
多くは個人的な社であり、高名なコンサルなどが中心で、組織的な信頼はあるのかな?、とやや懐疑的な印象を受けました。数社は欧米文化らしいデータ解析などのメソドロジーが基本であり、特殊な装置やケーブルを自信たっぷりに提示していました。
また、ある社のプレゼンテーションではブローシャーの開示すら、「米国本社の了解がないから配布できない」という説明で、では何のためにプレゼンテーションするの?と聞いたくらいにアヤフヤでした。
最近は、相撲協会の八百長サギなどでよくこれらの調査会社がTV画面にも登場して少し驚きました。また、経済産業省やJIPDEC、JISAなどの説明にもだんだんとプレゼンテーションしているようです。
最近ではLAC社がよくインタビューに登場してくるように思います。同社は単にツールを提供するばかりでなく、啓蒙活動や解析にも明快な回答をしているように思えます。また、JIPDEC主催の情報セキュリティシンポジウムなどでもLAC社をはじめとする専門家が講義をしています。
http://www.lac.co.jp/
※なお、私は同社とは何にも関わりありませんのであくまで一般的な話題です、念のため。
いきなりセキュリティ調査を求める時代に突入したようです。
え?必要あるの?という声があるでしょう。
実はあまり緊急度は確かに高くありません。何故かといえば、
認証が要求しているレベル以上のことを実行しているからです。
日々金融庁や経済産業省、JIPDECを初めとする所管官庁の動向に、親会社以上に注意し、あまたの情報漏えい事件に通暁している我々です。ましてや認証機関審査委員からも高い評価を得ていると自負し、数ある関係会社の中でもトップの内部管理体制を確立・維持している、そんな(あー書いているだけでやりすぎかなあ、とも思いますが)組織の監査責任者だからでしょう。
だからといって、「我々が教えてあげよう」と主張するほど誤解しておらず、大人しく聞いてくる予定です。
帰りは、部下が学生時代によくいったという
「いもや」で夕食を摂ってから、本郷に行こうと思います。

「新金検マニュアルや年度方針はさておき、ガイドラインとの調整はほぼ問題ないでしょう」と説明すると経営者もやや安堵の様子です。
「しかし、昨年から2010基準ができるとの噂がありますので、来年の更新では煩瑣な”掘り返し”作業があるかもしれません」と説明すると、ため息をつく人もいました。
「情報セキュリティ総合的普及啓発シンポジウム」(長ったらしく、また何だかわかりにくいのはお役所仕事なので目を瞑りましょう)
が
JIPDEC主催により品川コクヨホールで開催されます。
伝え聞くところによると、政府の情報セキュリティ予算は政権交代に伴い大幅に減額され、5.5億円程度になったようですから、本シンポジウムが開催されることは意義深いと思っています。
一昨年参加したときは、内容の充実さ講師や会議の手配さといい、実に手がかかっています。
時間ある方にはおすすめのシンポジウムと思います。
http://www.isms.jipdec.jp/seminar/fukyu-sympo10.html
従って、
個人情報保護管理者(つまり会社経営者あるいは企画部長など)、
個人情報保護監査責任者(つまり監査役など)の任にある2名です。
職にあたっては相反する2名のはずですが、退職された監査役を連れて参加しようとしています。場所は九段下です。関心ある方は下記JIPDECまで問い合わせしてはいかがでしょう。
http://privacymark.jp/seminar/schedule/H20/HogokanrisyaSeminar.pdf
認証取得事業者としては認証団体が研修をするから来い、と誘われば参加せざるをえません。年末の忙しい時期に行くのは甚だ困り者ですがおっとり刀で参加しました。従って、関心はもちろん以下の点です:
1)わざわざ研修するくらいだから、制度あるいは認証上の変更点はなにか?
2)被認証者の更新審査における変更点・重要ポイントはなにか?
3)被認証者の認証団体に対する要求点(つまり質問事項など)はなにか?
4)その他、認証維持上の新たな傾向はなにか?
さて、その結果はというと厳しい表現でいえば
参加するのではなかった
です。
参加者が最も関心を持っていたであろう監査のポイントについては、60代と見られる方が資料をかいつまんで
棒読み!
書かれていることもすでにわかっていることで、これじゃわざわざ来る必要はなかったです。。。。。
いくら認証や資格が役人の天下りを支えているとわかっていても少しひどすぎるのではありませんか。未曾有の不況が来ているといっても役所の方にはご自分の天下りしか関心ないのかなあ、との思いがしました。少なくとも次回以降は参加しないことにします。
Pマーク申請予定の方は
「要チェック」です。
なお、最近取得した人にいわせると「システムの知識がないと受からないかもしれない」ということです。甘く見ると危険です。
内部監査はインタビューと臨場で行いました。実際にはオフサイトモニタリングというのでしょうか、膨大な規定類の読み込みが基本です。小さな組織ですが、それでもたくさんの不備事項がありました。
サラリーマン社会では、「不備」といわれると、なんだか自分のチョンボみたいに思う人が多く抵抗がある人が多いです。実際人事などに携わっている人はそういう事象を待っている場合もあります。今回は最初ですので抵抗は少なかったようです。
その後は、いわゆるPDCAサイクルを回して是正処置を各部署で行います。幸いにすべて是正されましたので監査報告書を作成するときに未決事項はありませんでした。予想では2,3については未決のままで申請するのかなあ、と思っていたのですが、妙にちゃんとした報告書になりました。
その後は社長あての報告としてマネジメントレビューを実施しました。経営者としては、あまり関心もないことでしょうが、申請スケジュールなどの話を中心に和やかかつ短時間で実施できました。そして、審査資料を一括まとめて提出してから約1週間後に審査料請求があったことになります。
さて、審査料振込みをしてようやく審査過程に入ったことになります。今後約1ヶ月で文書による質問があるようです。そうなると7月頃に文書を修正や追加資料の提出、秋頃に臨場(実査)があり、順調にいけば6ヶ月ぐらいで認証が行われるようです。

http://privacymark.jp/news/20070507/HP_jikokouhyou070507.pdf
すでに個人情報保護法施行以降、約8千社が認証されていますがこのようなプロセスが明確になることは認証維持にとって的確だと思いました。
http://privacymark.jp/index.html