Pマークの内部監査を外部委託する場合の教育について
内部監査員教育について、理解が十分ではない為、再度ご質問させて頂けますでしょうか。
内部監査は外部に依頼しますが、教育の形態はどのように行う必要がありますでしょうか。
外部依頼先が、個人情報保護監査責任者を対象に行う必要がありますか。
もしくは、個人情報保護監査責任者が外部依頼先を対象に行う必要がありますか。
または上記どちらでも問題はないでしょうか。
内部監査を外部委託される際の「教育」の考え方、および「監査範囲」について実務的な観点から解説いたします。
結論から申し上げますと、「誰が誰を教育するか」は委託の目的(力量の補完か、純粋な代行か)によって決まります。 また、「監査責任者自身の活動」も監査対象に含める必要がある点に注意が必要です。
1. 教育の形態(どちらが主体となるべきか)
内部監査員を外部に依存する場合、教育は以下の2つの側面から検討します。
- 外部依頼先が「監査責任者」を教育する場合:
これは、監査責任者が最新のJIS規格や審査基準に不慣れで、「監査を統括するための力量を確保したい」という場合に該当します。この場合、外部の専門知識を自社へ移転する「力量確保(JIS 7.2)」の一環として教育を依頼することになります。 - 監査責任者が「外部依頼先」を教育する場合:
これは、外部委託先が監査のスキルは持っていても、「貴社独自の業務フローや個人情報の取り扱いルール」を知らない場合に必要です。委託先が適切な監査を行えるよう、自社のPMS(個人情報保護マネジメントシステム)の内容をレクチャーする形態となります。
実務上は、どちらか一方ではなく、「専門知識の提供」と「自社ルールの説明」をセットで行うことが、有効な監査を行うための鍵となります。
2. 監査責任者に対する内部監査の必要性
外部委託を利用する最大のメリットの一つは、「監査責任者自身の業務」を客観的に監査できる点にあります。
- JIS規格では監査の客観性が求められており、監査責任者といえども自分の活動を自分で監査(自己監査)することはできません。
- 外部の専門家に依頼することで、監査責任者の「監査計画の立て方」や「報告の妥当性」についてもチェックを受けることができ、PMS全体の信頼性が向上します。
3. 運用を成功させるためには
審査で「適切に管理されている」と評価されるためのポイントは以下の通りです。
- 「丸投げ」にしない:
委託先の選定基準(実績や資格)を明確にし、契約時に守秘義務を交わすなどの「管理プロセス」を記録に残してください。 - コミュニケーションの記録:
外部から教育を受けた場合は「教育記録」、自社のルールを説明した場合は「委託先打ち合わせ記録」を必ず残してください。これが審査において、貴社が「主体的に内部監査を管理している」という強い証拠(エビデンス)になります。
以上、ご参考ください。
