概要
企業からの相継ぐ情報漏洩により、経営者は情報セキュリティに対応するIT統制の仕組み作りを強く要求され、多くの企業が個人情報保護法に対するコンプライアンスプログラム(CP)やプライバシーマーク(Pマーク)制度に取り組んでいる。 Pマーク制度は、2006年から、ISO9001と同じマネジメントシステム(PMS)へと大きく変化した。このため、各企業はCP体制構築や内部規程整備から、更にPDCAサイクルに基づく改善を目指した仕組みを構築する必要がある。 Pマーク審査員の目から、Pマーク制度の要件とマネジメントシステムの効果的な構築を考察する。
本掲載の最後にあたって、Pマーク制度をより有効に、実効性のあるものとして活用していく方法について考えます。
Pマーク制度の現状に見る問題点
「Pマーク制度」というもの自体は、一般の消費者にあまりなじみのないものですが、そのバックグラウンドである個人情報保護法に関しては、最近厳しい目が向けられている感じがあります。社内報が発行されない、学級連絡網が配布されない、入院患者の病室へ案内されないなど、「個人情報保護法」を理由とした不便に不満が高まっていたところへ、「消えた高齢者問題」が取りざたされるに至り、「個人情報保護法」が行政セクションを超えた高齢者の安否確認を阻んでいると大きく報じられたことが一つの原因でしょう。もちろん見直すべき点はあるでしょうが、それ以前の問題として、法の解釈と運用のしかたについて十分な議論を尽くさないまま、やたらと恐れて過剰反応したり、最悪の場合は手抜きの言い訳に利用したりするなどして、悪法の汚名を着せている部分もあるのではないでしょうか。
過剰な適用による社会サービスの低下の一方で、消費者からみれば、個人情報保護法の遵守を明らかに示し安心して利用できる企業は、まだ少ないと思われます。JIPDECでのPマーク登録数は、第1回のこの掲載時には、11,363社と記述しましたが、現在では11,684社と4カ月で321社が新規に登録したことになります。しかしながら、個人情報取り扱いに最も慎重であるべき銀行を見てみると、全国(外国銀行を含めて)203行のうちPマーク認定はわずか8行に留まっています。クレジットカードなどを取り扱う貸金業者を見ても、平成19年度で11,832社(金融庁統計による)あるうち、Pマークの認証をうけている企業は67社で、大部分は子会社など委託企業が代わりに認証を受けているのが現状です。Pマーク制度は、個人情報を取り扱う企業や自治体に法の順守を求め、その取り組みを認証することによって消費者に明示するものですから、もっと利用されるべきものであると考えます。
問題点の中で最も速やかに対処が求められるものは、Pマーク取得後の企業が個人情報保護活動を形骸化させずに有効な活動を続けているかということです。Pマークの認証を受けた後の取り組みは企業の任意性に任されているため、最近の経営環境の悪化に伴って活動を停滞させている企業もあるようです。認証を受けた企業による事故も起きており、例えば9月17日には、Pマーク認定を受けた金融系企業で、問い合わせへの返信メールの誤送信により顧客のアドレスを流出させるということがありました。このようなことが起きれば、Pマーク制度の信頼性にも疑問がでてきます。そこで、なぜこのような問題が起きるのか、どう対処していくべきかを次節で考えていきたいと思います。
Pマーク制度と他の認証制度の違い
Pマーク取得後の企業で活動の形骸化を招く要因の一つに、制度そのものの持つ特性があると思います。それは、Pマーク制度が、社会からの要求である法の遵守、すなわちコンプライアンスを実行するという側面と、PDCAサイクルにより自らが問題を改善するマネジメントシステムの側面を併せ持っているということです。短く言えば、上からの強制力と、下からの自発的な活動の合体によって、一つのものとなっているということです。そのために、そのかみ合わせがうまくいかないと、強制力の及ばない部分と、自発性の不足する部分が出てきて、隙が生じることにもなりかねないのです。
ISMSや長年の改善活動の歴史があるQMSなどのマネジメントシステムに基づく第3者認証制度と比較すると自発という点での動機が弱く、また、上場企業では内部統制活動を株主に報告する義務があるのに対して情報セキュリティにかかわる内部監査の公表は義務ではなく任意であるという状況があります。
今までも述べてきましたが、Pマーク制度とは、JISQ15001に基づいて、OECD8原則と経済産業省がガイドラインとする情報セキュリティ対策を実行し、それに加えてISO9001で始められたPDCAによるマネジメントシステムを組織的に活動させているかどうかを審査する制度です。法の遵守と自発的な活動のスムーズな一体化が、実効性を高める要といえるのです。
Pマーク制度のPDCAを考える
隙を作らないスムーズな一体化を目指すためには、ありがちな問題点をPDCAサイクルにそってチェックしてみる必要があると思います。たとえば以下のようなチェックポイントが例としてあげられます。
