「じゃあ、もうすでに応募資格はないんじゃないですか? CCC、TRCの共同事業体は」
その一言で、議場の空気が一変した。質問者はたたみかけるように、こう続ける。
「そう判断するのは間違いですか?」
しばし沈黙。この瞬間から、ただ用意した原稿を読み上げるだけの予定調和は終了し、以降、教育委員会事務局の答弁は、とたんに歯切れが悪くなる。昨年12月15日に開催された、神奈川県海老名市議会第四回定例会の一場面である。
質問者は、保守系無会派の山口良樹議員。昨年10月に公設民営の「ツタヤ図書館」としてリニューアルオープンした市立中央図書館に関連して、これまでもさまざまな疑惑について市長サイドを厳しく追及してきた市会議員のひとりだ。
今回、山口議員の質問の目玉のひとつが、図書館流通センター(TRC)と共同事業体を組んで市立図書館の指定管理者に選ばれたカルチュア・コンビニエンス・クラブ(CCC)がプライバシーマーク(Pマーク)を11月に返上していた件である。
Pマークとは、個人情報保護の体制が一定以上整備された企業に対して与えられる認定証のこと。これを取得していれば、個人情報の安全な取り扱いをしている事業者であることの証明になるとして、海老名市は、市立図書館の運営を委任する指定管理者を募集するにあたってPマークの取得を資格要件としていた。
ところが、その重要な資格認定をCCCは、こともあろうに指定管理者になって2カ月もたたないうちに自らの都合で返上していたというのだから、これはただごとではない。
そこで山口議員が、あらためて募集時の応募資格を尋ねたところ、教育部次長が「個人情報保護に関してのプライバシーマークまたはそれに類する資格を保持していること」と回答。そうすると、少なくともこの定例会が開催された12月15日現在において、前月にPマークを返上してしまったCCCは、「応募資格すら満たしていない事業者」ということになってしまう。冒頭のセリフは、それについての山口議員の切り返しだったわけだ。
個人にたとえれば、応募資格に「大型二種免許」と明記されていた求人に応募して採用された人が、採用されて働き始めた後に「免許証を見せてほしい」と言われたのと同じ状況なのだから、「いや、自分の都合で免許を更新しませんでした」という話が、果たして一般の社会で通用するのかどうか。
もちろん、運転免許とは違ってPマークがなかったら図書館運営ができないわけではないが、少なくとも、なぜそのような事態になってしまったのかについて、CCCと市当局は市民にわかりやすく説明する責任があるのは間違いない。
急激にトーンダウンする教育部次長
実は、山口議員の事前通告された質問に関しては、この追及に先立った冒頭の答弁で教育部次長は、次のように歯切れの良い答弁をしていた。
「プライバシーマークのCCCの返納については、返納に際して、指定管理者側から説明をいただいております。またその際にですね、現在のCCCにおける個人情報保護の取り組み状況とプライバシーマークの返納後、社内セキュリティー体制及び今後の取り組みの説明を受けております」
そのうえで、事前にCCC側から説明を受けていた内容をこのように明かしている。
「具体的には、現状においてもプライバシーマークを上回るセキュリティ対策を講じていること、また、プライバシーマーク返納後もプライバシーマーク規格に基づく対策・運用を継続すること、そして今後の取り組みとして、プライバシーマークの規格に加え、JIS Q27001情報セキュリティマネジメントシステム等のセキュリティ基準を参考に、独自の自社基準を策定し、セキュリティ環境を向上させていくということでございました。以上のことから、図書館における個人情報保護がはかられるというふうに判断してございます」
結局、次長は「応募資格がないのではないか」との山口議員の追及に対しては、しどろもどろになりながらも、これとほぼ同じ内容の発言を再度繰り返しただけだったのだが、それに対して山口議員は、ほかの部署の答弁を引き合いに出してこう指摘したのだった。
「Pマークについては、大変な権威があるみたいに話されていたのを、さっきまで聞いていたじゃないですか。Pマークがあるから、個人情報保護というのは堅く大丈夫なんだよと、さきほど市民共働のほうでお話ししていましたよ。だけど教育関係では、Pマークなんかいいんだと、CCCが独自の基準を社内で設けてPマーク以上の安全基準をつくっていれば問題ないんだって、そういうことなんですか? なんでそんなにCCCの論理に合わせなくちゃいけないのか。それは不思議でしょうがない」
それに対して教育部次長は、こう反論する。
「プライバシーマークの認証の重要性については十分に認識してございます。それは先ほどの市民共働部の回答にもあったとおりだろうと思ってございます。ただ一方でですね、それだけで情報セキュリティが守られるものではないというのも、一方で事実でございます。そのなかで、今回は先ほど、これも答弁の繰り返しになると思いますけれども、現状あるいは返納後の対応、さらには先ほどの法改正に伴ってですね、さらに社内での情報セキュリティの強化を図っていくというなかでですね、今回については、協定、今回のプライバシーマーク返納をもってですね、協定、ただちに協定違反ではないだろう、という判断をしてございます」
公的基準を排除した独自基準を掲げるCCCの矛盾
ここで山口議員は、こんな意地悪な質問を繰り出した。
「プライバシーマークがないために応募できなかった企業のみなさんにはなんと言いますか」
突然、そう問い詰められて、市教委サイドは、さぞや困っただろう。
「はい、あのー先ほどもずうっと申し上げましたように、今回のそのー、えーっ、募集にあたってですね、募集要件として提示をさせていただいてございますので、で、あのー、先ほどの説明にもさせていただきましたように、今回法改正に合わせて、いうような趣旨の部分もございました。それらをトータルで勘案したうえでですね、ただちにですねえ、協定違反にはならないだろうと、いう判断でございます」
歯切れが良かった最初の答弁とは打って変わってグタグダの回答に終始した。
ところで、CCCサイドでは「プライバシーマークを上回る自社の独自の基準を策定し、セキュリティ環境を向上させていく」という趣旨の説明を市側にしているようだが、一般の市民感覚からしてみれば、それはどこの団体の認定も受けずに「書道五段と同等の腕前がある」と自ら宣言しているのと同じように映るだろう。
権威ある第三者機関に認定されてはじめて、アドバンテージをアピールできることは論を待たない。それにもかかわらず、委託者である海老名市は驚くほど寛容だ。
ある技術コンサルタントはこう語る。
「よく日本企業では、世界的権威のあるOOの基準をクリアしているとアピールしますが、アメリカではそういう主張をするとバカにされるだけです。アメリカで製品の安全レベルは5段階に分かれていて、まず法律で定められたレベル。日本では、これさえクリアしていたら安心と思いがちですがこれは最低レベル。次に民間団体が作った規格基準で、これさえもクリアしていて当然とされるレベル。さらに、判例レベル、業界・ユーザーの慣行レベルと続き、最も高いのは、自社が独自に策定した独自基準です。製品の安全性をアピールするには、4つの基準を超えた自社基準でなければなりません」
この論からすれば、CCCの自社基準によるセキュリティ向上は、世界標準から見ても理にかなったものということができるのだが、しかし、クリアして当たり前と言われる最低レベルの規格ですら、有効期限が切れる前に返納しなければならなかった事業者による「自社で策定した最高基準をクリアしている」とのアピールを額面通り受け取る人はほとんどいないだろう。
なお、図書館運営以前の問題として、国内最大級である5631万人(2015年11月末時点)ものTカード会員を抱えるCCCにとっては、一日も早くクリアにすべき問題であるのは、あらためて指摘するまでもないことである。
(文=日向咲嗣/ジャーナリスト)