客先常駐で個人情報を扱わない社員も、Pマークの監査対象に含める必要がありますか?
当社はソフトウェアハウスで、事務所に私(取締役)のみ在籍し、社長以下全員が客先での業務でめったに会社には帰ってきません。
個人情報も社員情報位しか扱わず、社員は個人情報を扱う事はありません。
それでも対象部署として監査する必要はありますか?
社員の皆様が客先常駐で不在が多い場合の内部監査の実施範囲について回答申し上げます。
結論から申し上げますと、たとえ事務所に役員お一人しかいらっしゃらない状況であっても、対象部署としての内部監査は省略できません。
1. 従業員情報は「重要な個人情報」である
JIS Q 15001では、顧客データだけでなく、自社の従業員情報(履歴書、給与、マイナンバー等)も厳重な管理対象です。これらの情報を保管・管理している拠点である以上、その運用状況を確認する監査が必須となります。
2. 組織共通ルールの遵守確認
Pマークは組織全体のシステムを評価するものです。現場での個人情報取扱いの有無に関わらず、以下の事項が事務所で適切に行われているかを確認する必要があります。
- 教育の実施:
全社員が教育を受け、理解しているか。 - 物理的対策:
事務所の施錠や、書類の保管・廃棄ルールが守られているか。 - 文書・記録:
規程類が最新か、必要な台帳が更新されているか。
3. 実務的なアドバイス(監査の効率化)
全員を事務所に集める必要はありません。実務に即した以下の運用を推奨します。
- 事務所(管理部門)の監査:
取締役様が管理されている「従業員情報」の取り扱いや、事務所自体の入退室管理、PCのセキュリティ設定を重点的に確認します。 - 現場(客先常駐者)の監査:
全員を呼び戻す必要はありません。常駐先のルールを遵守しているかの自己点検表(アンケート)を回収したり、代表的な数名を対象にWeb会議ツール等でヒアリングを実施したりする方法が一般的です。
監査を一部でも省略してしまうと、審査において重大な指摘(不適合)を受ける原因となりますので、必ず全範囲をカバーするように計画してください。
JIPDECのFAQ(よくあるご質問)でも、監査の範囲については「すべての部門、すべての拠点が対象」である旨が明記されています。
「うちは扱っていないから」と監査を飛ばしてしまうと、更新審査で重大な不適合となるリスクがあるため注意が必要です。
構築・運用指針「J.6.2 内部監査」について 直接に個人情報の取扱いに従事しない部門であっても、監査の対象となりますか。
直接に個人情報の取扱いに従事しない部門であっても、従業者の情報、名刺の情報などに接する可能性がある以上、監査は必要です。
