内部監査の目的・実施方法や実際の流れを紹介【Pマーク】 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

内部監査の目的・実施方法や実際の流れを紹介【Pマーク】

オプティマ・ソリューションズ編集部のアバター
オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得/更新のお手伝いをしています。担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

プライバシーマーク(Pマーク)を取得するのに必要なアクションである「個人情報保護のための内部監査」について、詳しくお知りになりたいですか?

  • そもそも個人情報保護のための内部監査はなぜ行う必要があるのか?
  • 個人情報保護のための内部監査の詳細を知りたい
  • 個人情報保護のための内部監査を実施したあとに行うアクションは何?

この記事ではこのような質問をお持ちの担当者様に向けて、内部監査の目的・実施方法や実際の流れをご紹介していきます。

個人情報保護のための内部監査の目的(なぜするのか?)

内部監査とは、社内で行う確認行為のことです。社内の業務が正しく行われているか、不正が行われていないかを確認するために行われます。

Pマークは言うまでもなく個人情報保護のための精度ですから、Pマークの審査に通過するためには、事前に個人情報保護のための内部監査を行う必要があります。

では、個人情報保護のための内部監査の目的を、もう少し具体的にすると以下の2つになります。

  1. Pマークの審査基準に適合した個人情報保護規程が作成されているか?
  2. 作成した個人情報保護規程が現場で正しく運用されているか?

つまり、「Pマークの審査基準」があり、それに基づいた「個人情報保護規程」が作成されており、その個人情報保護規程が社内で正しく「運用」されていることを確認するわけです。

このステップを踏むことで、自社の個人情報保護の取扱いが、Pマークの審査基準に合致したものかどうかが確認できます。Pマーク取得の最終ステップである「外部審査機関による審査」のリハーサルのようなことを社内で行うと考えてもいいかもしれません。

※なお、PマークやISMSの世界では、組織の内部で行うものを「(内部)監査」、外部の審査機関から受けるものを「(外部)審査」と言葉を使い分けています。実際に辞書などで見ても「監査」と「審査」は似たような定義となっており、混同される場合もあるのですが、「(内部)監査」と「(外部)審査」という使い分けに慣れるようにしてください。

誰が個人情報保護のための内部監査を実施するのか?

Pマークを取得する準備の一環として、個人情報保護のための内部監査を行う場合、それを行うのは下記の二つの役職になります。

  • 「個人情報保護監査責任者」(内部監査の責任者)
  • 「内部監査員」(内部監査を実際に行う者)

代表者が個人情報保護監査責任者を選び、個人情報保護監査責任者が内部監査員を選びます。どちらも特別な資格は必要ありませんが、信頼して監査業務を任せられる社員を選択してください。

部署の内部監査を行う場合には、その部署の人ではなく、他の部署の人が監査を行うようにしてください。自部門の人が監査を実施すると、上司・部下などの人間関係の問題で、チェックが甘くなる可能性が高いからです。

誰が個人情報保護のための内部監査を受けるのか?

個人情報保護のための内部監査の対象となるのは下記の2つになります。

  • 個人情報保護管理者
  • 各部署

個人情報保護管理者への内部監査

個人情報保護管理者への内部監査で、確認されるのは以下の2点になります。

  • Pマークの審査基準に準拠した個人情報保護規程と様式が用意されているか?
  • 個人情報保護規程で定めたPDCAサイクルが正しく運用されているか?
チェック項目の例
  • 新しく個人情報を利用する場合の手順は定められているか?
  • マネジメントレビューを実施する手順は定められているか?
  • 個人情報台帳は少なくとも年一回、見直しを行い、最新の状態になっているか?
  • 個人情報保護教育は全ての従業者に定期的に(年に一回)実施されているか?

各部署への内部監査

各部署への内部監査では、主に部署内でセキュリティ対策のルールが正しく運用されているかについて確認します。

チェック項目の例
  • 個人情報を保管しているロッカーやキャビネットは常に施錠されているか?
  • パスワードはルールに定めた長さの文字数になっているか?
  • USBメモリなどの管理はルール通りに行われているか?

