ISO認証とかISMSとか認証、プライバシーマークとかとっても実際に運用が回ってなかったら飾りにしかならんと思うんですけど。結構認証取るのが目的になってしまって、運用が回ってないところってあるんじゃないかなぁ？そういうところの第三者認証は飾りでしかないよなぁ。
逆に、きちんと運用をまわして、セキュリティを保つことが目的となっていれば、第三者認証がなくても問題ない気がする。
あくまで、第三者認証はセキュリティとかが十分保ててるかではなく、その仕組みができていることを誰の目から見てもわかるようにするためのもんだと思うしね。

事務局員：80％？　冗談じゃありません！　現状で、当社のセキュリティ管理は十分できています！
CIO：プライバシーマークは取れていないではないか
事務局員：あんなの飾りです。偉い人にはそれがわからんのですよ。

ってのはどうか？
こういったのもあったか。

事務局員：80％？　冗談じゃありません！　現状で、当社のセキュリティ対策は十分できています！
コンサルタント：定期的なパスワード変更がなされていないではないか
事務局員：あんなの飾りです。偉い人にはそれがわからんのですよ。