fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークの監査において気をつけるべきことを徹底解説! 内部監査の進め方とは

Pマークの内部監査、ご存じですか?

Pマークはとって終わり……ではありません。適切に運用していくために、内部監査の定期的な実施が義務付けられているのをご存じでしょうか。
内部監査とは、社内で行う監査のこと。構築した個人情報保護マネジメントシステムやルールが適切かどうかをチェックする活動を指します。
内部監査には、以下のルールが設けられています。

・年1回実施すること
・監査計画、実施、報告の手順を事前に確立し、これに伴う記録を取ること
・監査員は、自分の属する業務を監査しないこと

大枠はこのように決まっていますが、いつ、どの程度の時間をかけて何をやるか(質問するのか)といった具体的な手順は規定になく、組織が決めて良いことになっています。
しかし、それだけでは何を監査したらいいのかわからなくなってしまいますよね。
そこで内部監査には、「適合性監査」「運用監査」という2つの視点があることを押さえておきましょう。

適合性監査:規格の要求事項との整合性を図る

適合性監査とは、自社で構築したマネジメントシステムやルールが、「JISQ15001規格」に適合しているかを調べる監査です。具体的には作成したチェックリストに基づき、自社の規程を一つひとつチェックしていきます。
またこのタイミングで、法的な要求事項や顧客要求事項を順守できているのかを確認する必要もあります。

運用監査:部署での運用状況をチェック

運用監査は、部署など現場での運用状況を調べる監査。マネジメントシステムやルールが遵守されているかを確認します。
実施においては内部監査員が各部署を回り、チェックリストに基づき運用状況を監査していきますが、適合性監査よりも運用監査の方が、不適合が多く発見されると言われています。
理由としては部署や担当者の状況によって、業務手順が変わる場合があるから。部署によってオリジナルのルールがあったり、業務効率を上げるために担当者ベースでやり方が変わったりしているケースもあり、知らず知らずのうちにルール違反をしてしまっていることも少なくありません。
きちんと一度で是正されればその後は不適合が少なくなりますが、毎年同じ箇所で不適合が出ることもあり得ますので、十分注意しましょう。

そもそも、内部監査を実施するのは誰?

これらの内部監査ですが、一体誰が実施するのでしょうか。
内部監査の実施においては、社内から「個人情報保護監査責任者(内部監査の責任者)」と「内部監査員(内部監査を行う担当者)」を選出します。
両者とも資格等は不要。代表者(経営者といった組織の代表者はNG)が個人情報保護監査責任者を選抜し、個人情報保護監査責任者が内部監査員を選抜します(個人情報保護監査責任者が内部監査員を兼任することも可)。実施においては、主に内部監査員が内部監査を行い、個人情報保護監査責任者に報告する流れになります。
このように実施にはいくつかの手順が必要ですが、社内で行うのが難しい場合、外部のコンサルティング会社等に依頼することも可能です。
コンサルティング会社は専門的な知識を持っていますので、専門家の視点からフラットな目でチェックして、有効な指摘と報告をしてくれます。しかしもちろん、その分の費用もかかってしまいますのでご注意を。
内部で実施する場合、費用はかかりませんが、関係性によっては指摘がしづらいといったこともありますので、メリット・デメリットを見極めて進めましょう。

内部監査は誰が受けるの?

では、内部監査の対象者は誰になるのでしょうか。結論から言えば、個人情報保護管理者と該当する各部署になります。
個人情報保護管理者に対する内部監査では、Pマークで求められている文書類や記録類がすべて揃っているか、定められたルールがきちんと守られているかといったことを監査します。例えば個人情報の管理は適切か、その扱い方法に関してコーポレートサイトにきちんと記載がされているか等です。
部署に対する監査については、決められたルールをきちんと守って業務を遂行しているかが見られます。業務手順はもちろん、資料を入れる棚の鍵の管理やPCの管理といった事項も含まれます。

なぜ、内部監査を行わなければいけないの?

やるべきことがたくさんある内部監査ですが、そもそもなぜ内部監査を行うのでしょうか。
決まりと言ってしまえばそれまでなのですが、何よりも大切なのは、「自分たちで決めたことを、自分たちがしっかりと守っているか」を確認するためです。
正しく監査することが、サービスの品質向上につながり、企業成長につながるため、部署のメンバーや責任者が入れ替わっても取り組みを続けることが重要なのです。

内部監査の流れと実施方法について

内部監査を実施する場合は、以下のような手順で進めていきます。
まずすべきことは、監査の目的や時間割の共有。次に監査開始前のミーティングを行い、部門ごとに監査の実施。その後は監査後ミーティングを行い、監査報告書を作成し、マネジメントレビューを行っていきます。

