2005年4月の個人情報保護法の本格施行まで、わずかとなった。担当者の中には、「万全の体制を整えるために何から手を付けたらよいのか」と思案されている方もまだまだ多いようだ。個人情報保護の担当者として会社から突然任命されたような方はなおさらだろう。

　個人情報保護法の本格施行もさることながら、経営者の中には、「我が社は、大丈夫か」と個人情報の漏えいを懸念されておられる方も多い。一刻も早く万全の体制を整えることを望んでおられる。

　そうした懸念や企業が取り組むべき課題について明快な解を与えてくれるものがあるとすれば、それは「個人情報保護監査」である。今回は、個人情報保護監査について解説するとともに、その有効性について考えることにする。

個人情報保護監査

　個人情報保護監査という用語は、聞き慣れていない方が多いかもしれない。プライバシーポリシーに沿って、個人情報が適切に運用されているか、法律に違反して個人情報が過去に扱われていなかったか、について、第三者が監査し意見を述べるものだ。

　米国では、「プライバシー監査」と呼ばれ、盛んに実施されている。プライバシー権の侵害を理由にした集団訴訟が、企業経営にとって無視できない大きなリスクの一つになっていることが、米国のプライバシー監査制度の背景にあるようだ。

　米国では、専門的な知識を備えたプライバシー監査人の養成も行われている。IBMをはじめとした大手企業が、プライバシーの保護に関するコンプライアンスを確実なものとするためチーフプライバシーオフィサー（CPO）を配置していることは、よく知られている。CPOに正確な現状を伝える役目を負うのがプライバシー監査人である。

　日本企業が、同じような制度を必要とする時代も近いだろう。多国籍に展開している企業の場合は、消費者からの思わぬクレームに足もとをすくわれないためにも、さらに必要性が高いだろう。

プライバシーマーク審査との違い

　情報セキュリティを向上させる取り組みを組織的に行っていることを第三者が証明する制度として、我が国には「情報セキュリティマネジメントシステム（ISMS）適合性評価認定制度」がある。一方、個人情報の保護に取り組んでいる組織であることを第三者が証明する制度として、「プライバシーマーク制度」がある。いずれも外部の審査機関による審査に合格すれば、ホームページや名刺に認証ロゴ（マーク）を表示することができる。

　これらの認証取得を目指す企業が、最近、急増している。相次ぐ個人情報漏えい事件を背景に、「個人情報の保護やセキュリティに積極的に取り組んでいる企業としての姿勢を消費者にアピールすることができる」との発想からだ。

　ここで思い違いをしてはならないのは、「認証取得」＝「高い安全性」ではないという点である。もちろん、「完璧なコンプライアンス」を保証するものでもない。「ISMS適合性評価認定制度」も「プライバシーマーク制度」も、マネジメントシステムが機能していることを審査するものであって、「高い安全性」が確保されているかどうか、「完璧なコンプライアンス」が実践されているかどうか、について審査するものではないのだ。

　マネジメントシステムが機能しているかどうかとは、開催するべき会議を開催している、記録として作成すべき書類を作成している、ということにすぎない。プライバシーマーク制度を例に取れば、審査は半日、最長でもたった1日の現地調査が実態である。その費用も小規模事業者2万1000円、大規模事業者10万5000円と決められている。形式的な審査手続きしか行えないことは、審査費用から見てとれる。消費者が審査の実態を知れば、認証を取得する意味も薄れるだろう。

　経営者は、「認証」の意味を消費者以上に正確に理解しておく必要がある。「認証」を過信することは、禁物だ。

　そこで、個人情報保護監査が必要になってくる。個人情報保護監査は、個人情報の取り扱いに関する社内手続が順守されているか、漏えいなど情報セキュリティの観点から不備はないか、順法という観点から問題はないか、といった三つの視点から、業務監査の一環として「現場」に対して行う監査である。

「解」としての個人情報保護監査

　通常の会計監査と同様に、個人情報保護監査にも内部監査、外部監査の別がある。個人情報保護法の本格施行を前に「何を行わなければならないか」、「我が社は、大丈夫か」との疑問や懸念に答えるのが、外部監査としての個人情報保護監査である。

　個人情報保護や情報セキュリティに関する専門的な知識と経験を備えた外部監査人の監査を受けると、山のような指摘がなされることが確実だ。だが、そこで指摘されたことのすべてが、その企業が取り組むべき課題であり、現状のセキュリティレベルを表しているのである。

　個人情報保護監査は、被監査組織の規模にもよるが、通常は1カ月から3カ月程度の期間を掛けて行なわれ、監査報告がなされる。一刻も早く個人情報保護監査を受け、課題を明らかにして、優先順位を付けて課題解決に取り組むことこそが、個人情報保護法の施行を目前にした今、いちばん急がれるべきことではないだろうか。

経営者の意識改革のためにも監査報告が生きる

　個人情報の保護や情報セキュリティに取り組んでいる企業や自治体で耳にするのは、「現場では大変な危機感があるのに、経営者が理解しない」という嘆きである。経営者の理解がなければ、人も予算も付かないのは明らかだ。

　個人情報の保護や情報セキュリティの向上は、一朝一夕に叶うものではない。経常的な取り組みとして位置づけ、必要な経営資源を確保するためにも、外部監査としての個人情報保護監査に一度チャレンジしてはどうだろうか。経営者に対する直接の監査報告が、経営者の意識を大きく変えるきっかけを与えてくれるかもしれない。経営者の意識改革をうながすことは、担当者自身の評価にもつながるはずだ。

　先月、当社の通信関係のお客様に対する個人情報保護監査報告会があった。担当役員が出席されるとのことで、私も出席したところ、なんとその席には社長はじめ副社長ほか、関係する役員の方が勢揃いされていたのに驚かされた。社長自ら監査結果について詳細な質問をされるなど、経営陣の関心の深さを見て取ることができた。この企業では、将来にわたって大量の個人情報の漏えい事件などは起こらないだろう。個人情報保護や情報セキュリティの向上に取り組まれる担当者の方々が、これからも気概を持って取り組んで行かれるであろうことを確信した監査報告会だった。

　昨年から始まった連載ですが、あっという間に第18回まで書き起こしました。この間、連日のように個人情報の漏えい事件が報道されるなど、改めて問題の大きさを認識させられました。

　一方、メディア規制法と揶揄（やゆ）された個人情報保護法。最近では、こうした批判の声はすっかり聞かれなくなりました。むしろ、個人情報保護法に対する理解が進むにつれて、むしろ「こんな法律で大丈夫か」と危ぶむ声も聞かれるようになっています。

　個人情報の問題を語るとき、個人情報を扱う「企業人」しての立場と、自分自身もまた個人情報を企業に扱われる「個人」としての立場があります。そして両者には、利益が相反する面が必ずあります。こうしたときの判断の拠り所となるのは、「自分がされたくないと思うことは他人に対しても行わない」ということ。すなわち、個人情報保護法の第3条に示された基本理念、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」だと思います。

　個人情報保護を「企業人」として担当される皆さんが、法律の解釈などで、もし迷われるようなことがあったら、この理念と照らし合わせて判断することが最も重要なことだと思います。

　連載は、今回にて終了します。この連載が、少しでも読者の皆さんのお役に立てていれば幸いです。最後までご愛読いただき、ありがとうございました。