連載
» 2006年04月18日 10時00分 公開

ものになるモノ、ならないモノ(8):Pマークは暗黒な大人社会の印籠以上になれるか?

「社内ブログ」「1ギガ」「D-Cubic」「Zigbee」「IPv6ブロードキャスト映像配信」「レイヤ2」「個人情報流出」に続き、今回は、プライバシーマークを取り上げる。 施行から1年、個人情報の意義はみるみるうちに変ぼうし、流出事件スキャンダルが後を絶たない。Pマーク取得直前のWeb制作会社と2000年にコンサルの助けを借りずに自力で取得したカレンを取材し、取得/運営ノウハウとその意義を考えた(編集部)

[山崎潤一郎,@IT]
インデックス

連載目次

施行以来、増加するPマーク取得企業と取得企業での情報流出事件

 個人情報保護法の施行から1年が経過した。リアル世界においては、病院、企業アンケート、ショールームの芳名録などで個人情報を記入する際、プライバシーポリシーを提示するところも多くなってきた。さすがに法律が制定されただけあり、意識しているところは、ちゃんとしている、といった印象だ。

 この法制定はプライバシーマーク(以下、Pマーク)関連の団体や業界にも多大な影響を与えたのは想像にたやすい。それまでなら個人情報保護などどこ吹く風といった低意識レベルの企業も、法律ができた→対策を打たねば→プライバシーマークというのがあるらしい、という3段逆スライド論法でPマークへの関心を向けるようになり、Pマーク取得支援業界(つまりコンサル系)もさぞ繁盛していることでしょう。

取得直前、Web制作企業、アイトランスポートのもくろみ

Web制作会社アイトランスポートの竹林竜哉社長 Web制作会社アイトランスポートの竹林竜哉社長
Webプロデューサー&ディレクター育成講座実施中

 そして、企業のPマークへの関心は、自ら取得して情報保護に励むだけではなく、下請け先への圧力にその領域を広げている点も見逃せない。実際、現在進行形でPマーク取得に奔走している、Web制作会社アイトランスポートの竹林竜哉社長は「ハッキリとはいわれないが、暗にPマークの取得を求められている」という。

 まあ、それも致し方ないのだろう。個人情報を扱う案件の仕事を下請けに出す場合、そこから流出でもしたら責任問題の火の粉は、元請けにまで降り掛かる。Pマークを取得しているところに仕事を出すというのは、自らを守る意味でも必要なことなのだ。

 ただ、Pマークを取得して運用するには、それ相応のコストが掛かるわけだから下請け側としても、そうホイホイとPマークにチャレンジするというわけにもいくまい。とはいっても、創立5年目で社員20人程度のアイトランスポートの場合、「Pマークの取得を成長の糧にしたい」(竹林社長)とポジティブにとらえる。

 理由はこうだ。需要はあるが新規参入も多いWeb制作会社において、「他との差別化を計り、単なる制作会社からの脱皮を目指すにはPマークは格好の武器になる」と目を輝かせる竹林社長だ。Pマークという“印籠”をフルに生かして、たたかれて単価が下がる一方の単なる制作業務から、個人情報を扱うより付加価値の高い仕事へとシフトするのが狙いというわけだ。

20人規模で100万円、業務フローの文書化ととらえれば安いもの?

 さて、アイトランスポートのような20人規模の会社からすると、Pマークの取得コストが気になるところ。できれば自分たちで勉強して、自主取得してしまえば、良いのだろうが、コンプライアンス・プログラムに関する業務規定書の文書化やマニュアル化は、「とても自分たちでは無理」(竹林社長)だと感じたそうだ。

 そこで、コンサルタント会社に依頼することにしたのだが、社内的な人件費などを除く支払いコストは「コンサル会社に約100万円」(竹林社長)とのこと。実は、当初見積もりを取った際、上は約250万円から下は約70万円まで複数の料金コースを提示された。

 「松」「竹」「梅」ではないけれど、コンサルにどの程度世話になるかによりその料金が決まる。ちなみに、「松」の250万コースは、「ほどんどお任せに近いレベル」(竹林社長)だそうだ。ただ、同社の場合「梅」に近いコースにしたのは予算的な部分だけを考慮したわけではない。

 竹林社長は次のように考えた。いきなり業務フローやマニュアルを渡されて、今日からこのとおりやりなさいという、専制君主型トップダウンでは、社員の反発も予想される。そこで、自分たちで実践し考えながら導入の準備を進めることで、参加意識と責任感を持ってPマークの取得プロジェクトを進めることができる、と。

 そして、もう一点、今回Pマーク取得の意義として、次のような理由も教えてくれた。アイトランスポートは、もともと小さな会社なので、業務フローのマニュアル化が行われていなかった。そこで、Pマークを取得することで、業務規定の制定やマニュアル化が同時に実施されることにもなるので、「良い契機だととらえているし、会社を成長させるうえで、必要なこと」(竹林社長)だという。

 ただ、特に専任者を置かず、業務の合間を見ながら自分たちで考えながら準備を進めている分、時間がかかるのは否めない事実で、昨年の4月から準備をはじめ約1年が経過している。「コンサルから渡されたひな型を見ながら、自分たちの業務フローを見直しながら問題点を洗い出し、分からない部分はその都度質問している」(竹林社長)というから、階段を一段一段上がるような感じでプロジェクトを進めている。

なんだPマークって意外と庶民的〜♪

結婚式の芳名帳のような入館記録ノートと壁には首掛型の入館証 結婚式の芳名帳のような入館記録ノートと壁には首掛型の入館証

 大変失礼な物言いになることを知りつつ、あえて言及させてもらうと、アイトランスポートの社屋は、エレベーターもない雑居ビルの3階と4階部分にある。Pマーク取得事業者というと、入り口で厳しいセキュリティチェックがあるような社屋をイメージしていただけに、「えっ、こんな雑居ビルで取得できるの?」という印象だった。

