Pマークの新規申請時に内部監査は必須ですか?また外部委託しても大丈夫ですか?
Pマーク新規申請の際に、教育実施サマリーの項目がありますが、 社内に内部監査員が置けない場合は、内部監査員教育を実施せず、申請時も教育実施サマリーに記載しなくても問題ないでしょうか。
また内部監査員教育が必要な場合、内部監査員を置けない企業ではどのような取り組みが必要でしょうか。
「事業代表者(社長)が個人情報保護監査責任者になることはできますか?」の質問で、内部監査員を外部の内部監査代行に依頼することが可能と読み取り、内部監査員を外部に依頼したいと考えております。
内部監査を外部の専門家に依頼することは可能です。ただし、内部監査の外注は「委託先の監督」に該当するため、通常の業務委託と同様に選定・評価・契約のプロセスが必要となります。その上で、監査実績を申請書類に反映させる必要があります。
1. 内部監査の実施は申請の「絶対条件」です
JIPDECの指針により、Pマークの申請前には必ず「少なくとも1回以上のPDCAサイクル」を完了している必要があります。
- 運用を開始し、内部監査を行い、発見された不適合に対して是正処置を行った上で、代表者による見直し(マネジメントレビュー)まで終えていることが申請の条件です。
- 体制整備や規程策定のみの状態では申請できませんのでご注意ください。
社内に適任者がいない場合に外部専門家を起用することは認められていますが、そのプロセス自体が「PMSの適切な運用」として評価対象となります。
2. 内部監査員を外部に依頼する場合の対応
社内に適任者がいない等の理由で、外部の専門家に内部監査を依頼することは可能です。
内部監査を外部に依頼することは、個人情報の取扱いに直接的・間接的に関与する業務を委託することと同義です。以下の対応を確実に行ってください。
- 選定・評価:
外部の監査員(コンサルタント等)が十分な専門性と機密保持能力を有しているかを貴社の基準で評価し、「委託先評価記録」を残す必要があります。 - 契約(覚書)の締結:
監査の過程で個人情報や機密情報に触れるため、JIS規格の要求事項(J.8.10)を満たす機密保持条項を含む契約、または覚書の締結が必須です。 - 教育・力量の認定:
外部監査員に対しても、貴社のPMSルールを理解させるための「教育(オリエンテーション)」を行い、その記録を教育実績として管理してください。
3. 審査対応のポイント:管理責任は「社内」に置く
内部監査の実務(チェック作業)は外部に委託できますが、「個人情報保護監査責任者」は必ず社内の従業者から選任してください。
「社内の監査責任者が、評価・契約済みの適切な外部委託先を活用して、計画通りに監査をコントロールした」という形を整えることが、Pマーク審査における「適切な委託先管理」と「適切な内部監査」の両面で高い評価を得るポイントとなります。
