なぜPマーク監査は全部門対象なの？

間もなく内部のプライバシーマーク（Pマーク）監査を控えているという事業者もいらっしゃるかと思います。プライバシーマーク（Pマーク）において監査は一つの重要な活動ですので、ぜひ意味のある監査を実施していただければと思います。

ちなみに「監査」とは事業者が主体となって自らの会社内の個人情報保護マネジメントシステムを監査する活動のことで、プライバシーマーク（Pマーク）取得審査や更新審査などの外部機関が実施する審査とは別ものです。

プライバシーマーク（Pマーク）の監査は年に1回以上実施する必要があるわけですが、この活動の特色として「監査はすべての部門を対象としなければならない」というものがあります。

ここで「社内には個人情報の取り扱いがまったくない部署もあるのにどうして全部門を対象としなければならないの？」と疑問に思う方がいらっしゃるかもしれません。

なぜプライバシーマーク（Pマーク）の監査はすべての部門を対象として実施しなければならないのでしょうか。その理由を3つご紹介します。

本当に個人情報の取り扱いがないかを確認する必要がある

会社の事業や業務の状況が変化するように、各部署の業務も変化する可能性があります。そのため当初は個人情報の取り扱いがなかった部門でも、いつの間にか個人情報を持っているというケースもあります。

プライバシーマーク（Pマーク）取得会社は監査の際、個人情報が適切に取り扱われているかという点だけでなく、個人情報の取り扱いがあるかどうかも確認します。そのためすべての部門を対象にしなければなりません。

個人情報に接する可能性はある

「うちの部署は個人情報とまったく無縁だ」といっても、本当にそうとは限りません。会社として事業を行っている以上、個人情報に接する可能性は皆無ではないのです。

例えば取引先から名刺をもらうことがあるかもしれません。それはどのように管理されているでしょうか？ また部門内の従業員に関する個人情報が管理されているかもしれません。その管理状況や取得方法は適切でしょうか？

プライバシーマーク（Pマーク）の監査ではこのような見落としがちな点も確認する機会となります。

個人情報保護マネジメントシステムが浸透しているかを確認する必要がある

プライバシーマーク（Pマーク）は会社として取得するものですから、個人情報保護マネジメントシステムは会社のすべての領域において運用されていなければなりません。

そのため個人情報に関係しない部門であっても個人情報保護マネジメントシステムにおいて必要な情報を把握していたり理解していたりする必要があります。実のところプライバシーマーク（Pマーク）の教育は全部門の従業員を対象としています。

まとめ

監査はむしろ普段の業務で個人情報に触れる機会の少ない部門が会社の個人情報保護マネジメントシステムについて理解し、必要な見直しを行う機会となります。必ずすべての部門を対象として監査を行うようにしてください。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】