個人情報保護法対策室
個人情報保護法対策室
トップページ
個人情報保護法とは
個人情報保護法の解説
個人情報保護の対策
プライバシーコンサルタントのコラム
FAQ
セミナー・お問い合せ
リンク集
プライバシーコンサルタントのコラム


第9回   個人情報保護体制の監査をしていますか?
2005/09/02
プライバシー・コンサルタント
渡部 大也
PROFILE

個人情報保護法は、「監査」を、義務づけている訳ではありません。これは包括的な法律の中で、「個人情報取扱事業者の義務等」の中に、監査を義務づけることは適当ではないからです。

「監査」については、「基本方針」の(2)責任体制の確保(個人情報の安全管理について、責任体制を確保するための仕組みの整備)にしたがって告知された経済産業省の「経済産業分野のガイドライン」で次のように記述されています。

【経済産業分野のガイドライン 第20条 安全管理措置】

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的人的物理的、及び技術的安全管理措置を講じなければならない。(電話帳、カーナビゲーションシステム等の取扱いについての場合を除く。)。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。なお、その際には、個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましい。


つまり、安全管理措置は以下の分野で実施することが求められているのです。

安全管理措置
組織的
人的
物理的
技術的



 
監査については、この「組織的安全管理措置」の中で以下のように実施が求められています。

【経済産業分野のガイドライン 第20条 安全管理措置】
組織的安全管理措置−【組織的安全管理措置として講じなければならない事項】
(1)個人データの安全管理措置を講じるための組織体制の整備をする上で望まれる事項
従業者の役割・責任の明確化 ※個人データの安全管理に関する従業者の役割・責任を職務分掌規程、職務権限規程等の内部規程、契約書、職務記述書等に具体的に定めることが望ましい。
個人情報保護管理者(いわゆる、チーフ・プライバシー・オフィサー(CPO))の設置
個人データの取扱い(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等の作業)における作業責任者の設置及び作業担当者の限定
個人データを取り扱う情報システム運用責任者の設置及び担当者(システム管理者を含む。)の限定
個人データの取扱いにかかわるそれぞれの部署の役割と責任の明確化
監査責任者の設置
監査実施体制の整備
個人データの取扱いに関する規程等に違反している事実又は兆候があることに気づいた場合の、代表者等への報告連絡体制の整備
個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合の、代表者等への報告連絡体制の整備※個人データの漏えい等についての情報は代表窓口、苦情処理窓口を通じ、外部からもたらされる場合もあるため、苦情の処理体制等との連携を図ることが望ましい(法第31条を参)。
漏えい等の事故による影響を受ける可能性のある本人への情報提供体制の整備
漏えい等の事故発生時における主務大臣及び認定個人情報保護団体等に対する報告体制の整備

一般的に個人情報取扱事業者は2つの異なったアプローチで「監査」を実施しています。
(1) 遵法性をベースにした「監査」
(2) (1)を含む、プライバシーマークの認証基準であるJIS Q15001をベースにした「監査」



「監査」(個人情報保護システム監査)の手順例 (JIS Q15001ベースの例)

監査責任者は以下のような手順を確立し、実施し、維持しなければなりません。

(1) 監査計画の策定 JIS Q15001 4.3.4計画書の作成に則り監査計画を作成し代表者の承認を得る。
(2) 予備調査等の事前準備 監査対象部門の個人情報保護体制整備状況を主管部門や監査対象部門管理者にインタビュー、規程類他の資料提出の依頼等予備調査を実施する。
(3) 個別監査計画監査通知の発行 監査対象部門に監査通知を発行し、協力依頼をする。
必要に応じて事前説明会を開催する。
(4) 監査スペックの決定 監査目的、監査手続き、技法、監査範囲、監査項目、監査資源、日程、チェックリスト等の策定。
(5) セルフアセスメントの実施 チェックリストの自己監査部分を、監査対象部門に回答依頼する。必要なエビデンスも添付提出依頼する。
(6) セルフアセスメントの評価 監査対象部門作成の自己監査チェックリスト内容を評価しリスク分析を実施、往査時の重点ポイントを決める。(但し、初回監査は網羅的に実施する。)
(7) 個別監査計画監査通知の発行 監査対象部門に監査通知を発行し、協力依頼をする。
必要に応じて事前説明会を開催する。
(8) 本監査(往査) チェックリスト(重点ポイント)を元に往査を実施する。現地・現物・実況・事実に基づく監査を実施し、監査報告書作成時に必要な監査証拠を収集する。
(9) 監査内容の確認合意の形成 監査終了時に現地講評会を開催し、監査対象部門と往査内容の確認を実施、往査内容について双方の合意を形成する。
(10) 監査報告書(監査調書)作成 往査結果で確認した現地・現物・実況・事実に基づいて監査報告書を作成し必要に応じて、助言、勧告、保証(意見)を織り込む。
(11) 監査報告会の開催 監査対象部門に対して、監査報告会を実施する。(CPO同席)
同様に代表者に対しても報告をする。(同時に実施する場合もある)
(12) 改善勧告書の発行 監査対象部門に監査報告で述べた問題点に関する改善指示書を代表者名で発行し、回答期限を限定して改善勧告をする。
(13) 改善計画の立案 監査対象部門は改善勧告書を基に改善計画を策定し、監査人に提出する。(本改善計画は代表者に対する被監査部門のコミットメントである)
(14) フォローアップ監査の実施 改善計画に基づいた改善が実施され、リスクが許容範囲に収まり、コントロールが働いているか。良好な運用がなされているか。フォロー監査する。

(10)に戻る

個人情報取扱事業者は「監査報告書」や各種の経営環境に鑑みて「継続的なガバナンスプロセスの改善」を実施します。

「監査」はこの改善に関してもさらにフォローアップし組織の価値を向上しなければなりません。これは監査の目的が次のように定義されているからです。

IIA (The Institute of Internal Auditors)の内部監査の定義

内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的なアシュアランス(Assurance 保証)およびコンサルティング(Consulting 助言)活動である。内部監査は、組織体の目標の達成に役立つことにある。 このために、リスク・マネジメント、コントロールおよび組織体のガバナンス・プロセスの有効性の評価、改善を、内部監査としての体系的手法と規律遵守の態度とをもって行なう。

個人情報保護は「品質」や「環境」と同じように、組織のマネジメントの重要点として取り組むべきものです。そのためには、マネジメントサイクルを確立することが重要です。PLAN・DO・CHECK・ACTIONのマネジメントサイクルのCHECK部分である「監査」を実施し、個人情報保護ガバナンスプロセスのスパイラルアップに努めましょう。



▲ ページTOP


>> 第10回:個人情報保護法と不正競争防止法
<< 第8回:個人情報保護法「違反」の正しい理解
>> INDEX に戻る

このサイトについて   |   サイトマップ   |   個人情報保護について
Copryright (c) 2004-2008, NEC Nexsolutions, Ltd.