プライバシーマーク運用代行は不正・虚偽につながる!



プライバシーマーク運用代行は不正・虚偽につながる!



◇Pマーク運用代行業者には注意が必要です

プライバシーマークを取得するとき、或いはプライバシーマークを更新するとき、『 企業に代わってプライバシ
ーマークの100%運用代行を引き受けます 』と謳ったプライバシーマーク運用代行請負業者がいます。この
種の運用代行サービスに対して、企業によっては、業務の多忙軽減策、或いは業務スタッフの不足解消策
の一つとして、とても便利なサービスだと勘違いし、飛びついてしまうケースが伝え聞かれます。


◇企業自らが運用実施した結果が審査される

そもそも、プライバシーマークの認定審査は、個人情報の保護について一定の基準を満たし運用している企
業に対して認定を与えるということが基本であって、審査機関は認定申請企業が実践・実行している状況を
審査することになっています。このような企業での実践・実行は、企業組織の構成員である従業者によって実
施されたことが審査の対象となります。従って、この実践・実行は、企業外の第三者が代行して実施したも
のは、審査の対象とすることはできません。


◇運用代行では実技を体得できない

一般に、コンサルティング支援を提供するときは、コンサルティング会社がその専門知識を駆使して「実践・
実行の理論」を企業の従業者に教えてから、企業の従業者自らが「実践・実行の実技」を実地に体得するこ
とになります。すなわち、この「実践・実行の実技」は、企業外の第三者が実施しても、その企業による「実践・
実施の実技」にはなり得ません。その企業による「実践・実施の実技」は、その企業組織の構成員である従
業者自らの主体的な実施なくして「実技」として身に着けることはできません。決して、「運用代行サービス」に
よって体得できるものではありません。


◇虚偽の申請をしたことに対する処分

もしも、このような「運用代行サービス」の結果をもって申請が行なわれ、審査が実施されたとしたら、それは
、「運用代行サービス会社がプレーしたもの」を「申請企業が実施したものとして偽って」、審査機関に対し審
査申請がなされ、その結果、申請企業の実施を伴わない運用代行サービス会社がプレーした結果が認定さ
れることとなり、その認定結果が申請企業に「受け継がれる」という構図になります。すなわち、「審査機関に
虚偽の申請を行なった結果の認定」ということです。もちろん、この“からくり”が発覚すれば、申請企業はそ
の時点で、それ相応の処分を受けることになります。
プライバシーマーク制度では、申請に際して、その申請事業者がプライバシーマークの取得・更新の有資格
事業者であるか否かの審査をします。もし、申請時点で又は審査中において欠格事業者であることが判明す
れば申請受付を拒否されるか、或いは審査打ち切りとなります。


◇認定審査申請者としての責任と義務を負う

プライバシーマークのコンサルティングにおいて、「申請業務の代行を依頼する」、「運用の支援を依頼する」
、いずれの場合も、「実施することに関する主体」は、認定を得たいと希望する「企業」であり、「企業」は「主体
であることの立場」や「主体としてやるべき基本的な義務」から逃れられません。そうである限り、企業は自己
の必須の実施作業無くして、自己に代わってプライバシーマークの運用代行を請け負う業者にその作業を丸
投げしたり、現地審査への立会いを依頼する“なりすまし”受審を行なうことの必要性などないはずです。コン
サルティングを外部業者に依頼する場合、自ら申請者として、また受審者としての責任と義務を負う自覚が
必要です。


◇Pマークの自力的自立的維持と運用の基礎を築く

「Pマーク取得作業を100%代行する」や「現地審査に立ち会う」などを謳うプライバシーマーク・コンサルティン
グ会社まがいの「運用代行業者」の存在は、従前より問題とされてきました。プライバシーマークを取得する
申請者又はそれを更新する申請者は、その企業組織内で、個人情報保護マネジメントシステムを運用するこ
とが要求されています。もしも、コンサルティング会社を名乗る業者が「Pマーク取得作業を100%代行する」、
「現地審査に立ち会う」などと言って、運用代行や審査立ち会いを請け負って、認定を得たならば、その後の
運用は全て「運用代行業者」に永遠に依存しなければならないような企業体質を植え付けることになる上、将
来の自力・自立のプライバシーマークの維持・運用の機会を遠ざけることになります。


◇Pマーク付与機関が実施した処分事例

前述した通り、企業組織内で個人情報保護マネジメントシステムを運用することがプライバシーマーク制度で
要求されています。「Pマーク取得作業の100%代行」や「現地審査への立会い」などを標榜するコンサルティ
ング会社まがいの業者を使用した結果、その不正・虚偽が審査において露見し、処分された実際の事例を
参照してください。プライバシーマークの付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC
)の当該判断はそういった実直さの欠如した手法に対して断固たる姿勢を見せたものと言えます。


◆ 実際の処分事例 ◆
 一般財団法人日本情報経済社会推進協会(JIPDEC) プライバシーマーク推進センター プライバシーマーク事務局

 平成26年11月14日 <虚偽の内容で審査申請のあった事業者に対する措置について
 http://privacymark.jp/news/2014/1114/index.html