個人情報保護のための内部監査の準備方法

個人情報保護のための内部監査の準備方法を各ステップごとに解説します。

  • ステップ① 監査計画書を作成する
  • ステップ② 内部監査員を決める
  • ステップ③ 監査チェックリストを作成する

ステップ①監査計画書を作成する

まず、個人情報保護監査責任者が監査計画書を作成します。監査計画書には、監査の日程、対象部署などを記載します。

ステップ②内部監査員を決める

個人情報保護監査責任者は、社内から内部監査員を選定します。選定したら、個人情報保護規程の内容などを簡単におさらいしてもらって、内部監査員自身がルールを正しく理解するようにしてください。

なお、個人情報保護監査責任者が内部監査員を兼務することも可能です。また後述しますが、コンサルティング会社に内部監査を委託することも可能です。(そうすると内部監査と言えるのかどうか不思議な感じがするかもしれませんが、まったく問題ありません)

ステップ③監査チェックリストを作成する

まず、Pマークの審査基準の項目をそのまま使用し、それらが一つずつ満たされているかどうかを確認する監査チェックリストを作成します。これは主に必要な規程が作成されていることと、PDCAサイクルが回っていることを確認する内容になると思われます。

次に、個人情報保護規程に基づいてそれが社内で実行されているかどうかを確認する監査チェックリストを作成します。これは主に情報セキュリティ対策が各部署で実施されていることを確認する内容になります。

個人情報保護のための内部監査実施の流れ

作成した監査チェックリストに基づいて内部監査を実施します。下記の2段階からなります。

  • 机上監査(会議室で書類を確認しながら行う監査)
  • 現場監査(定めたルールに基づいた運用が実行されているかの現場確認)

個人情報保護管理者への内部監査は、ほとんど机上監査で終わることでしょう。各部署への内部監査は、多くは現場監査が中心となることでしょう。ただし、これに限らない場合もあると思いますので、実態に合わせて確認してください。

もし、監査チェックリストの内容が実施されていない場合には、「不適合」となります。不適合とまでいかないまでも気になる場合には「観察事項」などとすることもあります。その旨、監査チェックリストに記入します。

個人情報保護のための内部監査終了後の流れ

個人情報保護のための内部監査終了後の流れは以下の3ステップになります。

  • ステップ① 監査報告書を作成する
  • ステップ② 是正を行う
  • ステップ③ マネジメントレビューで報告する

ステップ①内部監査報告書を作成する

個人情報保護監査責任者は、監査チェックリストの結果をもとに、内部監査報告書を作成します。監査対象部署ごとに、実施日、担当者名、不適合と観察事項の件数などを記載するものです。

ステップ②是正を行う

個人情報保護のための内部監査で、不適合と判断されたものについて、一件ずつ「是正」を行います。是正では、不適合の内容、不適合を修正するための当面の処置、不適合の原因、再発防止のための改善策などを明確にし、運用をただすと同時に、場合によっては個人情報保護規程そのものを改善することもあります。このようにして、個人情報保護の取り組みをバージョンアップしていくのがPマークのPDCAサイクルなのです。

ステップ③マネジメントレビュー

マネジメントレビューとは、代表者による見直しのことで通常年に一回行われるものです。このマネジメントレビューの中で、一番最近実施された内部監査の結果を報告します。

個人情報保護のための内部監査を専門のコンサルタントに頼むメリット

個人情報保護のための内部監査を実施するにあたり、内部監査員を専門のコンサルタントに頼むこともあります。個人情報保護のための内部監査をコンサルタントに依頼するメリットは以下になります。

  • 個人情報保護規程の正しい理解に基づいて不適合を指摘できる。
  • 外部の専門家の意見を取り入れることができる。
  • 内部監査員の工数を節約できる。
  • 全体にスムーズに進行できる。

専門のコンサルタントに内部監査を依頼した場合には、Pマークの審査基準や、御社の個人情報保護規程をきちんと理解して内部監査を実施することができます。また外部の専門家の意見に基づいて内部監査を進行できるため、その結果を社内で強く説明することが行いやすくなると思われます。

また内部監査員を選定したり、個人情報保護規程を理解させるなどの工数も節約でき、全体にスムーズに内部監査を実行できると思われます。費用が発生する場合もあると思いますが、コンサルタントに内部監査を委託することもご検討頂ければと思います。

まとめ

この記事ではPマークの取得に必要となる個人情報保護のための内部監査について解説しました。

個人情報保護のための内部監査は、社内で取り扱う個人情報に関する意識を高めるために非常に良い機会となります。

正しく内部監査の意味を把握して取り組み、個人情報保護とPマーク取得への取り組みの参考にしてください。

Pマーク取得のご相談ならオプティマ・ソリューションズへ!

弊社は創業後の20年間で3,500件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

  • メールへの返信や見積などへの対応スピードが速く、短期取得(約6か月)のサポートができる
  • 3万円/月~の分割払いができる
  • 東京、大阪、名古屋に支社がある
  • オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
  • 使いやすいE-ラーニングツールを無料提供している

弊社ではPマークの取得をするのと同時に、御社の情報セキュリティの水準アップが実現できるように全力でサポート致します。

お客様の情報セキュリティの水準がアップすることで、安心、安全を達成し、お客様が本業にまい進していただける状態を作ることを理想と考えているからです。

これからPマークを取得される事業者様はぜひ、お気軽にご相談下さい。