オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

「Pマーク（プライバシーマーク）の内部監査はどのようにやればよいのか？」

「Pマークのセキュリティ担当者が取得した方がよい資格はあるのか？」

このような悩みを持つご担当者の方もおられるのではないでしょうか。

本記事では、Pマークにおける個人情報保護マネジメントシステムの内部監査は誰が、いつ、誰に対して、どのように行うかを解説します。また、Pマークのセキュリティ担当者におすすめの資格である「情報セキュリティマネジメント試験」とその学び方についても紹介します。

貴社での内部監査の実施、情報セキュリティ担当者の資格取得のための参考にして下さい。

Pマークにおける個人情報保護マネジメントシステムの内部監査とは？

内部監査とはどういうもので、誰が誰を対象にして行うかについてまず説明をします。

• 内部監査では個人情報保護ルールとPマーク規格との適合性を監査する
• 内部監査では個人情報保護ルールが正しく運用・維持されているかを監査する
• 内部監査は個人情報保護監査責任者と2名以上の内部監査員で行う
• 内部監査では個人情報保護管理者と社内各部署に対しての監査を行う

それぞれについて解説します。

内部監査はどのように行うか

Pマークにおける個人情報保護マネジメントシステムの内部監査は2種類です。

1. 適合状況の監査

適合状況の監査とは、自社の個人情報保護マネジメントシステムの構築・運用について定めたルールの内容が、Pマークの準拠規格であるJIS Q 15001に適合しているかを監査することです。

手順や仕組みが適切かについても確認をしましょう。

2. 運用状況の監査

運用状況の監査とは、個人情報保護マネジメントシステムが実際にルールに従って運用・維持されているかを監査することです。仕事の現場で社員がきちんと個人情報保護についてのルールを守っているかを確認します。

また、個人情報保護マネジメントシステムが有効に機能しているかの確認も必要です。

内部監査は誰が行うか

内部監査は、監査責任者である「個人情報保護監査責任者」と、実際に監査を行う「内部監査員」で実施します。

内部監査員には特別な資格がなくてもなれますが、内部監査を行えるだけの力量を持っていることが必要です。

会社の代表者が個人情報保護監査責任者を任命し、次に、個人情報保護監査責任者が内部監査員を選びます。

個人情報保護監査責任者と内部監査員を兼任することも可能です。

内部監査員が監査を行い、監査の内容と結果について個人情報保護監査責任者に報告をします。

ただし、自分の所属する部署の内部監査を行うことはできないため、内部監査員は少なくとも2名必要です。

また、内部監査は当社のようなコンサルティング会社にご依頼を頂くことも可能です。

内部監査の対象者は誰か

内部監査の対象者は次の通りです。

• 個人情報保護管理者

Pマークが定める文書・記録類の適切な管理をしているか、個人情報保護マネジメントシステムのルールを守っているかなどを監査します。

なお、個人情報保護管理者が個人情報保護監査責任者を兼任することは、監査の公平性と客観性を損なうため認められていません。

• 社内の各部署

個人情報の保護についてのルールを守っているかを監査します。

内部監査の流れ

次に、内部監査の流れを見ていきましょう。

内部監査は次の手順で進めます。

1. 監査計画書を作成する
2. 個人情報保護責任者を選任する
3. 内部監査員を選任する
4. 監査チェックリストを作成する
5. 監査チェックリストに沿って監査を行う
6. 監査報告書を作成する
7. 指摘事項に対応する
8. マネジメントレビューを行う

1. 監査計画書を作成する

監査計画書に記載する内容は監査の目的、対象、実施日、実施担当者名などです。なお、監査計画書の作成は必須になります。

2. 個人情報保護責任者を選任する

代表者で個人情報保護責任者を選任します。なお、代表者自身が個人情報保護責任者になることはできません。

3. 内部監査員を選任する

個人情報保護責任者で内部監査員を2名以上選任します（自分が所属する部署の監査はできないため）。

なお、コンサルティング会社などに内部監査を依頼している場合は、内部監査委員の選定は不要です。

4. 監査チェックリストを作成する

先述の適合状況と運用状況の監査用チェックリストをそれぞれ作成します。Pマークの規格とガイドラインを基にして、自社での監査時に確認が必要な項目のチェックリストを作成しましょう。

監査チェックリストはPマークの審査時の提出資料としても必要になります。

5. 監査チェックリストに沿って監査を行う

適合状況と運用状況の監査をチェックリストを基に行い、必要に応じて現場での聞き取り調査を行います。施錠などの物理的な対策も確認しましょう。

監査チェックリストとの不適合がもし発見された場合は、指摘事項として監査報告書に記載します。

6. 監査報告書を作成する

監査報告書には次の内容を記載します。

• 監査を実施した日
• 監査対象の部門名
• 監査の目的
• 監査の内容
• 指摘事項（ない場合は不要）

指摘事項にはルール違反の内容をありのままに記載しましょう。

また、もし不適合とまではいかなくても改善が必要なことがあれば、監査報告書に記載してマネジメントレビューで報告します。ただし「改善」であれば社内での検証過程で不要とされる可能性もあります。

7. 指摘事項に対応する

指摘事項・改善事項に対応し、実施した是正措置と改善を監査報告書に記載して、マネジメントレビューへと進みましょう。

なお、指摘事項への対応は次の順に行います。

1. 不適合内容を確認する
2. 不適合の原因を特定して、再発防止と改善のための対策を立て、実行する
3. 行なった是正措置の効果と有効性を検証する

8. マネジメントレビューを行う

代表者に監査内容を報告して、マネジメントレビューを受け、今後の個人情報保護マネジメントシステムの運用の仕方を決めます。

Pマークのセキュリティ担当者におすすめの資格と学び方

Pマークのセキュリティ担当者におすすめの資格は「情報セキュリティマネジメント試験」です。

情報セキュリティマネジメント試験とは、情報漏洩などのインシデントや、サイバー攻撃などの外的リスクへ対応できる人材の育成を目的とする国家試験のことです。

試験の主催団体である独立行政法人 情報処理推進機構（以降、IPA）では、情報セキュリティマネジメント試験の資格取得を、個人情報を業務で取り扱う全ての人に対して推奨しています。

Pマークの個人情報保護を担当されている方にとっても、情報セキュリティの基礎知識と基本的スキルを体系的に学習できる資格になるため、取得を検討されてもよいでしょう。

国家試験においても、ITの安全な利活用をする上で基礎的な知識とスキルが身につけられる資格であるとされています。

事業者の規模や業種を問わず、利用者側の現場で情報セキュリティを管理される方に適した資格であると言え、ITリテラシーの向上にも役立ちます。

詳しい試験方式や試験日についてはIPAのホームページを参照して下さい。

独学で勉強される場合は、参考書や過去問集を活用されるとよいでしょう。合格に必要な勉強時間は200時間ほどが目安とされています。受験者の50%前後は毎年合格しているので、それ程難易度は高くありません。

個人情報を取り扱う業務をされていて、情報セキュリティについて学ばれたい方は下記の参考書を使われてもよいでしょう。初心者向けの内容になっていて、過去問と解説も付いています。

「情報処理教科書 出るとこだけ！情報セキュリティマネジメント テキスト＆問題集［科目A］［科目B］2024年版」

また、情報セキュリティマネジメントシステムだけでなく、Pマークにおける個人情報保護マネジメントシステムについても体系的に学ばれたい方には「個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2023)」がおすすめです。内部監査についても学ぶことができます。

Pマーク取得のご相談ならオプティマ・ソリューションズへ！

弊社は創業後の20年間で3,500件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。