「監査」だけが、構築した個人情報保護マネジメントシステムが適切に運用されているのかを確認するものではありません。
現場で日々のあるいは適宜行われる点検(確認)も非常に重要です。
マネジメントシステムが適切に運用されているか
個人情報保護マネジメントシステムが適切に運用されていることを各部門及び階層において定期的に確認するための手順を確立し、実施、維持することを要求したものが「3.7.1 運用の確認」です。
各部門や階層で定期的に確認する
「監査」だけが、個人情報保護マネジメントシステムが適切に運用されているか否かを確認するものではありません。
いかに早期に不適合を検出するか、あるいは、いかに不適合の発生を未然に防ぐかが、個人情報保護マネジメントシステムを適切に運用していくためには重要なポイントになります。
そのため、一般的に担当者自身が行う「セルフチェック」や、各部門の責任者が実施する「日常点検」なども、年に1,2回程度しか行われない監査だけではない、個人情報保護マネジメントシステムが適切に運用されていることの確認には有効な手段となります。
確認と監査の違いは?
それでは、入退管理を例にあげて、規格でいうところの「確認」と「監査」の違いを考えてみましょう。
A社では、重要な顧客情報を保管している保管庫の入退管理を行っており、ICカードにより誰がいつ何時に保管庫に入室あるいは退室したのか記録をとっています。
- 不審な入室者がいないかを、情報管理部がICカードリーダーにより自動で記録される入退記録を毎日確認している。
- 情報管理部が入退記録の確認を行っているかを、内部監査室が定期的に確認している。
つまり、本要求事項「3.7.1 運用の確認」に相当するのが1の確認であり、2の確認が後述する「監査」に相当するものとなります。
事業者の個人情報の業務プロセスすべてをカバーするには無理があり、限られた資源(時間、体制など)で行う「監査」には限界があります。
そのため、各部門や階層で実施されるこの「運用の確認」を活用することにより、効果的な個人情報保護マネジメントシステムの確認が行えます。