると、机に幾つか郵便物が置いてあり、その中の一つが「Pマークの自動化・効率化を実現するクラウドサービス」という宣伝のチラシである。ちょうど、いま PMS で必要な帳票・記録類を一つのウェブ・アプリケーションにまとめるプロジェクトが進行しているので、どこでも似たようなことはやるもんだなと思ってチラシを眺めている。でも、こんなサービスは使わないし、まともなレベルの個人情報保護管理者であれば利用するべきではないだろう(JIS で設置が求められている職能はこちらの名称だ。CPO は僕がグローバル人材だから英語で名乗っているにすぎない。実際、海外の情報セキュリティ企業を手伝って簡単なパンフレットやインフォグラフィクスの日本語訳を作成したりしている)。

こういうサービスを利用することが望ましくない理由は、もちろん冒頭で述べた ISO 総研の事例と同じである。自社の状況やリスクあるいは研修内容は、自社のスタッフである個人情報保護管理者が把握して記録したり研修内容を考えるべきである。他人が作ったテンプレートを利用するだけなら、あなたがやらなくてもいいのだから、それこそマネジメント業務を全てコンサルや代行会社に丸投げしても同じことである。そして、プライバシーマークの監査も、業務代行会社がどれだけうまくクライアントを管理しているかを監査しているに等しくなり、当該企業の自主的な取り組みとは言えなくなる。すると、なにか事故が起きた場合に、「代行会社のせいだ」という理屈が通用するのかというと、そんなことはあるまいという話である。帳票や記録類の整備は、もちろん外部のサービスを利用するのはいいだろう。僕のように、記録や帳票類を管理するウェブ・アプリケーションを自力で開発できる人間なんて、上場企業にすらなかなかいないだろう。しかも僕らのように科学哲学者でありながら暇潰していどの工数でそんなことができる、事務屋としても技術者としても有能な人間など、そうはいまい。よって、Excel でも ASP でも使いやすいものを使えばよいだろう(もちろん、そういうサービスを利用するにあたってのリスク分析は必須であり、可能なら PIA として評価の記録を残すことも求められよう)。

しかし、事業者によって所在地や人員や事業内容や業容など色々あるわけで、自社に応じたリスク対策が求められるのは当然である。そして、教育や研修内容だってリスク対策という観点から話題や研修内容が選ばれるべきだし、研修の仕方そのものも自社の社員の年齢やスキルに応じて、どういう研修方法が望ましいかも違ってくるのが当然だ。僕がこれまで実施してきたのは、オンラインのクイズとか、動画とかだが、いま新しくアドベンチャー・ゲームのような体裁で、事故が起きたときの適切な選択肢を選んでもらうという方式を検討しているところだ。こういったことも、同じ会社のスタッフとして様子を見ながら対応したり導入できる。社外のコンサルごとき「お客さん」にできることではない。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook