|
今回は、前回の「運用の確認」に続いて「監査」の解説です。
前回記述したように、JIS Q15001:1999ではこの「監査」のみであったチェック機能が、JIS Q15001:2006では「運用の確認」と「監査」で構成されるようになりました。
即ち、「運用の確認」は各部門及び各階層において部門長、責任者、担当者等が行う点検行為を言いますが、今回の「監査」はその「運用の確認」も含めて、監査人が独立的、客観的な立場で、マネジメントシステムの整備状況と運用状況を検証し評価する行為です。
それでは、 JIS Q15001:2006 の「監査」とはどのような仕組みを整備し、どのように運用すべきでしょうか。
「監査」に関するJIS規定は以下のようになっています。
|
(1)事業者は、
- 個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査しなければならない。
- 監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施しかつ、維持しなければならない。
(2)事業者の代表者は、
- 公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。
(3)個人情報保護監査責任者は、
- 監査を指揮し、監査報告書を作成し、事業者の代表者に報告しなければならない。
- 監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保しなければならない。
|
|
JIS規定は「監査」に関して、三つの主体に対して要求事項を列記しています。
| (1)事業者(組織)に対して、次の二つの監査(図−B参照)を実施することを求めています。 |
|
|
- ◇整備した個人情報保護マネジメントシステムとJIS Q15001:2006規格の要求事項に関する適合状況を定期的かつ適時に監査する
- この監査は一般的に「保証型」の監査を年に一度以上実施することを求めています。
- ◇適合状況を監査し不適合を是正した上で一定期間運用し、その運用状況を定期的に監査する
- 運用状況の監査は一般的に「助言型」の監査を年に一度以上実施することを求めています。
【図-B】保証型の監査と助言型の監査(*)
JIS Q15001:2006
|
1 適用範囲
2 用語及び定義
3 要求事項
3.1 一般要求事項
3.2 個人情報保護方針
3.3 計画
3.3.1 個人情報の特定
3.3.2 法令、国が定める指針その他の規範
3.3.3 リスクなどの認識、分析及び対策
3.3.4 資源、役割、責任及び権限
3.3.5 内部規程
3.3.6 計画書
3.3.7 緊急事態への準備
3.4 実施及び運用
3.4.1 運用手順
3.4.2 取得、利用及び提供に関する原則
3.4.2.1 利用目的の特定
3.4.2.2 適正な取得
3.4.2.3 特定の機微な個人情報の取得...制限
3.4.2.4 本人から直接書面によって取得する場合の措置
3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置
3.4.2.6 利用に関する措置
3.4.2.7 本人にアクセスする場合の措置
3.4.2.8 提供に関する措置 |
3.4.3 適正管理
3.4.3.1 正確性の確保
3.4.3.2 安全管理措置
3.4.3.3 従業者の監督
3.4.3.4 委託先の監督
3.4.4 個人情報に関する本人の権利
3.4.4.1 個人情報に関する権利
3.4.4.2 開示等の求めに応じる手続
3.4.4.3 開示対象個人情報に関する周知など
3.4.4.4 開示対象個人情報の利用目的の通知
3.4.4.5 開示対象個人情報の開示
3.4.4.6 開示対象個人情報の訂正、追加又は削除
3.4.4.7 開示対象個人情報の利用又は提供の拒否権
3.4.5 教育
3.5 個人情報保護マネジメントシステム文書
3.5.1 文書の範囲
3.5.2 文書管理
3.5.3 記録の管理
3.6 苦情及び相談への対応
3.7 点検
3.7.1 運用の確認
3.7.2 監査
3.8 是正処置及び予防処置
3.9 事業者の代表者による見直し |
|
|
|
|
* 必ずしも明確に対応するわけではありませんが主旨としてご理解ください
| (2)事業者の代表者(社長)に対して、「監査責任者」を選任することを求めています |
|
|
監査責任者は、公平、かつ、客観的な立場にある者を事業者の内部の者から指名します。つまり社内のものでなくてはなりません。
社内の者であれば専任である必要はなく兼務であってもかまいません。その上で社長は、この監査責任者に「(1)の監査の実施」を命じなくてはなりません。
| (3)監査責任者は代表者(社長)の命を受けて次の三つの事項を実施します。 |
|
|
- ◇監査を指揮する
- 必ずしも監査責任者自身が監査を実施する必要はありません。監査人を選任し、監査を指揮すればよいのです。
- ◇監査を実施する
- 実際に監査を実施する監査人を選任する際は、監査の客観性及び公平性を確保しなければなりません。つまり、監査人は、自ら管理監督する立場にある部門を自らが監査することはしてはなりません。
- ◇監査報告書を作成し、事業者の代表者に報告する
- 監査結果について、監査報告書にまとめ代表者(社長)に報告しなければなりません。
一般的な個人情報保護マネジメントシステムにおける監査はさほど厳密な者が求められるわけではありませんが、JIS Q15001:2006の適合性自己宣言を行う等の場合は、厳密な意味の「監査」を実施することが望ましいと思います。
この場合の監査は、「監査」という言葉を使う限りIIA(内部監査協会)の監査基準に準拠して行うことが望ましく、またその報告書も「報告基準」に基づいて作成することが望ましいことは言うまでもありません。
IIA(内部監査協会)の監査基準には監査の品質管理についての事項も示されており、監査実施においては可能な限り監査の品質管理を行うことが望ましく、そのような基準に基づく品質管理を行った「監査」の場合にのみ「この監査はIIA(内部監査協会)の監査基準に基づいて行われた監査である」旨を報告書に記述することが可能です。
| 
