2023年8月1日掲載

プライバシーマーク制度では、JIPDECを含め20の業界団体や地域事業者団体が「指定審査機関」として審査を行っています。今回、JIPDECを除き一番初めに「指定審査機関」になられた一般社団法人情報サービス産業協会（JISA）へ、1998年の制度発足当時のお話や、これからのプライバシーマーク制度についてお話を伺いました。お話をお伺いしたのは、現在JISAにて審査業務部長を務めている鈴木律郎様と、制度発足当初からプライバシーマーク制度に携わっていただいており、現在審査業務部のシニアアドバイザーを務めていらっしゃる佐藤厚夫様です。

指定審査機関インタビュー

プライバシーマークに取り組むのは必然だった

審査機関になられた背景・経緯などを教えてください

佐藤
JISA発足当時から、JISA会員は受託計算やデータエントリー業務、派遣や客先常駐等で個人情報に触れることが多かったという点が前提にあります。また、行政機関から業務を受託することが多かったため、1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（法律第九十五号）に対応するため、「情報サービス業個人情報保護ガイドライン」という、JISA会員企業が対応するための自主規制のガイドラインを作成していました。これはその後、1997年に改訂第2版を作成しています。そして、その翌年の1998年にプライバシーマーク制度が始まりました。

このように、JISA会員はプライバシーマーク制度が発足する前から個人情報保護に取り組んでいたこともあり、プライバシーマーク制度に指定審査機関として取り組むというのは自然の流れだったのかなと感じています。

制度発足当初の雰囲気など、覚えていますか？

佐藤
当時は、当然インターネットがまだ主流ではなく、ビジネスは紙ベースでした。それが今との一番大きな違いかなと思います。JISAは1995年からインターネットを導入していました。出張に行ったときなどは、電話ボックスでPCをつないだりしていた時代もありましたね。懐かしい話です。

発足当時は、行政機関から業務を受託している事業者が、一斉にプライバシーマークの取得に向けて動き出しました。今とは違ってインターネット上の情報も無く、参考となる書籍も無かったため、JISAへたくさんの問い合わせや相談がありました。A4用紙に何枚も質問事項を埋めてきたり、電話対応中にも「折り返し電話をしてください」というメモが次から次へと机に貼られていくという状況でした。、もちろん順番に電話をしていくのですが、電話をするそばからメモが追加されるという状況でした。JISAの事務局も、プライバシーマーク対応専任ではなく、他の研究事業等も対応しつつプライバシーマーク対応を行っていたので、人手不足でした。バタバタしながら1998年9月に1回目の審査会を実施し、１３社を認定することができた、という状況でした。

審査員としての「やりがい」を教えてください

佐藤
審査が終わった際などに、事業者のご担当者から「こういうことがタメになった」ということを言われたときです。以前は、例えば指摘事項などに抵抗がある事業者の方もいらっしゃいましたが、特に最近は個人情報に関する世間的な意識が変化しているためか、「厳しく見てください」と言われることもあったりします。また、指摘を改善のチャンスと捉えていただく事業者も増えている印象です。そのような際に、多角的な視点で見て、気づきなどをお伝えすることが＜第三者認証制度＞の審査員としての役割の1つだと思うので、そのような点をお伝えすることができた際がやりがいの1つです。

はじめての現地審査はいかがでしたか？

当時特に注力されていたことは何ですか？

佐藤
事業者も情報が乏しい中で対応をしていたので、色々な事業者から同じ質問を何度も受ける、という状況が起きました。そこでセミナーを毎月実施してその場で公開質疑を行う等を繰り返すことで大分質問が減ったように思います。また、セミナーに来れない方もいるのでFAQは公表することにしていました。その後2～3年かけて徐々に事務局の体制が整ってきて、落ち着いていった、という感じです。

落ち着いてからはJISA会員向けの情報提供を行っています。例えば当時、漫画でわかりやすく伝えるために冊子を作ったりしました。

知見などを次世代へ伝えようという意識

25年の中で印象深かったできごとは何ですか？

佐藤
最近ですが、コロナウイルスの対応が最も印象的です。現地審査ができなくなる、という状況が20年以上審査活動をする中で初めてのことでした。JISA内でも感染者が出て、事務所の閉鎖などが起きました。
一方で、良い側面もあったことが合わせて印象的です。テレワークの浸透、テレワークと出社のハイブリッド対応が一般的になったこと。プライバシーマーク制度では、リモート審査の可能性や対面での審査を組み合わせた審査などの検討が進んだことなどは、とても良かったなと思います。

また、25年の中では、個人情報保護法の施行、JISの制定など色々ありました。その中では、プライバシーマーク制度の変化についていくことができなかった審査員などもいらっしゃって、そういう記憶も残っています。

指定審査機関としてのJISAならではの特徴はありますか？

佐藤
JISAの審査員は、JISA会員企業のOBの方で、IT業界で長く勤めていた方が多くなっています。そういう方々は、ご自身の知見などを次世代へ伝えようという意識で審査に取り組んでおられる方も多いです。そういう意識で審査に取り組むことができるのは、JISA独特のものかなと感じています。

鈴木
会員の側面から言うと、例えばJISAの会員企業は、かつてSI・SO制度（システムインテグレータ登録制度（SI登録制度）及び特定システムオペレーション企業等認定制度（SO認定制度）、2011年廃止）を多くの事業者が持っていました。プライバシーマークも早くから取得されている事業者が多く、ISMSなども同様です。自社の技術力はもちろん、コンプライアンスがしっかりしていることの証として取られている。業界全体として個人情報保護について取り組むことができていると思い、それが、JISA会員の強みだと思います。

会員企業との関係はいかがですか？

鈴木
例えばJISAが参加・開催するような委員会・研究会などで、専門家の方々とお会いしたり、様々な事業において事業者と接する機会が多くあります。プライバシーマークの審査では、トップインタビューの機会があるので、その中で、会員企業の情報サービス事業以外の側面、例えば地域貢献事業に取り組んでいることを知ったり、地元のリーダ的な企業として雇用の受け皿になっていたり、と会員企業の様々な側面を知ることができています。トップインタビューは、JISAとっても、とても良い機会になっていると感じています。

定着から、成熟期に

25年間で感じられる変化を教えてください

佐藤
特に、トップインタビューにおいて事業者の意識の変化を感じます。長い間マネジメントシステムを進めながら、定着化し成熟度が増してきて次世代にきちんと繋がっているように感じます。事業者も、プライバシーマークがあることが当たり前の状態でありながらも、それぞれの事業者で形骸化しないように注意されている印象があります。新聞などで事故が報道されると、それをきっかけに自社は大丈夫かと点検する会社が増えていますし、座学での教育だけではなく、標的型メールに対応する訓練を行ったりする事業者なども、よく見るようになりました。

これからのプライバシーマーク制度に期待すること