自治体や企業等の入札要件にされることが多いプライバシーマークマーク。第三者機関によって個人情報保護体制が認証された証であるが、その第三者の中立性に疑念を持たれる実態がある。
北海道IT推進協会が設立した北海道プライバシーマーク審査センターでは、Pマークの取得の相談をしてきた企業に、スムーズに認証が受けられるとして、身内のコンサルタントを紹介してきたことが明らかになった。
プライバシーマーク(Pマーク)は個人情報保護体制について第三者認証を行う制度で、一般財団法人日本情報経済社会推進協会(JIPDEC)が唯一の「付与機関」となっている。自治体や企業から仕事を受注する場合の要件になることも多い。
JIPDECの会長は経産省次官だった杉山秀二氏で、言わば経産省の天下り団体となっている。
Pマークについては制度そのものについての批判もある。
あくまで組織のマネジメントについての制度なので、認証を受けることで製品やサービスの品質が向上するわけではないこと。また、同様の制度にISO27001という国際規格があり、一方でPマークは日本ローカルの規格に過ぎないこと。
過去にはPマーク認証を受けていたベネッセが大規模な個人情報流出事件を起こした例があり、Tポイントを運営するCCCのように大企業がPマークを返上する例もあり、その「権威」も安泰ではない。
何よりもPマークの取得には費用がかかり、多くの会社は自力ではなく、数十万円をかけてコンサルタントに依頼し、認証の維持にも継続してお金をかけているのが実態である。内部体制構築のためのコストも加味すれば、必ずしも効果が費用に見合わないというわけだ。
「審査が 早く終わらせるような 内部調整ができる」
「Pマークの付与をしているJIPDECは、審査の公正を期するためにコンサルタントの紹介を禁じている。しかし、一般社団法人北海道IT推進協会が設立した北海道プライバシーマーク審査センター(DPJC)にプライバシーマークの取得を行いたと電話で相談をすると、身内のコンサルタントを紹介される」 ―昨年の11月に筆者にこのような情報がもたらされた。
「身内のコンサルタント」の具体的な会社名は株式会社エスアンドエスネットワーク。この会社にはDPJCの運営委員が所属しているという。
筆者がDPJCにプライバシーマークの取得について相談したところ、担当者は「エスアンドエスネットワークが資格をもってやっている。もう1社がアステック。審査センターとつながっていると、審査が早く終わらせるような内部調整ができる」と言い、確かに前述の会社を紹介され、さらにもう1社あることと、審査をスムーズに進められるということを匂わせた。
DPJCは運営委員を公表しているが、確かに株式会社エスアンドエスネットワーク、アステック株式会社の関係者が委員となっている。
両社に事情を聞くと、両者とも関係者がDPJCの委員であり、なおかつPマーク取得のコンサルティングを行っていることを認めたものの、エスアンドエスネットワークは「審査センター側の問題で、そちらに紹介を依頼したことはない」アステックは「審査センターからの紹介でコンサルティングを請けた実績はない」ということである。
ただ、DPJCがコンサル会社として2社を紹介しているのは事実。なおかつこの2社だけが、一般社団法人北海道IT推進協会の会員でPマークについてのコンサルティングをしている会社だということである。DPJC担当者からは審査が混み合っていることから早く申し込んだ方がよいとせかすような発言もあり、DPJCがコンサル会社の営業をしていると受け取られても仕方がないような状態だ。
JIPDECの見解は?
Pマークの審査を行う審査機関が19団体存在する。DPJCはその中の1つであり、北海道では唯一の審査機関である。
少なくとも昨年の10月時点では、JIPDECはウェブサイトに次の見解を掲載していた。
当センターはプライバシーマーク制度の運営管理と審査業務を行っています。そのために、個々の事業者の審査に影響を与える可能性のある行為は禁じられています。
審査機関が、自らコンサルテーションしたものを審査したのでは、第三者認証にならないことはお分かりいただけるものと存じます。
この見解の通りであれば、DPJCは第三者認証とは言えないような審査を推奨していることになってしまうだろう。そもそも、公的機関の入札資格の要件になるような資格の取得について、身内の企業に便宜を図ることはある種の“利権”ではないか。
JIPDECに見解を問うと、「ご意見として伺いました。内部で検討はいたしますが、その結果を公表する予定はございません」ということである。
Pマークなんて初めて知りました。
なんだかほとんど日本企業しか取得しないモンドセレクション的なものを感じました。
#35cece504377edbd0ceadfddc47b218c
世界的にはそんな扱いでしょうね
昔Pマーク取得企業で働いてました
個人情報の取り扱いについて重大な違反があった為、内部告発したこともありました。
その中でプライバシーマーク事務局とのやり取りで感じたのがまさに“モンドセレクション”的なものでした。
お金払って要求されるものを整備しとけばどこの企業でも取れます。
権威のようで権威でも何でもないです。
要はPマーク事務局も、「各企業でやってください」というような態度でしょうか。
官僚の考えそうなことですね。
既存の団体で職務を埋め込むことはしない、新しい団体を作り、OBの受け皿とする。不要な法人。
未だに結構あるのですね。
事業仕分けが遠い昔になってしまったような、、、
#059235b0b5691de884a600a2e178707f