内部監査の目的(なぜするのか?)
なぜ、Pマークでは内部監査を行う必要があるのでしょうか?もちろんJIS Q 15001の要求事項で求められているからという事もありますが、それよりも自社がPマークで求められている「やるべきこと」がしっかりできているか確認するために行います。
Pマークで求められている「やるべきこと」とは、主に下記の2点になります。
- Pマークに準拠した社内ルールが策定されているか。
- 上記の社内ルールが現場できちんと運用されているか(守られているか)
ですので、内部監査でも上記2点を主に見ていく事になります。
誰が内部監査を実施するのか
内部監査を実施する際は、「個人情報保護監査責任者(内部監査の責任者)」と「内部監査員(内部監査を行う方)」という役割の人物を選出し、主に内部監査員が内部監査を行います。
- 両役割とも資格などは不要です。
- 個人情報保護監査責任者は代表者が選抜し、内部監査員は個人情報保護監査責任者が選抜します。
基本的な流れとしては、内部監査員が内部監査を行い、個人情報保護監査責任者に報告するという流れになります。
※個人情報保護監査責任者が内部監査員を兼任することも可能です。
注意点として、自分の所属する部署だと客観的に内部監査を行うことができないため、 「内部監査員は被監査部署とは別部署の人」という決まりがあります。
内部監査を外部のコンサルティング会社等に依頼することも可能です。
コンサルティング会社は専門的な知識を持っていますので、チェックリストには書かれていないが、自社にとって有効な指摘を行ってもらえることが期待できますし、忖度等もありませんので、ありのままの状況が報告しやすいというメリットがあります。
内部で実施する場合、他部署のルールや体制を知るいい機会になりますが、多少なりとも面識がある場合には指摘が出しづらかったりすることもあるので、その点は注意が必要です。
誰が内部監査を受けるのか?
内部監査の対象者は、「個人情報保護管理者」と「各部署」になります。
個人情報保護管理者への内部監査
個人情報保護管理者への内部監査では、以下のような点を確認します。
- Pマークで求められている文書類や記録類が揃っているか?
- 決めたルールをきちんと守っているか?
- 例
- リスクアセスメントの承認をしているか
- 個人情報の利用目的はWebサイト等に記載しているか
各部署に対しての内部監査
各部署に対しての内部監査では以下を確認します。
- 決められたルールをきちんと守っているか?
- 例
- スクリーンセーバの設定時間を順守しているか
- 個人情報が保管されているキャビネットは施錠されているか?
この辺りはルールによって異なってきますので、自社で定められているルールがきちんと守られているかを確認してください。
内部監査実施時の実施方法・流れ
監査前
- 監査計画書の作成(必須)
-
- 監査計画書の項目例
- 内部監査実施担当者名
- 監査のテーマ・目的
- 監査の実施日
- 監査の対象とその部門
- 個人情報保護監査責任者の選定
- 個人情報保護監査責任者は、代表者が選任します。
組織の代表者(社長)はNGです。 - 内部監査員の選定
- 内部監査員は自部署の内部監査は実施できないため、最低2名必要です。
-
- 個人情報保護監査責任者が内部監査員を兼任することも可能です。
- 内部監査を外注した場合は、社内から内部監査員を選定する必要はありません。
- 監査チェックリストの作成(必須)
- プライバシーマークの規格やガイドラインの内容から、自社でチェックすべき項目を洗い出し、チェックリスト化します。審査時に求められるため、作成は必須です。
監査実施
監査チェックリストに基づき実施
現場へのヒアリング、ルール上定められているのであれば、施錠の確認等も行います。
- 対象
-
- 個人情報保護管理者(事務局)
- 従業者
- 自社で定めたルール
自社で定めたルールがJIS Q15001の要求事項に適合しているかをみます。
※監査チェックリストに記載されている内容と現場の運用で明らかにルールと異なる運用を行ってる場合は「不適合」として指摘事項を出します。
監査終了後
- 監査報告書の作成
-
- 監査報告書の項目例
- 監査日時
- 被監査部門
- 監査テーマ
- 監査内容
- 指摘等の不適合内容(あれば)
- 指摘事項への対応
- 内部監査で出た指摘事項への対応を行います。
- マネジメントレビューでの報告
- マネジメントレビューの際に、社長に対して内部監査で出た指摘事項の報告します。
監査報告書とは?
監査時に出た指摘事項内容を記載したものになり、各部署毎に実施したのなら各部署毎に指摘事項内容を記載します。
※個人情報保護監査責任者が作成する必要があります。
監査報告書の書き方
それぞれの指摘に対して、評価区分と指摘事項内容を記載します。
指摘事項の評価区分例
- 不適合
- 改善の機会
※通常であれば不適合か否かを見れば問題ありません。上記例の場合「不適合まではいかないけれど、実施が不十分であるorさらなる改善が望める場合」において「改善の機会」という評価区分を設けています。
指摘事項内容
交換した名刺はスキャンしてクラウド上で管理し、原本はシュレッダーで破棄というルールが策定されているが、監査対象者にヒアリングしたところ「自分の袖机で管理している」というようなルール違反があった場合には、下記の様な内容になります。
※基本的には、ありのままを書いていれば問題ありません。
- 評価区分:不適合
- ルールでは交換した名刺はスキャンしてクラウド上で管理し、原本はシュレッダーにて破棄となっていますが、名刺を自分の袖机で管理していました。
内部監査の実施時間について
内部監査については時間の指定はありませんが、細かくやろうとすると長く時間がかかってしまうので、予め時間を定めて実施することをオススメします。
| 個人情報保護管理者 | 2時間 |
|---|---|
| 各部署 | 1部署30分など |
個人情報保護管理者への内部監査は、ルールの確認などもありますので長めに設定しています。
指摘事項が出た場合の対応について
内部監査で指摘事項(不適合)が出た場合、内容を確認して対応していくことになります。 ※先述のように「改善の機会」等独自の項目を設けてる場合、対応は必須ではないので、指摘の内容によって対応する・しないを決めていきます。
不適合の場合には改善が必須になりますので、以下の手順で対応を進めていきます。
- 不適合内容の確認
- 原因の特定、改善方法の立案
どうして起きたのか、再発防止のためにどうするかを検討する。 - 実施
- 実施した結果を記録
- 実施結果の有効性を確認する
上記1~5の手順で不適合の対応を実施していきます。
ただ、必ずしも審査までに1~5全て対応しておく必要はありません。
不適合内容によっては、審査までに対応しきれない場合もあると思いますので、優先度・期限を決めて順次対応していくことになります。
内部監査実施をスケジュール月に実施できなかった場合
内部監査は必ずしも決まった月に実施する必要はありませんが、Pマーク申請時に内部監査の記録の提出が求められますので、申請までには必ず実施しておく必要があります。
ですので、当初の予定通りに実施できなかった場合でも、最悪申請までの間に内部監査を実施し、内部監査の記録を残しておきましょう。
弊社では、弊社では、Pマーク認証取得コンサルティングサービスを行っています。要求事項と会社の事情等の両方のバランスをとり、貴社で「運用できる」認証取得を心がけ、2,300社以上の支援実績を誇ります。認証取得にご興味のある方はぜひお気軽にご相談ください。
また、Pマーク認証取得に際して、はじめの検討段階から審査当日までの一連の流れを21項目のTodoリストにいたしました。ぜひ無料でDLして貴社の認証取得にお役立てください。
