前号では、個人情報保護法への取り組みのなかで、企業はITが持つ効能を犠牲にしてでも、情報漏えいのリスクを最小化しようとしていると述べた。

　つまり、個人情報の活用を極力抑える方向で動いている。顧客情報にアクセスできるユーザーの数を極力絞り、データの加工・編集を極力行わせない。

　企業は何をよりどころに個人情報を含むITシステム（技術面）を見直しているのか。最も影響力のあるガイドラインはプライバシーマーク（Pマーク）だろう。

　ただし、JIS規格の一種「JIS Q15001」に準拠した管理体制の構築を求めているPマークは、具体的にITシステムの在り方まで規定していない。同規格は「個人情報保護に関するコンプライアンス・プログラム」の計画・実施・見直しという一連の管理システムの構築を求めているに過ぎない。計画の中身にまで踏み込んでいない。

　実際のところ、Pマーク取得企業で技術面の見直し基準となっているのは、日本情報処理開発協会（JIPDEC）が手掛ける「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」だ。

　あるプライバシーコンサルタントは、「PマークとISMSの認証は同じ日本情報処理開発協会が手掛けている。そのため企業の方で忖度（そんたく）して、『ISMSに準拠したセキュリティ管理をやっておけば、Pマークを取得できる』と考える傾向がある。正直にISMSに準拠すると、どうしても情報管理体制が厳しくなる」と説明する。

　ISMSは元来「情報処理サービス事業者向け認定制度」という色彩が強かった。数年前までは、データセンター事業者や、企業から処理を請け負うアウトソーサーが、自らの情報セキュリティに対する信頼度を顧客にアピールするために取得するケースが多かった。

　つまり、情報管理そのものを本業とするプロ向けの認定制度だったのだ。データセンター事業者が顧客から預かった“情報資産”を絶対安全に取り扱うのは当然の責務だろう。

　だが、一般企業にとって情報資産とは変化するビジネスに合わせ活用するものだ。それが情報処理サービス事業者と同じレベルの安全性を求める。ITシステムが変わるのは当然だろう。（坂口正憲（ジャーナリスト））