個人情報を扱うことがない社員も対象部署として監査するのか?
当社はソフトウェアハウスで、事務所に私(取締役)のみ在籍し、社長以下全員が客先での業務でめったに会社には帰ってきません。
個人情報も社員情報位しか扱わず、社員は個人情報を扱う事はありません。
それでも対象部署として監査する必要はありますか?
JISQ15001の要求事項の全てについての監査を実施する必要はありませんが、御社で保有している個人情報(社員情報など)には接する機会もあるかと思いますし、また、個人情報の方針や入退出のルール、教育、文書管理などなど関連する要求事項もありますので対象部署として監査をする必要があります。
以下にJIPDECのHP上にも似たような質問がされており、監査の対象範囲についての回答が記述されておりますのでご確認下さい。
(参考)
*JIPDEC-HP FAQ:監査について
https://privacymark.jp/faq/index.html
最新規格に対応したISMSやPマーク、ISO9001の取得支援のためのマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売しています。また、取得及び構築支援として、無料にてメールサポートも実施しております。
経歴
- 商品の提供年数:ISO9001は2000年から現在までの25年間。ISMSは2002年から現在までの23年間。プライバシーマークは2006年から現在までの20年間。
- 商品利用者数:5,000件以上(2025年6月時点)。
- 商品利用者の業種:各業種企業、ISOコンサルタント、審査員、審査員研修機関など。
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
