内部監査は、審査で指摘を受けた際の対応負荷が最も高い要求事項となります。かつては監査やり直しという厳しい指摘事項が頻発していました。まず審査基準を満たすための方法を理解した上で、実効性のある監査を実施する、ということを考えていく必要があります。本項では審査基準をクリアするための内部監査の実施方法について説明したいと思います。
内部監査における審査の基準を下記に列挙します。
・個人情報保護管理者、会社法上の監査役ではない、内部の者を監査責任者として選任していること。
・自部門監査を実施しないよう、監査体制が整備されていること。
・全部門、全拠点に対して監査が実施されていること。
・PMS部門や事務局部門に対して監査が実施されていること。
・リスク分析の結果に応じて監査項目が設定されていること。
・監査計画書、監査チェックシート、監査報告書がエビデンスとして保存されていること。
・監査計画書、監査報告書は代表者の承認を得ていること。
・監査で検出された不適合に対して、是正予防の記録が作成されていること。
これらの基準を満たしていないと、最悪の場合は審査において監査のやり直しが求められる場合があるので、組み立てには注意が必要です。逆に上記の基準を満たしていれば、毎年指摘事項ゼロの監査であっても審査で指摘されることはありません。
ロジックの組み立てが難しいのは「全部門監査」「リスク分析結果の反映」となります。
・全部門監査
個人情報の濃淡によって、どのレイヤーで監査対象を切り取るかを考えていきます。例えば営業系部門は個人情報が殆ど発生しない、オペレーション系部門は個人情報が大量に発生するという場合には、営業部門を本部単位で、オペレーション系部門を部単位で監査対象とするのが良いかもしれません。どのレイヤーで切り取りをおこなったとしても、組織全体をカバーする形で、監査対象の定義をおこなう必要があるので、監査の効果と効率性をみながら計画を立てることが重要となります。
・リスク分析結果の反映
かつて監査やり直しが頻発していた審査項目です。リスク分析と監査項目が連動していることをどのように説明するのか、がポイントになります。かつてはリスク分析シートの右端に監査チェック欄を設けて、それを使って監査するのが一般的な対応とされていました。小規模事業者であればこの方法も可能ですが大規模事業者の場合は、不可能な方法です。この審査項目に正面から対応するとすれば、監査チェックシートの設計を緻密に考える必要があります。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