はじめてのPマーク監査員 その2

“今年はじめてプライバシーマーク（Pマーク）の監査員のメンバーに選ばれました―”

Pマークの運用とは無縁だと思っていた一従業員がプライバシーマーク（Pマーク）の監査員のメンバーに指名されるということもあるということを前回の記事で書かせていただきました。

内部監査は重要です

内部監査とはプライバシーマーク（Pマーク）の運用においても非常に重要なものです。内部監査を定期的に実施しているかどうかはプライバシーマーク（Pマーク）の取得審査や更新審査においても必ず確認されますし、単に実施していることだけでなく適切に実施しているかどうかも確認されます。

ですからプライバシーマーク（Pマーク）の監査員に指名された人は会社の個人情報保護マネジメントシステムの運用にかかわる一員として責任感を持って監査に携わるべきです。

ところで、はじめて監査員になった人の場合、プライバシーマーク（Pマーク）や監査についてよくわからなくて不安を覚えるということが往々にしてあります。

そこで今回と次回の記事で、監査員に選ばれた人が最低でも知っておきたい6つの点をご紹介していきたいと思います。

「Pマーク」を知ろう

何と言ってもプライバシーマーク（Pマーク）の要求する内部監査の監査員になるわけです。まずはプライバシーマーク（Pマーク）とは何かを知らなければ先へ進めません。

とはいえ正確には「個人情報保護マネジメントシステムと、そこで求められること」を知るということです。

要求事項とは

個人情報保護マネジメントシステムとは、会社が持っている個人情報を保護し、適切に取り扱うためのしくみのことです。

そこで求められることとは、JIS Q 15001というプライバシーマーク（Pマーク）の規格書に羅列されている内容のことです。これを要求事項といいます。

監査員になった人にはとにかくまずプライバシーマーク（Pマーク）の規格を一通り読むことをお勧めします。ページ数はそんなに多くはありません。細かな内容は理解できなくても、項目ごとに要求事項の概要をつかむようにしてください。監査はこれらの要求事項に沿って実施されますから、得た知識は必ず役に立つはずです。

「監査」を知ろう

監査員になるくらいですから、監査というものが何なのかを知らなければなりません。

監査を受けたことのある人であれば、監査が質問したり業務現場を確認したりしてチェックリストをもとに進められるものであることを知っているかもしれません。しかし監査は単にチェックリストをもとにチェックしていくだけのものではないのです。

監査の目的の一つは、個人情報保護マネジメントシステムが要求事項どおりに実施されているかを監査することです。そのためには単に“やっているかどうか”にとどまらず「いつ実施しているか」とか「責任者・担当者はだれか」、また「記録は取っているか」なども確認しなければなりません。

また監査の目的は、実施していることが会社の個人情報保護に寄与しているか、ひいては会社の事業の発展に寄与しているかを確認することでもあります。これはレベルの高い監査ですが、熟練した監査員の実際の監査を見て学ぶことでどういうことかを知ることもできます。

とにかく最初は監査の目的が以上のようなものであることを知るようにしましょう。

次回に続きます。