第6章 内部監査と代表者による見直し
さて、十分な運用実績ができたら、いよいよ内部監査です。運用開始から内部監査まで最短で1ヵ月の運用実績が必要とされます。まあ、通常は3ヶ月ぐらいを見ておいたほうがいいでしょう。
1 監査チームの編成
内部監査は内部監査計画書で定められた期限に、内部監査責任者が中心になって実施します。内部監査の期限は、規程で定められていますが、運用開始時の内部監査は通常、期限がずれているため、臨時の監査ということで実施します。
ところで監査チームですが、通常2人一組で編成します。その際の注意事項がひとつ。監査人は、自分が所属する部門の監査はできません。メンバー構成などで難しいこともあるでしょうが、是非、気をつけてください。監査人が自部門を監査した場合、取得審査で監査のやり直しを指示されることがあります。
2 内部監査の実施
監査の実施に際しては、あらかじめ対象部門に対し「内部監査プログラム」により、監査日時と監査目的を明示します。
監査は、JIS合致監査と運用監査の二種類があります。JIS合致監査は、PMSの御社の規程類がJISQ15001:2006に合致しているかどうかを監査します。もし、規程類とJIS規格が一致していない場合は、御社のPMSがそもそもPマークに準拠していないということになります。
次に運用監査ですが、特に「個人情報保護管理規程」の中の「個人情報の取得、利用及び提供に関する規程」や「個人情報適正管理規程」に定められた安全管理項目が適切に運用されているかどうかを監査するものです。運用監査には、内部監査プログラム(テンプレート)を利用して行います。
3 監査報告と不適合の是正
内部監査により「不適合」が見つかった場合、内部監査責任者は代表者に対し内部監査報告書により不適合の是正を求めます。これを受けて、代表者は個人情報保護管理者に対し「是正・予防処置要求書」により、是正策の立案と立案・実施の期限を報告するように求めます。
個人情報保護管理者は、不適合が発見された部門の責任者やシステム管理責任者などと協力して、不適合の是正に必要な対策を立案し、代表者に対し「是正・予防処置報告書」を使って、実施期限をつけて報告します。代表者は、報告書に記載された是正案が、有効であるか、また、会社の規模を考えて適切であるかどうかを判断し、承認を行います。
代表者の承認後、個人情報保護管理者は、是正・予防処置報告書に定められた期限内に是正策を実施し、是正状況を是正・予防処置報告書でさらに、代表者に報告します。
- 内部監査プログラム
- PMS内部監査報告書
- 是正・予防処置要求書/是正・予防処置報告書
3 代表者による見直し
PMSの構築から運用、内部監査、そして不適合の是正を経て、一連のサイクルの最後に実施されるのが、代表者による見直しです。
代表者による見直し会議は、代表者が個人情報保護管理者に命じて召集します。召集されるメンバーは、PMS委員会を中心に、各部門責任者や場合によっては外部コンサルタントを含んで構成されます。
会議では、内部監査で指摘された不適合とその是正状況を中心に、個人情報を取り巻く社会情勢や技術の変化、期間内に社内外で発生した個人情報流出事故とその特徴、防御策などが話し合われ、自社として、次の年度に向けて、PMS体制をどのように向上させていくか、を決定します。
- 個人情報マネジメントシステム見直し報告書
さて、代表者による見直しが終了し、「個人情報マネジメントシステム見直し報告書」が個人情報保護管理者により代表者に提出されると、初年度の長かったPMS運用が終了します。ここまで通常、6~8ヶ月程度。最短で4ヶ月といったところでしょうか。
個人情報保護管理者が、次にチャレンジしなければならないのは、いよいよPマークの申請です。JIPDECなどから申請用紙をダウンロードし、必要事項を記入の上、規程や様式などの一式書類に、申請料の振込用紙を添えて、申請します。
その後、書類審査を経て1ヵ月程度で現地審査が行われ、数週間後に、審査チームから改善要求が提示されます。これに対しPMSの見直しを行い是正報告書にまとめ、審査チームに送付、この段取りが通常二回程度は行われるようですので、一回で終わらなかったからといって、「ガクッ」とする必要はありません。場合によっては、この手順で二ヶ月から三ヶ月は必要になるようです。あせらず確実に、実施していきましょう。