- 個人情報保護監査責任者は誰を任命すればよいか、知りたい
- 具体的にどのようなことをチェックしなければならないか、知りたい
そのような悩みをお持ちの担当者も多いと思います。
この記事では、個人情報保護監査責任者になれる立場の人と、具体的なチェック項目(業務内容)について解説します。
これからプライバシーマーク(Pマーク)取得を考えている情報システム担当者は、ぜひこの記事を参考にして、「個人情報保護監査責任者」を正しく選び、内部監査の実施マニュアルを整えてもらえればと思います。
目次
Pマークの個人情報保護監査責任者とは
Pマークの個人情報保護監査責任者とは
Pマークの「内部監査」を実施し、PMSがきちんと機能しているかを客観的に確認する責任者のことです。
Pマークを取得するためには、「個人情報保護監査責任者」を任命する必要があります。
個人情保護監査責任者は、Pマーク取得後、少なくとも年1回は「内部監査」を行い、「自社で決めた個人情報取り扱いルールが、Pマークの規格に適合しているかどうか」、「ルールどおりに運用されているかどうか」をチェックしなければいけません。
個人情報保護監査責任者は、社長などの「代表者」によって、社内の従業者から任命されます。
Pマークの個人情報保護監査責任者になれる人
「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」という)によると、Pマークの個人情報保護監査責任者には「事業者内部に属する者の中から指名」することとなっています。事業者内部の人間であれば、役職を問わず、誰を任命してもよいことになっています。
しかし、JIPDECの解説動画では、「できれば、役員クラスのような、社外に対して責任を取れる者を任命するのが望ましい」と説明されています。(参考:YouTube【JIPDEC公式】プライバシーマークチャンネル【解説②-1 J.1~J.3】「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の解説)
また、特に役職の決まりはなかったとしても、個人情報保護監査責任者は、内部監査結果に基づき個人情報保護責任者へ指導する場合もあるため、できれば、個人情報保護責任者と同等、またはそれ以上の役職者を任命したほうがよいです。
Pマークの個人情報保護監査責任者になれない人
Pマークの個人情報保護監査責任者になれない人には、以下のような人が挙げられます。
- 社長などのトップマネジメント
- 個人情報保護管理者
- 社外の人間
「社長などのトップマネジメント」や「個人情報保護管理者」は、内部監査が公平かつ客観的な立場から行われなければならない観点から、個人情報保護監査責任者になることはできません。
また、客観的な第三者からの視点に基づいた監査ができそうな社外の人間を、個人情報保護監査責任者に任命したいところではありますが、個人情報保護監査責任者は「事業内部に属する者の中から指名」することになっているため、社外の人間を任命することはできません。
(参考:プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針ーp.13 「J.2.3.2 個人情報保護管理者と個人情報保護監査責任者(A.3.3.4)」)
Pマークの個人情報保護監査責任者が実施する内部監査
Pマークの個人情報保護監査責任者は「個人情報管理者」と「社内の各部署」に対して内部監査を実施します。
内部監査は、課題発見と課題解決を行うことにより、PMSの継続的改善を目指すために実施します。
内部監査実施前に行うこと
内部監査を行うにあたり、事前に以下の内容を作成・決定しておく必要があります。
- 内部監査実施計画書の作成
- 個人情報保護監査責任者の選定
- 内部監査員の選定
- 内部監査チェックリストの作成
内部監査実施計画書は、監査テーマ、対象、目的、範囲、スケジュールなどを計画し、内部監査が円滑に進むようにするための計画書です。個人情報保護監査責任者は前述の通り代表者が任命します。
内部監査員は、実際に内部監査を行う監査員ですが、個人情報保護監査責任者が任命します(個人情報保護責任者が兼務することも可能です)。
内部監査チェックリストは、内部監査で監査を行う基準やチェックする項目と、内部監査によって集めた監査証拠を記載しておくチェックリストです。
(参考:YouTube【JIPDEC公式】プライバシーマークチャンネル【解説②-2 J.4~J.7】)
内部監査チェックリストに基づく監査の実施
内部監査は、内部監査チェックリストに基づき、内部監査員が実施します。
内部監査は、個人情報保護管理者と従業者に対して行われ、内部監査チェックリストの内容通りの運用が行われているかチェックします。もしルール通りの運用が行われていない場合は「不適合」として、「指摘事項」を出します。
(参考:YouTube【JIPDEC公式】プライバシーマークチャンネル【解説②-2 J.4~J.7】)
内部監査の報告と指摘事項への対応
内部監査が終わると、個人情報保護監査責任者が内部監査実施結果をとりまとめた「内部監査報告書」を作成します。
「いつ、誰が、どの部署へ行って監査を行ったのか」「監査証拠の評価結果」などをまとめます。
「不適合」による「指摘事項」の内容も記載し、マネジメントレビューの際には、代表者へ指摘事項の報告も行います。
そして、「不適合」に対しては、次の審査までに改善対応を行います。
不適合については、以下の手順で対応します。
- 不適合の内容を確認する
- 不適合となった原因の特定し、改善方法を立案する
- 立案した改善方法に基づき、改善対応の実施する
- 改善対応を実施した結果を記録する
- 実施結果の有効性を確認する
(参考:YouTube【JIPDEC公式】プライバシーマークチャンネル【解説②-2 J.4~J.7】「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の解説【3/7本目】)
不適合を少なくするためには
内部監査における「不適合」を少なくするためには、全ての従業者に対して、Pマーク認証に対する意識を高めることが大切です。
さらに、内部規程がPマークの基準に適合しつつも、自社の業務に無理なく作成されていることも大切です。全ての従業者が日ごろから高い意識を持って、無理なくPMSを遵守した業務ができれば、そもそも不適合が発生しません。
しかし、Pマークをすでに取得している会社でも、従業者のPマーク認証に関する意識が低かったり、会社の業務内容に合っていない規程のままPMSを運用し続けていたりする会社もあります。
そのため、内部監査を行うと不適合が多く見つかり、改善対応のために多くの稼働を取られてしまうケースもあります。
全従業員へのPマーク認証に対する意識の浸透と、無理のない規程の作成によって、内部監査における不適合は少なくすることができます。
まとめ
この記事では、Pマークにおける「個人情報保護監査責任者」の役割、被任命者、内部監査の実施の流れについて解説しました。
個人情報保護監査責任者は、客観的な立場でPMSが正しく運用されているかを確認する責任者です。
代表者は、社外に対して責任が取れる役職の方を、個人情報保護監査責任者へ任命しましょう。
内部監査実施においては、事前に「内部監査実施計画書」「内部監査チェックリスト」の作成が必要です。
内部監査チェックリストに基づき監査を行った結果、もし内部監査で「不適合」が見つかった場合は、次回審査までに改善対応を実施しましょう。
Pマークとは、取得することが目的ではなく、取得後も基準に適合したPMSを継続的に運用していくことが求められるものです。
そのためには、従業者全員がPMSのルールを理解し、「継続的に」遵守していることが一番大切です。
オプティマソリューションズでは、Pマークの新規取得・更新に向けて、貴社の業務の中に自然に浸透する「最低限で使いやすい」内部規定作成・PMS構築のお手伝いをいたします。
そして、Pマーク取得はもちろん、会社の中に認証の考えを浸透させるために、以下の支援を行っております。
- 余分な規程の削除(規約は忠実に遵守)
- Pマーク取得後の定期訪問
- E-ラーニングシステムの提供
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の19年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。