ISOやプライバシーマークはマネジメントシステム規格と呼ばれます。
マネジメントシステムとは、「方針及び目標を定め、その目標を達成するためのシステム」と国際的に定義されています。
ISO9001では品質方針と品質目標、ISO14001なら環境方針と環境目標(目的)を設定します。
設定する目標は組織の状況によって異なります。目標を達成するための対策も、設定する目標によって当然異なってきます。
ところが、プライバシーマークにはこの常識が通用しません。
プライバシーマークでは個人情報保護方針を設定するものの、個人情報保護目標は設定しません。設定する以前に目標に関わる規格要求事項が一切存在していないのです。
目標設定・達成という概念が欠如しているにもかかわらず、なぜプライバシーマークは自らを「個人情報保護マネジメントシステム」などと名乗ることができるのでしょうか?
私には、「プライバシーマークの目標は“個人情報漏えい事故の未然防止”すなわち“事故ゼロ”であり、これは全事業者共通の目標である。こんなことは明文化せずとも当然のことである」という考えがあるように思えてなりません。
目標がどの組織でも同じならば、目標達成のための対策も似たり寄ったりになります。
プライバシーマークでは、建前上は事業者の業種や規模、取り扱う個人情報の属性やボリュームによって安全管理対策は異なって当然としていながらも、実際の審査では一律の対策を押し付けがちなります。
その一因は、この“同一目標(=無目標)”という制度上の欠陥にあると思います。
本来であれば、組織の実情に即して目標が設定され、その目標の達成度合いによって、マネジメントシステムのパフォーマンスが評価されるべきなのですが、プライバシーマークにはそれがありません。
プライバシーマークは「個人情報保護マネジメントシステムの継続的改善」を掲げていますが、システムがどのレベルまで改善したかを判断するのに、目標設定せずして一体どのように行えと言うのでしょうか?
現状の制度では、結局のところ事業者の事情はさておき、安全管理対策を未来永劫コツコツと積み重ね続けることが求められるのです。
