Pマーク内部監査5つのポイント
個人情報の厳重管理が重要視される昨今、プライバシーマーク(以下「Pマーク」といいます)を取得する企業が増えています。
Pマークの適正な運用のために、年に1回内部監査を行う必要があります。
そこで、適切な内部監査を行うための5つのポイントをまとめました。
監査と検査は別物
内部監査という言葉を聞いて、皆さんはどのようなイメージを持つでしょうか?抜き打ちで行われ、法令違反等を指摘するものというイメージを持っている方もいらっしゃると思います。
しかし、内部監査とは、会社の従業員自らが現在の業務状況を確認し、社内の問題点を指摘し、改善を提案していくものです。
Pマークにおける内部監査も同様です。
会社ごとに作成した個人情報保護マネジメントシステム(以下「PMS文書」といいます)を適切に運用していくために、適合していない箇所を改善していくことを目的として行われます。
したがって、不正の摘発を目的として行われる検査とは別物です。
このように、内部監査は、社内における問題点を従業員自身で改善していこうというものですので、監査員と被監査者の協力のもとに進められます。
内部監査員として、監査を行う場合には、このことを頭に置き、一方的な監査を行わないように気を付けましょう。
事前に個人情報のリスク箇所の検討をつける
Pマークの内部監査は、PMS文書にそって個人情報を適切に管理・運用することができているかを確認するものです。
したがって、監査対象部署においてはどのような手順で個人情報を扱っているのかを、事前に確認しておかなければどこを中心に調べればよいかがわからず、効果的な監査をすることができません。
また、内部監査は客観的に行われなければならないため、他部署の監査を行うことになります。
他部署のため、業務を十分に理解できていないことが多いので、より事前の準備が必要となります。
特に慎重に調べるべき箇所をリストアップしておき、その箇所を中心に監査をしていくようにしましょう。
重要項目でのYES/NO質問はNG
内部監査において問題点を発見するために最も重要な行為は、被監査者への質問です。
業務を行うにあたり普段どのような行動をとっているのかを聞くことにより、問題点が浮かび上がってきます。
そこで、事前に問題が起こりそうだと見当をつけた個所に関しては、質問をする際にYES/NOで答えられないような、「○○について説明してください。」といった聞き方をすると良いです。
状況を説明するように質問をすると、疑問点が生じ、その疑問点を更に深く掘り下げることにより、矛盾点や提出書類の不備等を発見することができます。
YES/NOで答えられる質問では、当該質問を掘り下げることができないため、問題点の発見に至らない場合があります。
もっとも、全ての質問を説明してもらうと時間がかかってしまうため、特に重要だと思う箇所について深く質問するようにすると良いでしょう。
質問の回答は全てメモにとる
3と関連しますが、説明を求めた事項に関する回答については、全てメモに取っていきましょう。
メモに取っておくと、その時に気が付かなくても、他の質問をしているときに見返すことができ、回答の矛盾点等に気づくことができます。
沢山メモをすることができるように、メモ欄を多くとったチェックリストを作成することをおすすめします。
また、このメモ書き自体が監査を行ったことを証明する書類となるため、Pマークの更新の際にそのまま資料として審査官に提出することができます。
メモ書きから内部監査の状況を把握することができ、この会社はしっかりとした内部監査を行い、運用の改善をすることができているという評価を得られるでしょう。
遵守に対する称賛→不適合事項の指摘
内部監査の最後に、今回の監査の結果を報告します。
この際に、不適合事項が多くあった場合にも、必ず1つは遵守されていた事項をあげ、称賛することを忘れないでください。
不適合事項ばかりを指摘され、改善するように言われても、なかなか前向きに考えることは難しく、不満へとつながりやすいと思います。
これに対し、遵守されていて素晴らしいことを先に伝え、指摘事項を改善するとさらに良くなると声を掛けられると、さらに良くしていこうと改善への意欲がわいてくるのではないでしょうか。
一人一人が改善策を考えていくことで、Pマークの管理レベルが継続的に向上していくことになりますので、こういった心情に配慮することは大切です。
最初に記載した、内部監査は社内の問題点をみんなで改善していこうというものであることを忘れず、被監査者が自ら改善へと進むように監査を終了しなければ意味がないということを忘れないでください。
最後に
今回Pマークの内部監査のポイントとして5つあげました。
これらのポイントに気を付けて効果的な内部監査を行い、適切なPマーク運用を維持してください。
また、これらのポイントは他の内部監査においても共通する事項であると思いますので、Pマーク以外の監査を行う方も参考にしてみてください。