プライバシーマーク(Pマーク)を取得するのに必要なアクションである「個人情報保護のための内部監査」について、詳しくお知りになりたいですか?
- そもそも個人情報保護のための内部監査はなぜ行う必要があるのか?
- 個人情報保護のための内部監査の詳細を知りたい
- 個人情報保護のための内部監査を実施したあとに行うアクションは何?
この記事ではこのような質問をお持ちの担当者様に向けて、内部監査の目的・実施方法や実際の流れをご紹介していきます。
目次
Pマークの内部監査とは?
Pマークの内部監査とは、自社のPMS(個人情報保護マネジメントシステム)の構築・運用のが適切かの組織内チェックのことで、年1回以上内部監査が必要となります。
内部監査の責任者と実行者を設けて、チェック項目沿って各部署の運用状況をチェックしていきます。
・ルールに則っているか
・今のルールが有効か
という大きく2つの観点で監査を実施する必要があります。
個人情報保護のための内部監査の目的(なぜするのか?)
内部監査とは、社内で行う確認行為のことです。社内の業務が正しく行われているか、不正が行われていないかを確認するために行われます。
Pマークは言うまでもなく個人情報保護のための精度ですから、Pマークの審査に通過するためには、事前に個人情報保護のための内部監査を行う必要があります。
では、個人情報保護のための内部監査の目的を、もう少し具体的にすると以下の2つになります。
- Pマークの審査基準に適合した個人情報保護規程が作成されているか?
- 作成した個人情報保護規程が現場で正しく運用されているか?
つまり、「Pマークの審査基準」があり、それに基づいた「個人情報保護規程」が作成されており、その個人情報保護規程が社内で正しく「運用」されていることを確認するわけです。
このステップを踏むことで、自社の個人情報保護の取扱いが、Pマークの審査基準に合致したものかどうかが確認できます。Pマーク取得の最終ステップである「外部審査機関による審査」のリハーサルのようなことを社内で行うと考えてもいいかもしれません。
※なお、PマークやISMSの世界では、組織の内部で行うものを「(内部)監査」、外部の審査機関から受けるものを「(外部)審査」と言葉を使い分けています。実際に辞書などで見ても「監査」と「審査」は似たような定義となっており、混同される場合もあるのですが、「(内部)監査」と「(外部)審査」という使い分けに慣れるようにしてください。
誰が個人情報保護のための内部監査を実施するのか?
Pマークを取得する準備の一環として、個人情報保護のための内部監査を行う場合、それを行うのは下記の二つの役職になります。
- 「個人情報保護監査責任者」(内部監査の責任者)
- 「内部監査員」(内部監査を実際に行う者)
代表者が個人情報保護監査責任者を選び、個人情報保護監査責任者が内部監査員を選びます。どちらも特別な資格は必要ありませんが、信頼して監査業務を任せられる社員を選択してください。
部署の内部監査を行う場合には、その部署の人ではなく、他の部署の人が監査を行うようにしてください。自部門の人が監査を実施すると、上司・部下などの人間関係の問題で、チェックが甘くなる可能性が高いからです。
誰が個人情報保護のための内部監査を受けるのか?
個人情報保護のための内部監査の対象となるのは下記の2つになります。
- 個人情報保護管理者
- 各部署
個人情報保護管理者への内部監査
個人情報保護管理者への内部監査で、確認されるのは以下の2点になります。
- Pマークの審査基準に準拠した個人情報保護規程と様式が用意されているか?
- 個人情報保護規程で定めたPDCAサイクルが正しく運用されているか?
- 新しく個人情報を利用する場合の手順は定められているか?
- マネジメントレビューを実施する手順は定められているか?
- 個人情報台帳は少なくとも年一回、見直しを行い、最新の状態になっているか?
- 個人情報保護教育は全ての従業者に定期的に(年に一回)実施されているか?
各部署への内部監査
各部署への内部監査では、主に部署内でセキュリティ対策のルールが正しく運用されているかについて確認します。
- 個人情報を保管しているロッカーやキャビネットは常に施錠されているか?
- パスワードはルールに定めた長さの文字数になっているか?
- USBメモリなどの管理はルール通りに行われているか?
