個人情報「過保護」の原因は審査制度か?

2005/04から個人情報保護法が施行されてから、個人情報の「過保護」が問題になっているが、その責任の一端はプライバシーマークや情報セキュリティ管理システムの審査機関にあるのではないか。
数年前、社内の情報システム部門として、プライバシーマークの審査を受けたことがあるが、審査員は業務内容についてほとんどおかまいなしに、情報セキュリティの一般論で対策の甘さを指摘する。そんなことまでやめろと言われたのでは、そもそも業務が成り立たなくなる、というようなことでも平気で指摘するのだ。
仮にこれが病院だとして、個人情報の「第三者開示」について厳しい指摘を受けていたとしたら、JR西日本の脱線事故で問題になったように、警察から収容患者の氏名の開示を求められても、断りたくなるのは当たり前だろう。
プライバシーマークや情報セキュリティ管理システム(ISMS)の審査員は、経済産業省のガイドラインにある「公益上必要な活動や正当な事業活動までも制限するものではない」という記述を軽く見て、個々の企業の事業活動をちゃんと理解しないまま審査にあたっているのではないかと考えざるを得ない。
このような審査体質が変わらない限りは、日本企業や各種団体の個人情報の「過保護」はなくならないだろう。