 だが、「物理的なセキュリティ体制というよりも、業務プロセスにおいて、個人情報保護に関する要求事項を満たした規定が整備されおり、それがルールどおり運用されるかどうかが審査される」(竹林社長)ので、エレベーターのない雑居ビルでも問題はない。

 筆者はこの会社には過去何度か足を運んだことがあるのだが、今回の取材で訪れた際、コンクリート打ちっ放しの暗く狭い階段の、冷たく重いスチール製のドアの前に、結婚式の芳名帳のような感じでポツンと置かれた入退館記録ノートや、その後ろの壁に「入室時はこれを着用ください」という張り紙とともにぶら下げられた首掛け型の入館証が、これまでとは変わったところであり、取得審査が近いことを予感させる。

 これらの措置もPマークの要求事項なのだが、ICカードや指紋認証といった“カッコイイ”セキュリティでないと取得できないのでは? と勝手に想像していただけに、「なんだPマークって意外と庶民的〜♪」などと、小さくほくそ笑んでしまったものだ。

「それが当たり前という意識が身に付いている」、カレンの場合

コンサルの力を借りずに自力で取得した監査役・小杉定久氏(右)と、現在Pマーク担当のカレン・経営管理室室長・黒岩和好氏(左) コンサルの力を借りずに自力で取得した監査役・小杉定久氏(右)と、現在Pマーク担当のカレン・経営管理室室長・黒岩和好氏(左)

 電子メールやブログを使ったマーケティング事業を手掛けるカレンは、今年の秋に3回目のPマーク更新を行う予定の、いわば“Pマーク老舗”。2000年10月に他に先駆けて取得したときは、個人情報保護法制定のはるか以前ということもあり、「情報がほとんどなかったし、コンサルティングを行ってくれるところもなかった」(カレン・監査役・小杉定久氏)そうだ。

 そんな暗中模索の中、同社トップの「これからは個人情報保護の社会的気運が高まる」という判断の下Pマークを「独学で勉強して取得」(小杉氏)したつわものだ。実は、Pマーク取得当時のカレンも前出のアイトランスポート同様、社員20名程度(現在は80名)の企業だったのだが、カレンの場合は、小杉氏が専任する形で、各部門にPマークの趣旨を説明して、ルール作りや業務内容に関する資料を作ってもらったり、ヒヤリングをするといった作業を行った。ただ、その際に、社員のオシリをたたいたのは、トップの命令だった。

 実際の日々の運用面でいうと、個人情報を扱う部署は、規定に沿った業務フローにのっとって仕事をするわけだが、その辺りの社員の反応はどうだろうか。小杉氏に代わり現在、カレンでPマークの担当者である経営管理室室長・黒岩和好氏は、「それが当たり前という意識が身に付いているので、自然に行われている」と語る。

常に社員の意識レベルを引き上げておくことが最大の課題

3回目の更新を迎えるPマークの許諾証は受付に飾られていた 3回目の更新を迎えるPマークの許諾証は受付に飾られていた

 ただ、昨今報じられる個人情報漏えいの事件の多くは、社員の不正な持ち出し、あるいは不正を自覚していない無知あるいはミスによる漏えいだ。それを防止するために、「年に数回、社員の意識を高めるための社内研修会を実施し、その旨を文書で規定している」(黒岩氏)そうだ。このように常に社員の意識レベルを引き上げておくことで、日々の業務のなかで、おのずと問題点が浮き上がってくる」(小杉氏)という。

 また、「個人情報を扱う外注先にもPマーク取得を要求」(黒岩氏)しているそうで、ほとんどの外注先はPマークを取得している。

個人情報を保護するため制度としての領分を逸脱し存在感を増すPマーク

 さて、現在進行形でPマーク取得中の企業と、以前に取得して日々運用している2つの企業の例を見てきたが、確かに、個人情報保護の気運が高まり、Pマークの存在感がますます高まっているのは、分かる。そして、それを企業が取得する意味も大いに理解できる。だが、取材を終えたいま、どこか釈然としないもやもやとしたシコリが気持の中に停滞しているのだ。

 それは、Pマークというものが、純粋に個人情報を保護するため制度としての領分を逸脱し、企業の営業ツールや有事の際のエクスキューズの道具として使われ始めている部分がそう感じさせるのかもしれない。Pマークの輪に入らないとはじき出されてしまうその風潮が、日本的横並び大好き社会の縮図であって、そこにつけ込んだ政治家や役人が個人情報保護をオモチャにして、Pマーク周辺にもしっかりとした利権構造を築き上げているのでは、という疑念が顔をもたげる。

 利権構造なんていまさら珍しくない、という人もいよう。確かに、新しい法律ができるということは、そこには何らかの規制(場合によって規制緩和)が生まれ、そして大小さまざまな利権の巣くつになることは想像にたやすい。

 もちろん、Pマーク取得企業の個人情報を大切にしようという理念は、賞賛されるべきものだと思うし、それにケチをつけるつもりなどない。だが、その背景には、ねっとりとした大人社会の暗黒面が見え隠れし、ホームページにさんぜんと輝く「プライバシーマーク取得企業です」という“印籠”が少し色あせて見えてしまうのだ。

「ものになるモノ、ならないモノ」バックナンバー

著者紹介

著者の山崎潤一郎氏は、テクノロジ系にとどまらず、株式、書評、エッセイなど広範囲なフィールドで活躍。独自の着眼点と取材を中心に構成された文章には定評がある。
「山崎潤一郎のネットで流行るものII」


Copyright© 2018 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。