個人情報を扱うことがない社員も対象部署として監査するのか?
当社はソフトウェアハウスで、事務所に私(取締役)のみ在籍し、社長以下全員が客先での業務でめったに会社には帰ってきません。
個人情報も社員情報位しか扱わず、社員は個人情報を扱う事はありません。
それでも対象部署として監査する必要はありますか?
JISQ15001の要求事項の全てについての監査を実施する必要はありませんが、御社で保有している個人情報(社員情報など)には接する機会もあるかと思いますし、また、個人情報の方針や入退出のルール、教育、文書管理などなど関連する要求事項もありますので対象部署として監査をする必要があります。
以下にJIPDECのHP上にも似たような質問がされており、監査の対象範囲についての回答が記述されておりますのでご確認下さい。
(参考)
*JIPDEC-HP FAQ:監査について
https://privacymark.jp/faq/index.html
