「個人情報保護マネジメントシステム」について、教育を行い、ある程度の運用を行ったあと、監査によって確認します。
また、「意図しない結果」が監査の実施結果で判明した場合は、事業者の代表者により見直しが行われます。
規格が要求する監査とは
各部門が実施する運用確認(自主点検)と「監査」だけが、個人情報保護マネj面とシステムの体系的なチェック機能であり、このプロセスが有効に機能しなければ、個人情報保護マネジメントシステムの完備性は著しく低下し、また一向に改善されません。
したがって、「個人情報保護監査責任者の任命」ならびに「監査実施手順の確立」は、きわめて重要なポイントとなります。
特に、個人情報保護マネジメントシステム上で「個人情報保護管理者」をけん制する立場にある「個人情報保護監査責任者」は重要です。
これは言い換えれば、事業者の代表者が直接指名した「攻めの要が個人情報保護管理者」であり、「守りの要が個人情報保護監査責任者」ということです。
また「監査プロセス」とは「監査の計画」「監査員の選定」「監査の実施」「監査の報告」であり、「個人情報保護監査責任者」が指揮監督または実施する範囲となります。
監査の計画
JIS Q 15001の規格の解説では、「監査計画書」について「監査テーマ」「監査対象」「目的」「範囲」「手続き」「スケジュール」を含めることを要求しています。
個人情報保護監査責任者が毎年定められた時期に「監査計画書」を作成し、事業者の代表者の承認を得る手順が、監査計画の策定手順としては一般的です。
監査の実施
JIS Q 15001の規格の解説では「監査の実施」について「個人情報保護マネジメントシステムの整備状況及び運用状況」を監査することを要求しています。
したがって外部の専門会社に監査の委託をするのか、監査責任者が自ら監査を行うのかを、監査の実施においては事前に取り決める必要があります。
「監査員の力量」及び「監査員の被監査部門との独立性」を、事業者内の内部監査員を利用する場合には考慮する必要があります。
監査員としての力量を保有していない要員が監査を実施しても、当然のことですが、期待する結果は得られません。
また、「監査の客観性」、「監査の公平性」を確保できないことから、被監査部門との独立性のない監査員が実施をしても適切な監査が実施できないことになります。
したがって、事前に教育・訓練を行った監査員を「監査員登録簿」などに登録し、被監査部門との客観性及び独立性が確保できる配員を行うよう、監査計画を作成することが重要になります。
「監査チェックリスト」使用時の留意事項
事前に「監査チェックリスト」を作成し利用するケースが、個人情報保護監査責任者または内部監査員が監査を実施する事業者では一般的です。
「監査チェックリスト」は、監査の有効性と効率性を向上するための重要なツールです。
それほど経験が豊富ではない内部監査員でも「監査チェックリスト」を用いることにより、「監査目的を明確にする」「監査の偏りを少なくする」「監査中の内部監査員の作業量の軽減」「必要最小限の確認事項のリストアップ」が規定でき、一定のレベルの監査が実施できることが期待できます。
また、監査中に「監査チェックリスト」に記録している内容は「監査を実施した記録(監査記録)」であるともいえます。
したがって「コメント欄」を有効に活用し、単に○×を記入するだけではなく、「なぜYES(適合)と判断したのか?また、なぜNO(不適合)と判断したのか根拠を記入する」ことが重要です。
特に「NO(不適合)と判断した根拠」は、監査の報告時に作成する「指摘事項報告書(不適合報告書)」のインプットになることから、できるだけ「判断した根拠(客観的証拠)」を明確に記載する必要があります。
なお、個人情報保護監査責任者及び内部監査員は「インタビュー」や「観察」といった監査に必要な力量を高めつづける必要があり、「監査チェックリスト」はあくまでも監査プロセスの実施に際しての補助的なツールであることを認識しておきましょう。
監査報告とは
「事業者の代表者による見直し」の重要なインプットが、監査の報告になります。
