事業者の個人情報保護マネジメントシステム全体が適切に運用されているのかを確認するのが、前項の「3.7.1 運用の確認」の結果を含めた「監査」です。
規格への適合状況を定期的に監査する
「3.7.2 監査」では、以下の内容を要求しています。
- 個人情報保護マネジメントシステムの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査すること
- 監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告すること
- 監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保すること
- 監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任と権限を定める手順を確立し、実施し、維持すること
監査とは
「監査」とは、体系的で、かつ独立的な確認のプロセスであり、自社の個人情報保護マネジメントシステムが常に最良の状態であることを維持するために行うものです。
「3.7.2 監査」においても、「事業者の中で独立された者による体系的な監査」を要求しています。
「規格の要求事項」と「遵守状況」に関する適合性の判定が、監査の目的です。
すなわち「体制面の監査」と「運用面の監査」を要求しています。
「体制面の監査」は、監査の実施において「自社の個人情報保護マネジメントシステムが規格の要求事項に適合しているか」に加え、「自社の個人情報保護マネジメントシステムを効果的に運用するための体制が整備されているか」も監査の対象となります。
また「運用面の監査」は、各現場において「手順が確立されているか?」、「手順が理解されているか」及び「手順が実施されているか」が監査の対象となります。
監査の体制は?
この規格では、監査体制の検討において、「監査の指揮」、「報告書の作成」、「事業者の代表者への報告」以外の主語は「事業者は~」となっていることから、「監査の実施」及び「監査報告書の管理・保管」をだれがどのようにやるかを決定しなければなりません。
特に監査の実施においては「外部の専門機関(監査サービス会社)にアウトソースするのか?」または「内部で監査の組織(内部監査室や内部監査チームなど)を確立し実施するのか?」などを検討しなければなりません。
また規格の用語の定義では「事業者の内部において代表者から指名されたものであって、浩平、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限をもつ者」と監査責任者の任命において、規定しています。
当然、個人情報保護マネジメントシステムの中で独立するもの(個人情報保護マネジメントシステムの中で監査以外の役割や責任及び権限を有していないもの)でなければなりません。
あわせて、事業者の代表者から構築・運用・維持を付与されている「管理者」を牽制する立場、と「監査責任者」を定義していることから、任命の際は「管理者」と同等以上の要員を割り当てることも重要なポイントであるといえます。
有効な監査を行うには監査員の力量が求められ、監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保しなければなりません。
事業者は監査員の力量を高めるために必要な資源(外部の研修の受講など)を提供する必要があります。
監査の報告は重要な「見直し」のためのインプット
監査の報告は、その報告内容が不適切であったり、曖昧であったりすると適切な見直しが実施できない、個人情報保護マネジメントシステムの見直しの重要なインプットとなります。
したがって、監査の報告を実施する際の重要なポイントは「具体的に報告すること」であり、その報告を受けて事業者の代表者が「自社の個人情報保護マネジメントシステムはこのままで大丈夫なのか?」、「改善する内容はないか?」を判断するため、判断に必要な情報が含まれていなければならず、最低でも「どの個人情報が」、「どの部門で」、「どのようなルール違反があったのか」については監査指摘事項についても明確にする必要があります。
すなわち、見る側の視点で指摘事項の報告は作成する必要があります。