ISMSやプライバシーマークにおける内部監査の品質を測る指標は何でしょうか？

結論は至ってシンプルです。

「被監査部門に対して、どれだけ意味のある気づきを提供できたのか」

まずは、細かい点も含めて、問題点の洗い出しをおこなう必要があります。その上で、検出された問題点を整理して、どのような言葉で被監査部門に伝えるのかを、監査チーム内で検討していきます。

運用が根付いていない部門に対しては、瑣末なルール違反についても見逃さず、細かくフィードバックする必要があります。

システムの入れ替えやオペレーションの見直しも含めた抜本的な改善が必要な部署に対しては、大局的な視点からフィードバックをおこなう必要があります。

どのような問題を洗い出すべきなのか、組織の状況やマネジメントシステムの成熟度によって異なります。

「目的の設定→着眼点の設定→監査手法への落とし込み」の順番で決定していき、最終的な検討結果を監査計画に反映させていきます。

代表的な監査手法のオプションを下記に挙げておきます。

＜要求事項を網羅する監査＞

チェックシート重視の監査手法です。マネジメントシステム導入時には有効な手法ですし、「審査にも強い」監査手法です。その他のメリットとして、監査員に求められる力量がそれ程高くない、ということが挙げられます。監査項目の意味とチェック方法さえ理解すれば、誰でも同じ品質で監査を実施することができます。ただし、デメリットとしては、業務や情報システムに潜むリスクを検出しにくいことが挙げられます。

＜業務プロセスを重視した監査＞

業務フローを一つ一つ確認しながら課題を炙りだしていく、プロセス重視の監査手法です。Pマークの審査が要求する「リスク分析結果に応じた監査」に近い面もあります。メリットとしては、業務に潜むリスクを検出しやすい点が挙げられます。デメリットとしては、監査員に力量が求められる点です。力量によって監査結果が全く異なってしまうと言って良いでしょう。特にリスクの高い部門や新規に立ち上げた部門を監査する際に利用するのが良いと考えます。

＜実態を緻密に確認する監査＞

とにかく実態を緻密に確認する監査です。例えば「各自の端末に個人情報を保存しない」というルールの遵守状況を確認するとします。その際には、サンプリングした端末に対して、Windowsの検索機能を利用して、csvファイルやエクセルファイルの洗い出しをおこないます。検索されたファイルに怪しいファイル名が付いていれば、中身を確認して個人情報が含まれないことを一つ一つみていきます。情報システム部門に対してはさらに細かい監査をおこないます。Active Directoryの設定画面他、システムのコンソール画面を徹底的にチェックしてルールとの矛盾がないかの確認をおこなっていきます。

この監査手法は、内部不正やミスの防止に役立つ監査手法です。情報システム部門やオペレーション部門の監査に適しています。またファクトから改善策を考えるという意味で納得感のあるフィードバックを提供することが可能になります。

＜現場リテラシーを確認する監査＞

現場の意識向上を目的とした監査となります。「パスワードは何文字に設定していますか？」「個人情報取扱業務が発生した場合にあなたは何をしますか？」などを現場にいる社員の皆さんに無作為に質問していきます。全社的に意識向上を測る際に非常に有効な監査手法です。教育の有効性測定にも適しています。

以上のように、様々な監査手法の中から自社にあった手法を選択して、実施する必要があります。

その上で、監査の結果を言葉にしていく。経営層向け、事務局向け、現場向け、それぞれ使用する言語が異なりますので、被監査部門が動きやすいように言葉、表現方法を緻密に検討することが重要です。

ここから先の話は、別のコラムで説明したいと思います。
 

＜関連情報＞
プライバシーマーク（Pマーク）に関心がある方はこちらへ
ISMS（ISO27001）に関心がある方はこちらへ