西山

はじめてのPマーク監査員 その3


 

前回の記事では、プライバシーマーク(Pマーク)の監査員に指名された人にできることとして、まず個人情報保護マネジメントシステムというものを知ること、そして監査というものを知ることがあるという点をお伝えしました。

プライバシーマーク(Pマーク)取得会社としての内部監査に貢献していくうえで監査員が知っておきたい点はほかにもあります。個人情報保護マネジメントシステムや監査について理解することも大事ですが、自社のことを知ることもまた重要です。

 

自社の事業を知る

個人情報保護の直接の目的は会社が取得している個人情報の適切な取り扱いを確実にすることですが、その最終的な目的はそのような取り組みによって会社の信用性を高め、自社の事業やサービスを発展させることです。

監査においては常に自社の事業とその目的や理念、ビジョンとは何かを念頭に置いておくことが重要です。

監査員になった方は改めて自社の事業を知るようにしてください。加えて組織内の各部門がどのような業務を担当しているかも把握するようにしましょう。

 

自社の組織を知る

プライバシーマーク(Pマーク)の監査はすべての部門を対象にして実施されます。部門ごとに実施するのが通常ですので、監査員はまず自社の各部門、また部門も含めた会社全体の組織体制を把握しておくようにしましょう。

また可能であれば組織内の各責任者(部門長など)とそのおおまかな権限を把握しておくこともできるでしょう。

 

自社が持っている個人情報を知る

会社が取得している個人情報にどのような種類があるかを知ることも重要です。プライバシーマーク(Pマーク)を更新している会社であれば取得当初に個人情報を洗い出した目録を作成しているはずですので、それを見れば会社の持っている個人情報を知ることができます。

また部門ごとにどのような個人情報を保有・使用しているかを知ることも重要です。もちろん個々の個人情報の中身まで見る必要があるというわけではありません。そうではなく、各部門が持つ個人情報の種類を把握するようにしましょう。経理部であれば従業員の給与関係のデータを持っているでしょうし、営業部であれば受注に際して顧客から取得した情報を持っているかもしれません。

個人情報の種類によって取り扱いに求められることは大きく違ってきます。監査で確認する点も違ってきます。

 

自社のルールを知る

監査員になった方はプライバシーマーク(Pマーク)に関連した会社の規定や手順も理解するように努めてください。

規定文書などには必ず目を通しておくようにします。その際、一つ一つの手順がプライバシーマーク(Pマーク)の規格であるJIS Q 15001のどの要求事項を展開したものかという点を意識しておくとよいでしょう。

 

まとめ

今回までの記事で、はじめてプライバシーマーク(Pマーク)の監査員に選ばれた人がぜひとも知っておきたい6つの点をご紹介してきました。

もちろん最初から申し分のない監査を実施できる人はいません。一回一回監査を重ねるごとに少しずつ監査員としての力量を身に着けていくものです。

ですから一年目だとしても過度な不安を持たず、また自分は初心者だからと躊躇することなく、監査責任者や先輩監査員のアドバイスと自分が習得した知識や理解を生かし監査に当たるようにしてください。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山