もっと身近にセキュリティ

「マネジメントシステム」を解きほぐす

▼Pマークを取得しているから安心?
お客様に自社のセキュリティを訴える際、「Pマーク持ってます」「ISO取っています」と言うのは簡単です。では、Pマーク(JAPiCOマーク)やISOを持っていることがどうしてすごいのでしょうか。はたしてお客様にアピールできることなのでしょうか。自分の会社が情報セキュリティ・個人情報保護に関して具体的にどのような活動をしているか説明できますか?
最初に、Pマークの認証機関であるJIPDECの説明を確認してみましょう。

プライバシーマーク制度は、日本工業規格「JIS Q 15001:2006 個人情報保護マネジメントシステム̶要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備・運用している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動においてプライバシーマークの使用を認める制度です。
プライバシーマークの付与は、法律の規定を包含するJIS Q 15001:2006に基づいて第三者が客観的に評価する制度であることから、事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを社会にアピールする有効なツールとして活用することができます。
(引用者太字)

注目すべき単語が出てきました。「マネジメントシステム」です。Pマークを持っている事業者は、「個人情報保護マネジメントシステム」を確立しているらしいのです。「個人情報保護」の意味は分かりますね。それでは「マネジメントシステム」とは一体何でしょうか。

▼「マネジメントシステム」って何?
何やら格好良さそう(?)なカタカナ語です。「Pマーク持ってます」より「個人情報保護マネジメントシステムを構築しています」と言った方がすごそうに聞こえるかもしれません。しかしせめて「マネジメントシステム」の意味を理解して使いたいものです。「マネジメントシステム」とは、次のように理解できます。

マネジメントシステム:組織が方針及び目標を定め、その目標を達成するためのシステム
(経営管理の仕組み)

どうでしょうか。あたりまえのこと、と思いませんか。程度の違いはあれど、どんな組織にもありそうではないでしょうか。例えば、経営方針、組織体制、就業規則、業務分掌、職務権限、賃金管理、人事考課・・・このような仕組みは、いわばすべて「マネジメントシステム」です。

あらゆる会社は何らかの「マネジメントシステム」を備えています。その意味で、「マネジメントシステム」の成熟度は会社の経営管理の成熟度を表していることになるわけですが、Pマークを持っていることで「個人情報保護マネジメントシステム」の成熟度が高く、セキュリティレベルが高いと主張できるのでしょうか。

▼マネジメントシステムを「回す」
結論から言うと、Pマークを持っているからといって「個人情報保護マネジメントシステム」の成熟度が高いとは言えず、まして「セキュリティレベルが高い」ことの根拠にはなりません

PマークやISOというのは、会社が認証審査基準を満たしていることを審査機関が認めて発行されるものです。会社が新たにPマークなどの認証を取得するということは、その会社が回しているマネジメントシステムが外部の基準(Pマークの場合JIS Q 15001)を満たしていることが確認されたことを意味します。認証取得のための審査は書類審査だけでなく、実態が確認されますから、認証を取得するだけでも一定の信頼性の証明として活用できます。しかし、それはマネジメントシステムの仕組みが「回っていること」を証明するもので、「レベル」を評価するものではありません。

マネジメントシステムを回すことは、会社としてPDCAを回すことであり、即ち以下を運用することがマネジメントシステムを構築することを意味します。

  1. 経営のコミットメント
    ・経営として方針を掲げ、必要な資源(人・物・金)を割り当てることを宣言すること
    ・必要な組織や役職、権限等を設置し方針の実行ができる枠組みを整備すること
  2. Plan(計画)・年次や半期など、一定の期間を設定し計画を策定すること
    ・計画は達成評価ができる設定とすること(定量、定性問わず)
    ・計画は承認され実行されること
  3. Do(実行)
    ・承認された計画を実行し、マネジメントシステムを運用すること
    ・実行結果は適宜記録(委員会等への進捗報告でも可)されること
    ・定期的に状況がチェックされ計画とのギャップが生じれば計画修正など調整されること
  4. Check(評価)
    ・計画の進捗や実行状況、マネジメントシステムの運用状況を定期的に点検すること
    ・点検と監査は別物。点検は自主的な活動、監査は組織的な活動
    ・最上位はマネジメントレビュー
  5. Action(改善)
    ・Checkの結果を受けて、改善のための行動(ルール改定や運用改善などすべての改善 活動含む)を実施すること
    ・最上位はマネジメントレビューによるマネジメントシステムの骨格自体を変えることも含む

▼認証を取得することの意味
先ほどの「マネジメントシステム」の説明のとおり、会社には個人情報保護以外にも既に「マネジメントシステム」がありますから、Pマーク基準は新たに組織に取り入れることになります。もちろん「マネジメントシステム」の基準や参考となるのは、JISやISOに限られるわけではありません。

マネジメントシステムの基準:他社制度、ISO、ガイドライン、事例(組織に必要ならうまく活用)
マネジメントシステムの構築:仕組みを社内に取り入れるということ

「マネジメントシステム」は、組織の経営管理の仕組みをより良くするために選択して、自社に合わせて活用してこそ意味があります。例えば、ISOはグローバルに洗練されたベストプラクティス(最良の事例集)です。マネジメントシステムの価値は、そういった外部の基準をただなぞるのではなく、自分たちのために使い倒してこそ発揮されます。
イメージとしては、PC(会社)のOS(経営管理基本システム)の上に新しいアプリケーション(特定分野特化システム)をインストールして、カスタマイズして使い込む感じでしょうか。

単純にPマーク取得を目指して取得する、ではなく、自社の個人情報保護マネジメントシステムを強化するための一つの基準としてPマーク基準を活用して、実力をつけた結果としてPマークの取得も達成する。これが望ましいのではないでしょうか。
Pマークを水戸黄門の印籠のようにかざしていても、実態として、もし個人情報漏えい事故を起こしてしまえば信頼は失われてしまいます。また、今となってはPマークは「持っていて当たり前」という認識が広まっていますから、形式ではなく実態が問われていると言えるでしょう。

「個人情報保護マネジメントシステム」や「情報マネジメントシステム」の他に、「品質マネジメントシステム」などもすべて前ページのPDCAを回すことが基本です。ただし、あくまで基本の枠組みでしかないため、「Pマーク持っています」だけではほとんど何もアピールできていないに等しいかもしれません。
重要なのは各社独自の具体的な取り組みですから、お客様に「Pマーク 」持っていますと言うだけではもったいないですね。マネジメントシステムの中で行われている具体的な取り組みを説明できるようにしておきたいものです。