前回のブログでは文書監査について見ましたが今回はもう1つ実施が必須になる運用監査について見ていきたいと思います。

運用監査って何？

文書監査がJIS規格との適合性の監査になるわけですが、運用監査は基本的にはJIS規格に適合したマニュアル類に則って運用が出来ているかの監査になります。
一部規格に書かれていることを含むことがありますが、原則は「会社のルール」通りに個人情報保護管理者と現場が出来ているかのチェックをするわけです。

チェックシートの作り方

Pマークの悪いところでもありますが、内部監査のためのチェックシートは必須になります。
ですので、チェックシートに全ての記録を残し、保管し、審査の際に求められれば提示する必要があります。
最近でこそ、審査の際にチェックシートの項目について細かく指摘に上がることが減ってきましたが、チェックの項目がマニュアルに記載されている内容とかけ離れていると指摘に上がることがあります。

個人情報保護管理者向けチェックシート

基本的に個人情報保護管理者はPマークの運用における責任者になります。運用のPDCAに関わる部分の多くは個人情報保護管理者の責任の上で行われます。
ですので、基本的にはマニュアルのPDCAに関わる部分(Cは監査なので対象外)のやるべきこと(ex：台帳類の作成や見直し、同意書の取得etc)をチェック項目として入れて貰えれば、チェックすべき項目としてはおおよそ問題ありません。

現場のチェックシート

現場のチェックシートについてですが、基本的にはリスク分析の結果がその基になります。
個人情報をもっとも扱うのは現場なわけですからリスクが実現していないかのチェックをするわけです。
リスクの実現を予防するための対策なわけですので、リスク分析の結果として実施が決まった対策をしっかり実行できているのかを確認するためのチェックシートを作成していくことが重要になります。

ただ、リスク分析の結果に含まれていなくても内部監査上、チェックした方が今後の業務改善等に役立つのではないか。というものがあれば入れて頂いている方がベストです。
なかなかこういう機会でもないと業務についてのチェックや問題点の洗い出しはしないでしょうし、こういったところからPマークで実施していることを「会社の経営に役立てる」ことが出来ます。

逆に拠点等によっては必要のないものも出てくることがありますので、必要に応じてチェックシートの内容を増減させることも効率的な監査を行うポイントにもなってきます。

内部監査は面倒だ。と思われがちですが、うまくやって頂ければ単にルール通りに運用しているかのチェックではなく、業務そのもののチェックにもなりますので、試行錯誤しながら行って頂くと良いかと思います。