少し前に
コレ書いたけど、殴り書きのようなので、改めて0から書くことにした。
基本的にはかぶる内容が多くなるけど、あしからず。
このことについて始める前に、Pマークとは何かについて改めて確認してみると、JIPDECのホームページには、次のように書かれてます。
「プライバシーマーク制度」のことで、事業者が「個人情報」を「基準」に沿って適切に取り組んでいるかを評価し、適正と判断した事業者を認定する制度です。
その基準は、日本工業規格(JIS)の「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」です。
参照:プライバシーマーク制度の認定基準とは?
http://privacymark.jp/wakaru/kouza/theme2_03.html
ここにはポイントとなる2つのことが書いてます。
1つ目は、『事業者を認定する制度』であるということ。
2つ目は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。
ひとつずつ見ていきましょう。
まず、1つ目の『事業者を認定する制度』についてです。
個人情報保護に対する取り組みを評価するのですから、どこかの機関が認定を受けたいと思っている企業がきちんと取り組んでいるかを審査(外部審査)する必要があります。
審査する機関はどのようにして決めていくのか、ざっくりと説明すると、
『JIPDECが定めに従って、審査ができる団体であるかの審査を行い決めています』
このことによって、企業と審査機関、JIPDECには次の構図が成り立ちます。
この関係が成り立つことで、審査機関は常にJIPDECの監視を受けながら、正しい審査を行う義務を負います。
また、多数ある審査機関のなかで審査内容や判断基準にバラツキが起きないようにJIPDECが指導を行うことで、企業はどの審査機関で外部審査を行っても同じ審査結果になることが見込まれています。
実は、Pマークには、ここに最大の問題点があります。
『プライバシーマーク付与事業者一覧ページ(
http://privacymark.jp/certification_info/list/clist.html)』で、適当に検索してみてください。
『審査機関』の項目に『JIPDEC』と書かれているのが確認できると思います。
つまり、上の図がこのような形になります。
JIPDECが審査した企業に対して、認定機関であるJIPDECが企業を認定しています。
一番の問題点なのは、『JIPDECの審査結果の正当性判断が不適切である』ということです。
具体的にどう不適切なのか規約を見てみましょう。
審査機関の遵守すべき規約から抜粋してみました。
――――――――――――――――――――――――――――――――――――――――
「プライバシーマーク指定審査機関の指定に関する規約」
6.4 付与適格性審査及び付与適格性の認否の決定
~前略~
審査機関は、申請者と直接の利害関係のある者を、当該申請者の審査又は付与適格性審査の手続きに関与させてはならない。
~後略~
――――――――――――――――――――――――――――――――――――――――
この条項では、
「利害関係者が審査を行ってはいけません」
ということが書いています。
――――――――――――――――――――――――――――――――――――――――
「プライバシーマーク指定審査機関指定基準」
第4条
付与機関は、公益社団法人、公益財団法人、一般社団法人、一般財団法人その他日本の法律に基づいて設立された非営利の法人(以下「団体」という。)で、プライバシーマーク付与の適格性の審査にかかわる業務(以下「審査業務」という。)を適格に実施する能力があると認められる者を、審査機関として指定することができる。
~後略~
――――――――――――――――――――――――――――――――――――――――
この条項では、
「JIPDECが審査をして認めた団体が、審査機関としてしていされます」
ということが書いています。
『審査機関JIPDEC』は、『認定機関JIPDEC』から『審査機関として指定』されているんですね。
『企業』と『審査機関』の間では『利害関係者が審査を行ってはいけない』と言っておきながら、『審査機関』の審査を確認するはずの『JIPDEC』が、『利害関係者』から上がってくる審査報告を受けて『認定を交付している』という矛盾を抱えています。
長くなってしまったので、次は次回!
今回のまとめ
JIPDECは審査をするな!
