株式会社ハピネックス

東京都中央区日本橋小伝馬町16-5
新日本橋長岡ビル6階
TEL:03-5614-4311

JISQ15001:2006 規格要求事項解説

3.7 点検

3.7.2 監査

(解説)

事業者は、個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査しなければならない。

これがまず監査の要求事項です。

会社は、皆さんの会社で使用しているプライバシーマークシステムがこの規格にあっているのか。規格への適合状況ですね。そして、運用状況。その通り運用されているかどうか。これを監査してください。これを内部監査と言っているのです。
ですから、まず内部監査をしなさい、という要求事項があります。

事業者の代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。

二つ目の要求事項は、まず個人情報保護監査責任者を任命してください。そして、その個人情報保護監査責任者は普段の業務とは関係なく保護監査責任者としての業務をやって下さい。これが二つ目の要求事項です。

個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告しなければならない。

個人情報保護監査責任者は監査全体の責任者です。内部監査の責任者は、監査報告書を作って下さい。そして社長に報告してください。こういう要求事項があります。

監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保しなければならない。

いわゆる客観的に公平性を確保して監査してください、ということです。
ここから読み取れる部分は監査員は自分の部門を監査してはいけない、ということです。

自分の部門を自分で監査してしまったら、いわゆる客観性、公平性が保たれない、ということの裏返しを言っていますね。

事業者は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。

これは会社として内部監査、監査の進め方そして、その記録の保持、こういった内容についての手順を決めてください、ということを言っています。
ですから内部監査手順というのを定めていく、ということが要求されています。

今までの話を簡単に整理すると、組織的にはこんな形になります。

社長がいて、個人情報保護管理者がいます。個人情報保護管理者は社長に代わるナンバー2の位置づけで社長に成り代わって個人情報保護マネジメントシステムを運用する責任者ですよ、ということは3.3.4 資源、役割、責任及び権限でもお話しました。

これに相対するのは個人情報保護監査責任者です。組織図では、横にでていますね。監査する立場なので、業務の流れの中に入れてはいけないのでこういう形になります。

監査では、個人情報保護管理者個人情報保護監査責任者が原則として同一人物はあり得ない。別の人間を充てなければならない。そして、個人情報保護管理者と相対する立場ですから、個人情報保護管理者が役員クラスなら、個人情報保護監査責任者も役員クラスがよいでしょう。同格の方を指名する。

これがいわゆる内部監査について規格で要求されている内容です。

3.7.2 監査


戻る(3.7.1)


次へ(3.8)

規格要求事項解説

ページのトップへ戻る