プライバシーマークの運用サポートや更新コンサルティングの際に無駄なルールや帳票類を抜いて行きましょうという提案があります。
その際によくコンサルが口にするのが「この様式・ルールは更新に必要ないのでなくしてしまいましょう」です。
果たして上記の理由で行う判断はプライバシーマークを取得している会社にとって良いことなのでしょうか?
更新させるだけを考えた場合、上記判断で更新を行うことは可能です。
ですが、プライバシーマークを取っているのに、個人情報漏えいの可能性は全くもって下がっていないと言えます。
なぜかと言うとプライバシーマーク取得・更新には必須ではないが、会社の個人情報漏えいの事故が発生する可能性を下げるために実施するルールが全くもって下がらないからです。
無理無駄を判断するポイント
では、無理無駄なルールかどうかを見極めるポイントですが、ポイントはリスク分析の際のその分析結果です。
そこには会社として個人情報が漏えいするリスクを減らすためにどんな対策を行うかが、書かれているはずです。
つまり、そこに書かれているルールを辞めてしまう。ということは自身の会社が個人情報の漏えい事故を起こしてしまうリスク(心配事)を増やしてしまうことになります。
そうなってしまっては本末転倒な結果になってしまいますし、はっきり言って運用出来ているとは言い難い状態になります。
LRMではコンサルティングポリシーに記載している通り、「運用」出来る仕組みをご提案するためコンサルティングを行なっていますので、更新に必要ないから。という理由だけでルールをなくしていくようなことは行いませんが、「更新するためには無駄」という理由だけで、ルールの見直しや文書のスリム化を提案してくるコンサルタントは会社のことより自分のやりやすいように進めることだけしか考えていない可能性が高いので注意が必要です。