西山

Pマーク監査の2つの視点【Pマーク取得の基礎知識】


 

プライバシーマーク(Pマーク)を取得している会社は毎年内部監査を行います。

これはPDCAサイクルをうまく回していくうえで欠かせないことであり、内部監査はこのサイクルのうちのCのプロセスに当たる重要な活動となっています。

 

PマークにおけるPDCA

プライバシーマーク(Pマーク)におけるPDCAとは個人情報保護という目的を達成するために計画・実行・点検・改善を行うことを指します。

内部監査を定期的に行うことはプライバシーマーク(Pマーク)を取得して更新していくうえで欠かせないことですが、ただ漫然と監査を行っているのではあまり意味がありません。

業務の貴重な時間と人員を投じて実施する活動ですから可能な限り意味のある監査を行いたいものです。

内部監査を有意義なものとするうえで必要なこととは何でしょうか? もっと言うとプライバシーマーク(Pマーク)監査責任者や監査員に指名された人はどんな視点で監査を進めていけばよいのでしょうか? 次に挙げる2つの視点を軸として監査を行えばきっと良い結果を残して監査を終わらせることができるでしょう。

 

“適合しているか”を見る

プライバシーマーク(Pマーク)の規格書であるJIS Q15001は監査を次のように規定しています。

「事業者は,自ら定めた個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査しなければならない。」

注意して読んでみてください。2つのことを監査するよう要求していることに気づきませんか? 一つは「適合状況」、もう一つは「運用状況」です。

適合状況を監査するとはすなわちプライバシーマーク(Pマーク)の基準であるJIS規格と自社で決めた個人情報保護のルールに矛盾がないかを点検するということです。

どちらかというとプライバシーマーク(Pマーク)を取得して間もない企業様に多いのですが、個人情報保護のための方針や手順を一通り定めはしたものの細かく見ていくとJIS Q 15001と適合していない部分がいくつか出てくるということもよくあることです。

せっかく手順の実行を徹底していても、手順自体がおおもとの要求事項と合っていなければ実行していることも無駄になってしまいます。

そういうことにならないよう監査では適合状況の確認をきっちり行う必要があるのです。監査責任者にはJIS規格に精通することが求められます。

 

“運用しているか”を見る

もう一つ重要なのは運用状況の監査です。

運用状況を監査するとは定められたルールどおりのことが行われているか、守られているかを点検するということです。

プライバシーマーク(Pマーク)を新規取得してからある程度期間が経過すると当初の緊張感が薄れて運用の一部がおろそかになってしまうこともあります。監査はそのような事態を是正する格好の機会です。監査員は厳正な視点でルールが徹底されていない部分を率直に指摘するよう努めてください。

 

まとめ

適合状況と運用状況がバランスよく点検されれば内部監査は非常に有効なものとなり、会社の個人情報保護の取り組みは年ごとにレベルアップしていくことでしょう。

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山