個人情報保護のための内部監査の準備方法
個人情報保護のための内部監査の準備方法を各ステップごとに解説します。
- ステップ① 監査計画書を作成する
- ステップ② 内部監査員を決める
- ステップ③ 監査チェックリストを作成する
ステップ①監査計画書を作成する
まず、個人情報保護監査責任者が監査計画書を作成します。監査計画書には、監査の日程、対象部署などを記載します。
ステップ②内部監査員を決める
個人情報保護監査責任者は、社内から内部監査員を選定します。選定したら、個人情報保護規程の内容などを簡単におさらいしてもらって、内部監査員自身がルールを正しく理解するようにしてください。
なお、個人情報保護監査責任者が内部監査員を兼務することも可能です。また後述しますが、コンサルティング会社に内部監査を委託することも可能です。(そうすると内部監査と言えるのかどうか不思議な感じがするかもしれませんが、まったく問題ありません)
ステップ③監査チェックリストを作成する
まず、Pマークの審査基準の項目をそのまま使用し、それらが一つずつ満たされているかどうかを確認する監査チェックリストを作成します。これは主に必要な規程が作成されていることと、PDCAサイクルが回っていることを確認する内容になると思われます。
次に、個人情報保護規程に基づいてそれが社内で実行されているかどうかを確認する監査チェックリストを作成します。これは主に情報セキュリティ対策が各部署で実施されていることを確認する内容になります。
個人情報保護のための内部監査実施の流れ
作成した監査チェックリストに基づいて内部監査を実施します。下記の2段階からなります。
- 机上監査(会議室で書類を確認しながら行う監査)
- 現場監査(定めたルールに基づいた運用が実行されているかの現場確認)
個人情報保護管理者への内部監査は、ほとんど机上監査で終わることでしょう。各部署への内部監査は、多くは現場監査が中心となることでしょう。ただし、これに限らない場合もあると思いますので、実態に合わせて確認してください。
もし、監査チェックリストの内容が実施されていない場合には、「不適合」となります。不適合とまでいかないまでも気になる場合には「観察事項」などとすることもあります。その旨、監査チェックリストに記入します。
個人情報保護のための内部監査終了後の流れ
個人情報保護のための内部監査終了後の流れは以下の3ステップになります。
- ステップ① 監査報告書を作成する
- ステップ② 是正を行う
- ステップ③ マネジメントレビューで報告する
ステップ①内部監査報告書を作成する
個人情報保護監査責任者は、監査チェックリストの結果をもとに、内部監査報告書を作成します。監査対象部署ごとに、実施日、担当者名、不適合と観察事項の件数などを記載するものです。
ステップ②是正を行う
個人情報保護のための内部監査で、不適合と判断されたものについて、一件ずつ「是正」を行います。是正では、不適合の内容、不適合を修正するための当面の処置、不適合の原因、再発防止のための改善策などを明確にし、運用をただすと同時に、場合によっては個人情報保護規程そのものを改善することもあります。このようにして、個人情報保護の取り組みをバージョンアップしていくのがPマークのPDCAサイクルなのです。
ステップ③マネジメントレビュー
マネジメントレビューとは、代表者による見直しのことで通常年に一回行われるものです。このマネジメントレビューの中で、一番最近実施された内部監査の結果を報告します。
内部監査の実施期間
内部監査には時間やタイミングは特に指定はないです。
細かくチェックすると時間が長引く可能性もあるため、あらかじめおおよその時間を定めておくことをお勧めします。
Pマークの内部監査は時間がかかることが多いため、長めに設定することが一般的です。
内部監査実施をスケジュール月に実施できなかった場合
内部監査に実施期間の指定はないですがPマークを申請する際に、監査の実施報告が必要になりますので、申請までには必ず実施しておく必要があります。
よって、予定月に実施できなくても申請までには間に合うように進めていきましょう。
内部監査は年に1回は必要
Pマークは一度取得しても、維持するためには2年ごとの更新を行う必要があります。更新の際にも内部監査の実施記録を求められるので、定期的な内部監査が必要です。
内部監査実施をスケジュール月に実施できなかったら?
部門監査は、必ずしも決まった月に実施する必要はありません。
ただし、Pマーク申請時には内部監査の記録の提出が求められるため、申請までには必ず実施しておく必要があります。
そのため、当初の予定通りに実施できなかった場合でも、最終的には申請までに内部監査を行い、適切に記録を残しておきましょう。
監査報告書の書き方
それぞれの指摘に対して、評価区分と指摘事項内容を記載する必要があります。
指摘事項の評価区分例
- 不適合
- 改善の機会
※通常は「不適合」かどうかを判断すれば十分ですが、上記のように「不適合には該当しないものの、実施が不十分であったり、さらなる改善が望まれる場合」に「改善の機会」という評価区分を設けています。
指摘事項内容
PCのパスワードについては、「定期的にパスワードを変更し、複雑な文字列で設定する」というルールが定められています。
しかし、監査対象者へのヒアリングの結果、「初期設定のパスワードをそのまま使用している」「パスワードを付箋に書いてモニターに貼っている」といったルール違反が確認された場合は、以下のように記載します。
※基本的には、事実をそのまま記載すれば問題ありません。
個人情報保護のための内部監査を専門のコンサルタントに頼むメリット
個人情報保護のための内部監査を実施するにあたり、内部監査員を専門のコンサルタントに頼むこともあります。個人情報保護のための内部監査をコンサルタントに依頼するメリットは以下になります。
- 個人情報保護規程の正しい理解に基づいて不適合を指摘できる。
- 外部の専門家の意見を取り入れることができる。
- 内部監査員の工数を節約できる。
- 全体にスムーズに進行できる。
専門のコンサルタントに内部監査を依頼した場合には、Pマークの審査基準や、御社の個人情報保護規程をきちんと理解して内部監査を実施することができます。また外部の専門家の意見に基づいて内部監査を進行できるため、その結果を社内で強く説明することが行いやすくなると思われます。
また内部監査員を選定したり、個人情報保護規程を理解させるなどの工数も節約でき、全体にスムーズに内部監査を実行できると思われます。費用が発生する場合もあると思いますが、コンサルタントに内部監査を委託することもご検討頂ければと思います。
まとめ
この記事ではPマークの取得に必要となる個人情報保護のための内部監査について解説しました。
個人情報保護のための内部監査は、社内で取り扱う個人情報に関する意識を高めるために非常に良い機会となります。
正しく内部監査の意味を把握して取り組み、個人情報保護とPマーク取得への取り組みの参考にしてください。
オプティマ・ソリューションズでは、Pマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからPマークを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
