Pマーク内部監査
JIS Q15001:2006には、監査について以下のように定めています。
3.7.2 監査 ~略~ 事業者は,個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査しなければならない。事業者の代表者は,公平,かつ,客観的な立場にある個人情報保護監査責任者を事業者の内部の者から指名し,監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え,業務を行わせなければならない。
個人情報保護監査責任者は,監査を指揮し,監査報告書を作成し,事業者の代表者に報告しなければならない。監査員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。
事業者は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し,実施し,かつ,維持しなければならない。
~略~
Pマークでは「定期的な」監査が求められています。具体的には最低でも年に1回、また必要に応じて臨時監査をおこなってもよいでしょう。
監査については代表者が「個人情報保護監査責任者」を選任して、個人情報保護監査責任者は監査の計画、指揮と代表者への監査結果の報告をおこなう必要があります。監査の客観性、公平性を担保するために、会社の監査役は内部監査責任者としては認められません。また、内部監査責任者は代表者への報告をおこなうため、代表者と同一である、つまり代表者が内部監査責任者になることもできません。
内部監査責任者の割り当て
小規模な会社がPマークを取得する場合、誰を内部監査責任者に選任すべきか悩むかもしれません。最も理想的なのは社内の監査部門の責任者です。ただし小規模な会社の場合は、監査部門がない場合もあります。その場合は、個人情報保護管理者に対して適切に報告ができる役職の方がよいでしょう。社内の役職としては個人情報保護管理者より上の方、あるいは同等の方がよいでしょう。きちんと内部監査において責任を負える立場でなければないからです。
スタートアップ企業などで更に小規模な人数の会社、あるいはPマークに関与できる人員がほぼいない会社の場合は、個人情報保護管理者と個人情報監査責任者は兼任することは不可能ではありません。ただし、本来の監査の目的からすると兼任はあまりおすすめはできません。どうしても人員が足りない場合のみです。
監査対象部門
Pマークでは、全部門に対する監査が求められています。これは個人情報を取り扱っている、取り扱っていないは関係ありません。ただし、Pマークの内部監査ですので当然個人情報を取り扱っていない部門に対しては、簡易的な監査で構いません。監査をおこなわないと、部門で実は申請をせずに個人情報を取り扱い始めていたというケースに気づきません。そのため全部門対象とし、運用に漏れが発生しないようにするための決まりとなっています。
また、Pマークの担当者は社内のいずれかの部門に属しているはずです。その場合、自部門監査は原則NGです。これは監査の客観性から考えれば当然のことです。ただし、何も知識がない人員が監査することによる弊害は大きいため、自部門での教育が整っていない場合はPマークの新規取得時などの内部監査はコンサル会社に依頼するとよいでしょう。
コンサル会社と内部監査
Pマーク新規取得をコンサル会社に依頼する場合、内部監査はメニューに入っていることがほとんどです。ただし、内部監査は時間もかかりますので、実施手順書やチェックリストのみを受け取り、自社で実施するケースもあります。ただし、始めて実施するのは非常に難しいでしょう。このような場合は、「Pマーク内部監査員研修」など外部の研修を受けて知識やノウハウをつけるのもひとつの方法です。
コンサル会社に内部監査を代行してもらう場合は、監査のバランスについて要望を伝えましょう。「この部門を特に強化する」「この部門はそれほど注力しなくてもよい」などです。もちろんコンサル会社でもどこに重点を置くべきか判断してくれるケースも多いですが、一律の監査方法で実施する会社もありますので、自社の考えをきっちりと伝えた上で協力して監査を進めましょう。