だれを監査責任者にすれば良い?【Pマーク取得の基礎知識】
プライバシーマーク(Pマーク)を取得した会社は定期的に監査を行わなければなりません。会社がプライバシーマーク(Pマーク)の基準に適合しているかどうかを公式に審査するのは外部の認証機関ですが、その審査とは別に自分たちでも内部で監査を行っていく必要があるということです。
さて、監査を行うにはまず「監査責任者」を立てなければなりません。監査責任者の指揮のもと監査員が自社の個人情報保護の取り組み状況を評価していくことになります。
ではだれを監査責任者に任命すれば良いのでしょうか? 逆にこんな人はだめというのがあるのでしょうか?
社長は?
OKです。社長など会社の代表者が監査責任者になることはプライバシーマーク制度において認められています。むしろ代表取締役のように対外的にも会社に関して責任を持てる人が監査責任者になるというのは望ましいことです。そういう意味では代表取締役以外の役員クラスの人たちでもOKです。
個人情報保護に関連する資格を持っていない人は?
これもOKです。監査責任者となるにあたって必要な資格などは特に定められていません。監査を指揮する資質さえあれば問題ないでしょう。
外部の人は?
これはだめです。監査責任者は会社内部から指名しなければなりません。ただし監査員は必ずしも内部の人でないといけないということはありません。
個人情報保護責任者として任命されている人は?
だめです。兼任できません。
監査の目的を考えてください。監査は、個人情報保護責任者の指揮のもと会社が行っている個人情報保護の取り組みやセキュリティの運用の適切性を点検するためのものです。この場合、個人情報保護責任者は監査する側ではなく監査される側です。監査する人と監査される人が同じであれば監査の目的は達成されません。
ですからどんなに小さな会社であっても、どんなに適任と思える人が少なくても、個人情報保護責任者と監査責任者は兼任できないというのが原則です。
個人情報保護責任者より役職が下の人は?
だめとは言い切れないのですが、可能であれば避けたほうが良いでしょう。適任なのは個人情報保護責任者と同等の役職にある人か、あるいはそれより上の人です。
これは厳正で客観的な監査を行うためです。監査において監査責任者には個人情報保護責任者に対して率直な指摘を行うことが求められますが、もし個人情報保護責任者のほうが地位が上であれば、監査責任者は言いくるめられてしまう可能性もあります。これではせっかくの監査もうまく機能しなくなります。
まとめ
以上のような条件のほかにも公平性やリーダーシップ、マネジメント能力などの資質が監査責任者には求められます。力量を持つ監査責任者が立てられた会社は、個人情報保護の取り組みにおいて一層成長する見込みがあります。
★こちらの記事もおすすめです!
→【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