事業者の代表者は、監査の結果報告によって「自社の個人情報保護マネジメントシステムはこのままで良いのか」「自社の個人情報保護マネジメントシステムにはどこに欠陥があり、その欠陥をどのように修復すべきか」を判断します。
したがって、適切な見直しを行うには「報告に漏れ(網羅性の欠落)」や「その報告内容が曖昧」であるというようなことがあってはいけません。
報告内容は見る側の視点で
「どのような部門に(範囲も含め)」「誰が(担当した監査員)」「いつ(実施日)、どのような手続きで監査を行ったか」、また「どのような結果(指摘事項の有無・改善提案事項の有無など)であったのか」を報告する「全体的な監査の実施結果」に関する報告のことを「監査実施の報告」といいます。
それに比べ、発見された指摘事項単位に「どのような不適合があったのか?」を具体的に報告するための「不適合事項の詳細」に関する報告のことを「指摘事項の報告」といいます。
したがって、最も重要な報告であり、事業者の代表者がその報告に基づいて改善の指示を行います。
その報告を見て、事業者の代表者が「重大な不適合なのか? 否か?」を判断できる内容であるためには「具体的に記載すること」が重要なポイントとなります。
指摘事項の内容が「個人情報の保管ルールを守っていない」や「書類が保管されたいなかった」などとだけ記載されていた場合、見る側(事業者の代表者)は「すべての個人情報の保管ルールが守られていないのか?一部の個人情報だけなのか?」など、判断がつかず、「ルールの抜本的見直しが必要なのか?」「手順の周知徹底が必要なのか」など、改善の指示が適切に行えません。
したがって、「どの個人情報が」「どの部門で」「どのようなルール違反があったのか」を明確にするために、指摘事項の報告は見る側の視点で作成する必要があります。
是正処置及び予防処置の実施
個人情報保護マネジメントシステムにおける不適合が「監査」や日々の「運用の確認」の結果、発見された場合、その再発を防止するために被監査部門では不適合の原因を特定し、発生した際の影響に応じて、是正処置あるいは予防処置を行います。
個人情報保護監査責任者は「内部監査指摘事項報告書兼改善指示書」に基づき、被監査部門が行った再発防止策の実施後に、当初見込んだ効果がでているのか否かの有効性の評価を行います。
万が一、期待された有効性が認められない場合は、再度他の方法での対応を被監査部門に求めることになります。
個人情報保護マネジメントシステムの見直しを実施する
①個人情報保護マネジメントシステムの見直しのインプット
自社の個人情報保護マネジメントシステムが「常に最良の状態であることを維持するための」の重要なプロセスが、監査の後の「事業者の代表者による見直し」です。
「個人情報保護マネジメントシステムの見直し」のためのインプットは、やはり「監査結果」が大きな割合を占めますが、監査の結果だけでは「最良の状態を維持すること」は難しいでしょう。
したがって適切な「経営環境の変化に関する情報」を「個人情報保護マネジメントシステムの見直し」のインプットにすることが、「自社の個人情報保護マネジメントシステム≠経営環境」にならないためには重要です。
②個人情報保護マネジメントシステムの見直しの時期
「監査の結果報告」及び「経営環境の変化に関する報告」に基づく「個人情報保護マネジメントシステムの見直し」の手順を整理すると、個人情報保護監査責任者による監査結果の報告に基づく「個人情報保護マネジメントシステムの見直し」は、監査後すぐに行うことが必要です。
また、経営環境の変化に関する報告(法規制の新規制定・変更、市場のセキュリティ事件・事故、市場のプライバシー保護の動向、本人からの苦情・要望、各部門からの改善提案など)に基づく「個人情報保護マネジメントシステムの見直し」は、あらかじめ時期を定めて行うことが必要です(ただし、内容によっては報告後するに行うものもあります)
③個人情報保護マネジメントシステムの見直しの本質
重要なポイントは、「個人情報保護マネジメントシステムの見直し」のために必要な情報を適宜適切に入手することであり、そのためには、常に個人情報保護管理者は内外に目を光らせていなければなりません。
また、「真の改革」のために、事業者の代表者も単に形式的なレビューを行うのではなく、情報に対し貪欲にならねければならないといえます。