Pマークには存在しない要求事項

プライバシーマーク（Pマーク）はJIS Q 15001という国内の工業規格の一つに準拠しています。ISOという国際的な規格に準拠しているわけではありませんが、それでもプライバシーマーク（Pマーク）の要求事項の多くはISOの規格群に準じたものであることが見て取れます。

方針を定めること、リスク分析を行うこと、教育を実施すること、監査や代表者の見直しを行うことなど、プライバシーマーク（Pマーク）主要な要求事項のほとんどがISO規格でも一般的に要求されていることなのです。

ところがISO規格群では共通して要求されているのにJIS Q 15001では要求されていない大きな項目が一つあります。「目標達成の計画策定」という項目です。

「目標達成の計画策定」とは平たく言うと、「目標とそれを達成するための方法を定め、目標を達成しましょう」というもので、そのプロセスによって最終的に成果のある取り組みを実現していこうという活動です。

ISMSにはあってPマークの規格にはないもの

一例としてISMSの規格であるISO27001を見てみますと、規格書の6.2項に「情報セキュリティ目的及びそれを達成するための計画策定」という項目が組み込まれていて、そこでは目標の決め方や取り組み方の大枠が指示されています。

ですのでISMSを取得したければ会社で必ず情報セキュリティに関する何かしらの年間目標などを立て、それに向けて活動していなければならないわけです。この活動がまるごと欠落していると取得審査や更新審査に通ることができません。

実のところ目標達成の取り組みはISO27001（情報セキュリティマネジメントシステム）だけでなくISO9001（品質マネジメントシステム）やISO14001（環境マネジメントシステム）でも求められています。

ないのは良いこと？

一方のプライバシーマーク（Pマーク）では目標達成の要求事項が存在しないということですが、これは良いことなのでしょうか。どうなのでしょうか。

個人的には一長一短あると思います。

ISO規格群がこぞって目標達成を要求事項に含めているのにはそれなりの理由があるわけで、その理由とは、具体化された定量的な目標を設定したうえでPDCAのサイクルをまわすことで、真に価値のある活動を実現していくためということでもあります。

もし明確な目標達成の取り組みがないと、場合によっては目的のぼやけた運用に終始してしまうおそれもあります。もっともこれが落とし穴になるかどうかは各プライバシーマーク（Pマーク）取得会社の取り組み方次第でしょう。

このような弱点がある反面、目標達成の要求事項が存在しないプライバシーマーク（Pマーク）の規格には利点もあります。

Pマークの規格の利点

ややもすると目標達成の取り組みはそれ自体が目的化し、業務とは関係のないところで運用され、かえって業務の負担を増してしまうというおそれがあります。そんな目標ならむしろ立てないほうがましです。

この点、目標達成を要求事項に含めなかったJIS Q 15001は非常に現実的で現場主義であると評価することもできるのではないでしょうか。

まとめ

もちろんプライバシーマーク（Pマーク）取得会社が自主的に自社の個人情報保護に関する年間目標や部門ごとの目標を定めて運用することは決して間違いではありません。

目標を立て、それに向けて取り組むことが会社の個人情報保護マネジメントシステムの向上につながるのであれば、それ以上にすばらしいことはありません。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】