Scribble at 2025-06-05 10:52:13 Last modified: 2025-06-05 11:02:39

社名が変わったようだから敢えて書くけど、10年くらいまえに「ISO総研」と名乗る会社があって、ここが何度も営業メールを弊社に送ってきていて、要するに「プライバシーマーク運用代行」というサービスを宣伝していたわけである。これはつまり、社内規程の整備から記録類の作成、社内研修、そしてなんと現地審査の応対や指摘事項の対応までやるというニュアンスで、「まるっと」運用代行するというのがキャッチ・フレーズであった。

わずか40人足らずの小企業ではあるが、やっていることは上場企業を凌駕するレベルで個人情報保護マネジメントシステムを構築・運用していると自負している Chief Privacy Officer として、僕はプライバシーマーク制度を管轄している JIPDEC に通報した。他にも似たようなことをサービスとして謳っている会社が DM を送ってきたりしていたので、合計で６社ほどを挙げておいた。当然だが、その後に JIPDEC からはプライバシーマークの使用許諾を受けた事業者と監査機関に対して、こういうサービスを利用しない・利用させないよう正式に通達が出た。それから、リニューアルした JIPDEC のサイトでも、上記のような注意が掲載されているが、代行会社というのは「同席」どころか社員を騙って審査員に応対するのだから、これははっきり言って監査機関に対する詐欺罪でしかない。

事業者や監査機関への通達は10年以上も前なので、このくらいの年数が経つと、スーツを着ているだけのチンピラというのは、忘れたふりをして同じことを繰り返す。一般論として刑事法学で言う「特別予防効果」が殆ど妄想であると言われるのも、結局のところ犯罪者の多くは性根が腐っており、更生が難しいからである。そもそも、更生などと特殊なことであるかのように言っているが、これはまさに「教育」と呼ばれていることがらと殆ど同じであって、ご承知のように僕は教育学というのは経営学と同じ程度の未熟でインチキや思い込みが横行している三流学問だと思っているので、教育全般において人類が未熟な段階にあるのだから、更生なんて簡単にできるわけがないのは当たり前なのである。そして、こういう事業を展開するチンピラというのは、いくらでも言い訳を用意する。なので、10年後に入社してきた無垢な新入社員や無知な新しい事業担当者の発案として、10年前に退けられたサービスを思いついたかのように始めたりするわけだ。そして、当局から指摘されたり注意されたら、営業マンによくあるような「バカのふり」をしてごまかすというわけである。わたくしは馬鹿でございと言って、土下座するなり、法務担当者の前でチンコを舐めるようなふりをすれば、背任だろうと贈賄だろうと何でもいいわけになるというのが、マーケティングや営業（の経験だけで企業を経営するような人間）の「必殺技」である。

で、さきほども弊社の問い合わせフォームから、またもやこういうサービスの営業メッセージが届いていた。

「弊社では、過去、3,000社様以上ご支援させていただいており、『規定改定』『社内教育』『内部監査』等、Pマークご更新完了までまるっとサポートさせていただいております。」

もしこの数字が事実であれば、プライバシーマークの使用許諾を受けた事業者は現時点（2025年6月）で18,000弱だから、だいたい 1/6 の事業者がこういうサービスに「まるっと」丸投げして、自社ではぜんぜん規程も帳票も整備せずに、プライバシーマークの現地審査はコンサルに応対させていることになる。もちろん、これは認証制度に対する冒涜だし、認証機関に対する詐欺であり私文書偽造罪にもなることがあろう。そして、仮に3,000という数字が現在までの延べ数だとしても、こういうサービスを謳っている会社は他にもあるので、僕の雑感では少なく見積もっても半分以上の事業者が、実際には自社の従業員によって規程類や帳票類を整備しておらず、プライバシーマークの現地審査にも出ていないと思う。

それでも大きな問題が起きないのは、現実的なことを言えば、たとえば社内で社員や顧客の個人データがどれほど杜撰に扱われていようと、たいていは問題にならないからである。弊社でも過去に、従業員数が50名を超えていた頃だから10年以上も前になるが、従業員数が50名を超えるとストレス・チェックを社員に受けてもらう義務があるので、弊社でもオンラインでアンケート形式を採用したチェックのサービスを利用したことがある。だが、事前のチェックや稟議もないまま勝手にサービスの事業者が決められて実施されてしまったのであった。僕も社員の一人として、ストレス・チェックのアンケートを受けるサイトにアクセスしてみたところ、なんと HTTPS 接続ではなかった。こんなサービスで HTTPS 接続もしていないフォームから機微の情報を送信させるなんてことは許容できないので、僕はチェックを無視して人事担当に「これは駄目だ」と言って、ストレス・チェックのサービス提供会社を替えさえせたことがあった（もちろんだが、その事業者は個人データの運用を担うにあたって必要最低限の安全管理措置を怠っていると考えて、JIPDEC に通報した）。もちろん、これはお恥ずかしいことだが僕の日頃からの教育ミスでもある。会社で誰にも相談せずに事業部担当者の判断でサービスを導入するのは、そもそもそれが有料のサービスであればなおさら（無料のサービスを勝手に業務で使うのは「シャドウ IT」と言って、これも脆弱性の原因になるが）、稟議を通さずに会社の金を使う契約を交わしていることになるので、経理上のルール違反であるし、状況によっては背任を疑われるようなことだ（たとえば契約してお金を払う相手が社員の知人や家族の会社だったりする場合）。それでも、こういうことは正直に言えばたいていの会社で起きているし、大した問題にはなっていないのである。そのストレス・チェックの会社から保険会社に誰が鬱病の予備軍なのかという情報が漏れたりするかと言えば、そういうことはないわけだ。また、たいていの従業員は研修を受けていても HTTPS 接続でないことに何の疑問も感じない。実際、世の中で提供されている殆どのサービスは凡人が考えて運営したり提供し、そして利用したり享受しているのであり、凡人どうしの相互関係なんてものは、結局のところ些細なことの積み重ねなのである。

しかし、これは MarkupDancing の方では昔から言ってきていることだが、それゆえにわれわれ凡人が積み上げるリスクというものは低減させることが極めて難しいし、ひとたび point of no return を超えると誰にも何ともできなくなる。その最たるものが戦争であろう。敢えていうが、こういう凡人が積み上げる愚行や愚昧な習慣の蓄積に対しては、ブ男が勉強がどうのと喚こうと、四国の元役人がサバイバル哲学を叫ぼうと、あるいはドゥルーズやスピノザを箱庭趣味的に読んでいるだけの中動態がどうしたなどとくだらない紙くずをやまほど刷ってばらまく人間が続々と都内に増えたところで、哲学なんて無力である。