P(プラン):コンプライアンスを社会からの要求という広い視野で捉えないで、顧客あるいは経営者からの要求と狭く捉えていないか。経営者や外部から押しつけられた活動計画を鵜呑みにして、とりあえず言われた通り問題を起こさないようにすればよいと考えていないか。
D(実行):総務部や品質保証部といった特定の部署や一部の担当者だけが活動を行っていないか。Pマークの取得のみを目的として審査のためだけの形式を整えていないか。言われたことだけを無自覚的、惰性的に行っていないか。
C(チェック):無難なルーチン作業として行っていないか。批判や評価だけのためだけに行っていないか。全体との兼ね合いを無視して該当部分、該当項目だけのチェックを行っていないか。
A(改善):一部の担当者や経営者からの一方的に押し付けになっていないか。 改善のプロセスに貢献しているという意識を全社員が持ちえているか。
Pマーク活動の特徴は、トップダウンとボトムアップの一体化ですから、役員も、パートも全員参加で行わなければならないものです。全員が情報セキュリティに関するコンプライアンスを維持するという意識と知識を持ち、立場や部署を超えた協働のもとで行ってこそ、実効性あるものとなるのです。そのための方法づけとしての一案を、次節で提案したいと思います。
全員参加のリスク分析活動のすすめ
全員参加のPMS活動を有効に行うためには、どのような方法があるでしょうか。ここでは、日常の企業活動の中で生じるリスクに対する気づきを、経営者からパート、アルバイトを含めた現場の従業員すべてから吸い上げる仕組みを作ることを提案したいと思います。
リスクは社内のどこにでも、企業活動のどのような局面にも発生しうるもので、それに対する気づきは、誰にでも起きます。例えば、棚に並べられた個人情報ファイルを誰がどのように使用し、そこにどんなリスクがあるかは、そこにいる者が一番よくわかります。それらを記録し、集約して整理し、体系的に対策を立てて共有する仕組みを作ることは、リスク管理として有効であると考えます。
次のような手順で段階的にリスク管理を行う中で、すべての従業者の経験、視点、アイデアを取り込んでいく仕組みを、企業の実情に合わせ創出していけばいいのではないでしょうか。
①社のPMSがどうあるべきかをリスク管理の仮説として設定する
②仮説を証明できそうな事実を集める
③仮説と事実から全体を総合的に説明できるように対策を組み立てる
④リスク分析を複数の視点から行い、さまざまなリスク管理の案を独創的に盛り込む。
⑤リスク管理方法の細部を詰める
⑥他のリスクマネジメントの手法を援用したりそれとの整合性を検証したりしながら、適用範囲の拡張と普遍化を行う
⑦結果を最初の仮説と照合し、仮説と現実との整合性を点検し、確認する
これは状況を読みつつ状況に適応していく中で、自分の最適行動に創意工夫を加えながら決めていく経験的実践哲学に基づくものです。
おわりに
PMSの目的は、いうまでもなく個人情報漏洩などの情報セキュリティ事故を起こさないことですが、トップダウンとボトムアップを組み合わせた活動に全社で取り組むことにより、企業の活性化にも役立ちます。経営者がトップダウンで指導することは、目標を素早く達成する良い面があり、一方、現場の気づきから仮説を生み出し、事実を集めて検証し対策を決めていく手法は、社員の参加と貢献を促します。
現場の活動としての創意工夫を盛り込んだプラン、全員による意識的な実行、単なる批判のための点検ではなく他との協働を組成するためのチェック、経営者が社員の創発的な成果を認めた上で次への展開を決定する改善というPDCAサイクルを回す機会を、企業に提供することができるのです。
Pマーク制度は、法律と標準が混在した新しい形式の企業活動と言えます。現在は経験年数が少なくまだ十分な成果がでているとは言い切れませんが、これからの企業の改善に十分役立つ手法です。消費者が安心して個人情報をゆだね安全に利用できる企業が増えるように、Pマーク制度の活用をこれからも一層促進していきたいものです。
IFRS/J-SOX
プライバシーマーク制度を考察する
企業からの相継ぐ情報漏洩により、経営者は情報セキュリティに対応するIT統制の仕組み作りを強く要求され、多くの企業が個人情報保護法に対するコンプライアンスプログラム(CP)やプライバシーマーク(Pマーク)制度に取り組んでいる。 Pマーク制度は、2006年から、ISO9001と同じマネジメントシステム(PMS)へと大きく変化した。このため、各企業はCP体制構築や内部規程整備から、更にPDCAサイクルに基づく改善を目指した仕組みを構築する必要がある。 Pマーク審査員の目から、Pマーク制度の要件とマネジメントシステムの効果的な構築を考察する。
連載一覧
筆者紹介
代表取締役 久野 茂(くの しげる)
日本電気株式会社(ソフトウェア生産技術の研究・開発に従事)および株式会社日本総合研究所(経営システムコンサルタントおよびソフトウェア開発プロセス改善に従事)を経て、現在は経営とITの橋渡しを専門とするITコーディネータ。
コメント
投稿にはログインしてください