内部監査前にやるべきこと

監査前にやるべきことを見ていきましょう。
まず行うのは、監査計画書の作成です。監査計画書は、何をやるかまとめた書類に当たります。記載する内容としては、内部監査を実施する担当者名(個人情報保護監査責任者・内部監査員)、監査の目的やテーマ、実施日、監査の対象と該当部署等。これらはあくまで例になりますので、必要だと思われる事項を記載していきましょう。
併せて、チェック項目をまとめたチェックリストの作成、また監査対象部門が提出する事前提出物の通知も行っていきます。事前提出物は部門の準備が必要のため、監査日の1〜2週間前には通知をするようにしましょう。
また個人情報保護監査責任者、内部監査員の選定も行っていきます。
前述の通り、個人情報保護監査責任者は代表者が選任し、内部監査員は個人情報保護監査責任者が選任します。この時、内部監査員は自部署の監査は担当できないため、最低2名の選出が必要です(個人情報保護監査責任者が内部監査員を兼任することも可)。
適任者が見つからない場合、コンサルティング会社等に外注することもできますので、そういった方法も検討しても良いでしょう。
個人情報保護監査責任者と内部監査員が決まったら、事前提出物の監査を行い、重点監査事項の洗い出し、実施へと進んでいきます。

内部監査実施において、気をつけるべきことは?

必要な準備が終われば、いよいよ実施日になります。
当日の監査は、チェックリストをもとに進めていきます。まず個人情報保護管理者に対して、自社で定めたマネジメントシステムやルールがJIS Q15001の要求事項に適合しているかを確認。次にそれらに則って、各部署で業務が行われているかを見ていきます。
優先的にチェックが行われるのは、前回監査指摘事項がきちんと改善(是正・予防処置)されているか、また事前の提出物で把握した重点監査事項等です。対象となる個人情報保護管理者(事務局)と従業員は、しっかりと応対をするようにしましょう。

内部監査終了後にやるべきこと

内部監査が終了したら、監査対象ごとに監査報告書を作成する必要があります。作成は個人情報保護監査責任者が担当します。
内容としては、監査日時、被監査部門、監査テーマ、監査内容等を記載するとともに、それぞれの指摘に対して、評価区分と指摘事項内容を記載します。
評価区分は「不適合」、また不適合の中でも必要に応じて「軽微な不適合」「不適合」「重大な不適合」といった項目に分けていきます。通常であれば不適合か否かを見れば問題ありませんが、「不適合まではいかないが、実施が不十分である」「より改善が望める」場合においては、「改善の機会」といった独自指標を加える場合があります。
このようにして、報告書をまとめ次第、指摘事項の対応を実施。役員等組織の代表者に対して、内部監査で出た指摘事項を報告するマネジメントレビューを行います。

【指摘事項の対応に関して】
実際に、指摘事項(不適合)が出た場合はどうすればいいのでしょうか。
内容を確認して、改善を進めていく形になりますが、具体的には以下の手順で進めていきます。

  • 原因の特定、改善方法の立案
  • どうして起きたのか、再発防止のためにどうするか
  • 改善方法の実施
  • 実施結果の有効性を確認

※「改善の機会」等独自の項目を設けている場合、対応は必須ではないので、指摘の内容によって対応する・しないを決めていきます。

不適合内容によっては、審査までに対応が完了できない場合もありますので、各項目において優先度と期限を決めて、順次対応していく形になります。

内部監査を行う側が気をつけるべきポイント

内部監査において、監査を行う側が気をつけるべきポイントがあります。
1つ目は、重箱の隅をつつくような指摘をしないこと。記述の間違い探しや小さなミスよりも、規程に沿って運用できているかをチェックすることが大切です。
また、否定的な意見から入るのもNG。「あの部署では、規則通りに業務を行っていない」とあたりをつけて監査を実施し、それが発見されたら鬼の首をとったかのように指摘するケースも散見されます。不適合の指摘は重要ですが、原因の特定と改善が監査の本質です。何か思うことがあれば、普段の業務から指摘することが重要でしょう。
あらゆる項目に「重大な不適合判定」を下すのも考えものです。不適合は「軽微な不適合」「不適合」「重大な不適合」等にランクを分けて指摘する必要がありますが、何でもかんでも「重大」にする内部監査員もまれにいます。「重大」は、規程のプロセスを全く実施していない、あるいは法律違反を犯している、といったことが当てはまるため、非常に重度な場合のみに適用されます。
これらの対処法としては判断基準を明確にして、恣意的な判定をしないことが大切です。

内部監査の実施時間はどのくらい?

内部監査は、どのくらいの時間がかかるものなのでしょうか。細かくやろうとすると、いくらでも時間をかけることが可能なので、最初に時間を設定して、その時間内に終わるように進めていきます。
一般的には、個人情報保護管理者に関しては2時間ほど、各部署に関しては1.5時間ほどが目安です(個人情報保護管理者への内部監査は、ルールの確認がありますので、少し長くなることが予想されます)。
もちろんこれ以下でもこれ以上でも良いのですが、あまりに短いと適正な監査時間が確保できず、長すぎると前述のような重箱の隅をつつくような監査になりかねないので、部署の状況を考慮して検討するようにしましょう。

まとめ

内部監査の目的やその方法、実施前から実施後の進め方について見てきました。
内部監査は、「ルールだから」と惰性でやっていては、意味がありません。自社、取引先、お客様といった、自分たちと関わる組織や人のために行うもの。正しく的確に実施することが大切です。
年1回以上の内部監査を継続的に行うことで、従業員一人ひとりの業務の質を高めていくことを心がけましょう。

株式会社UPFには、業界No.1を誇る実績に基づく、数々の内部監査のノウハウがございます。
内部監査の実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る