プライバシーマーク(Pマーク)内部監査で使用するチェックリストは作ってますか?
Pマークの内部監査でチェックする内容は多岐に渡り、項目を増やそうと思えばいくらでも増やせるものです。
故に煩雑な作業になってしまうことが多く、参考となるチェックリストを探していることもあるでしょう。
Pマーク内部監査で使用するチェックリストを構築するためのお手伝いをするため、この記事ではPマーク内部監査に必要な情報をまとめます。
Pマーク内部監査のチェックリストはなぜ必要?
2022年4月1日より「Pマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づく審査が開始されました。
「J.6.2 内部監査(9.2、A.3.7.2)」の第2項で、以下の内容が定められました。
事業者は、個人情報保護マネジメントシステムが次の事項の状況にあるか否かについて、少なくとも年一回、及び必要に応じて適宜に内部監査を実施すること。
a)事業者が規定した要求事項及び本指針の要求事項に適合している。
b)個人情報保護マネジメントシステムが有効に実施され、維持されている。
文面にすると堅苦しく感じるかもしれませんが、簡単に述べると以下のようなことを実際に行っているかチェックするという意味です。
- 年1回のルールチェック研修を行っているか
- ルールは適切に守られているか
- チェック項目を適切に設定し、実施されているか
つまり、社内で定めたルールがPマークを保有するに相応しいルールであり、適切にチェックされ続けている証明が必要ということです。
Pマーク内部監査とは?
Pマーク内部監査とは、社内で行う監査のことです。構築した個人情報保護マネジメントシステムが、実際に活用されているか常にチェックすることを意味しています。
Pマーク内部監査におけるチェック項目は、社内で定めることが多いものです。そのため、ルールを細かく作りすぎてチェック項目が多くなりすぎ、逆に煩雑な業務になってしまう企業も少なくありません。
例えば、個人情報を保護するために「パソコンの持ち出し時に、書類を作成する」という項目を作成したとします。他にも「帰宅時には持ち物チェック」など、項目を増やそうと思えばいくらでも増やすことができます。
しかし、実際にパソコンの持ち出し時に書類を作成し、さらに持ち物チェックをするとすれば、かなり無駄な作業が増えることになります。本来の業務を行いながら、内部監査のためにチェックをし続けるなど不可能かもしれません。
それでも個人情報保護を目的としたPマーク内部監査を適切に行い、顧客を守ることを真摯に考える企業は徹底したチェックリストを用意しようとしてしまいます。
頭では「無駄かもしれない」と考えつつも、万が一を考えてしまい項目ばかり増やしてしまっていないでしょうか。
どの項目が無駄なのかもわからなくなり、混乱しているかもしれません。
Pマーク内部監査でチェックする項目とは?
Pマーク内部監査でチェックする項目は、一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に示されている内容が基本です。
以下のものが適切に監査されるべき項目であり、それぞれにチェックリストが必要です。
J.1.3 法令、国が定める指針その他の規範(A.3.3.2) J.1.4 個人情報保護マネジメントシステムの適用範囲の決定(4.3) J.2.2 個人情報保護方針(5.2.1、5.2.2、A.3.2.1、A.3.2.2) J.2.3.1 組織の役割、責任及び権限(5.3) J.2.3.2 個人情報保護管理者と個人情報保護監査責任者(A.3.3.4) J.2.4 管理目的及び管理策(一般)(A.3.1.1) J.3.1.1 個人情報の特定(A.3.3.1) J.3.1.3 個人情報保護リスクアセスメント(6.1.2、A.3.3.3) J.3.1.4 個人情報保護リスク対応(6.1.3、A.3.3.3) J.3.3 計画策定(A.3.3.6) J.4.3 認識(7.3、A.3.4.5) J.4.4.2 緊急事態への準備(A.3.3.7) J.4.5.1 文書化した情報(一般)(7.5.1、A.3.5.1) J.4.5.3 文書化した情報(記録を除く)の管理(7.5.2、A.3.5.2) J.4.5.4 内部規程(A.3.3.5) J.4.5.5 文書化した情報のうち、記録の管理(A.3.5.3) J.5.1 運用(8.1、8.2、8.3、A.3.4.1) J.6.1 監視、測定、分析及び評価(9.1、A.3.7.1 J.6.2 内部監査(9.2、A.3.7.2) J.6.3 マネジメントレビュー(9.3、A.3.7.3) J.7.1 不適合及び是正処置(10.1、A.3.8 J.8.1 利用目的の特定(A.3.4.2.1) J.8.2 適正な取得(A.3.4.2.2) J.8.3 要配慮個人情報(A.3.4.2.3) J.8.4 個人情報を取得した場合の措置(A.3.4.2.4) J.8.5 J.8.4 のうち本人から直接書面によって取得する場合の措置(A.3.4.2.5) J.8.6 利用に関する措置(A.3.4.2.6) J.8.7 本人に連絡又は接触する場合の措置(A.3.4.2.7) J.8.8 個人データの提供に関する措置(A.3.4.2.8) J.8.8.1 外国にある第三者への提供の制限(A.3.4.2.8.1) J.8.8.2 第三者提供に係る記録の作成など(A.3.4.2.8.2) J.8.8.3 第三者提供を受ける際の確認など(A.3.4.2.8.3) J.8.8.4 個人関連情報の第三者提供の制限など J.8.9 匿名加工情報(A.3.4.2.9) J.8.10 仮名加工情報 J.9.1 正確性の確保(A.3.4.3.1) J.9.2 安全管理措置(A.3.4.3.2) J.9.3 従業者の監督(A.3.4.3.3) J.9.4 委託先の監督(A.3.4.3.4) J.10.1 個人情報に関する権利(A.3.4.4.1) J.10.2 開示等の請求等に応じる手続(A.3.4.4.2) J.10.3 保有個人データ又は第三者提供記録に関する事項の周知など(A.3.4.4.3) J.10.4 保有個人データの利用目的の通知(A.3.4.4.4) J.10.5 保有個人データ又は第三者提供記録の開示(A.3.4.4.5) J.10.6 保有個人データの訂正,追加又は削除(A.3.4.4.6) J.10.7 保有個人データの利用又は提供の拒否権(A.3.4.4.7) J.11.1 苦情及び相談への対応(A.3.6) |
チェック項目を用意するだけでも、一苦労という感じかもしれません。実際のチェックリストは、企業により異なるものです。Pマーク内部監査を行わなければいけないとわかっている状態で、しかも期日が短いという場合もあるはずです。気持ちばかりが焦ってしまうかもしれませんが、我々に依頼していただければ最速で貴社のチェックリストを構築いたします。
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。