ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

事業代表者(社長)が個人情報保護監査責任者になることはできますか?

05.02.2011 | プライバシーマーク全般.  12,217 views

当初、経理・総務担当役員を監査責任者にするつもりでしたが、彼が扱う情報が弊社での個人情報の大半を占めるので、効果的ではないと判断し、社長にやってもらうことを考えています。

私は個人情報管理責任者なので監査責任者になることはできず、どうするのがベストか悩んでいます。

事業代表者(社長)が個人情報保護監査責任者になることはできますか?
その場合、社長の監査は誰がすればよいのでしょうか?

また、内部監査員を置く必要はあるか(置かないで済むなら置かない方が楽なので)

弊社は、小さい会社なので、内部監査員を置いて監査チームを構成する必要もないのかなと思っています。

ちなみに、業務に直接携わらない役員(外部取締役)を監査役にすることはできますか?
その場合は、その役員が全て監査できると思うのですが、その場合でも内部監査員は必要でしょうか?

まず、
a) 個人情報保護監査責任者は”事業者の代表者及び”個人情報保護管理者”及び”会社登記上の監査役”は兼任できない。
b) 監査員は,自己の所属する組織の監査をしてはならない。
のプライバシーマーク上の制約がありますので、制約をクリアした形で監査をする人を社内から2名選任(個人情報保護監査責任者を含む)する必要があります。

なお、個人情報保護監査責任者は必須ですが、内部監査員は必須ではありませんので、社内での選任が難しい場合は、費用は発生しますが外部に内部監査代行を依頼する方法もあります。

ただ、社長様を個人情報保護監査責任者にする件ですが、こちらはできません。

JIPDECのホームページ(http://privacymark.jp/privacy_mark/faq/operation.html)に以下のような解説があります。
「事業者の代表者は、個人情報保護管理者を兼ねることができますが、個人情報保護監査責任者は兼ねることができません。
従業者の少ない小規模事業者にあっては、体制の確立が難しい場合がありますが、代表者は、経営資源の分配等を通じて、体制の整備・運用に主体的に関与するわけであり、監査についても代表者が行うとなると、監査の第三者性・客観性が担保されるかどうか疑問となり、監査に実効性があると評価できなくなります。
したがってプライバシーマーク制度では、代表者が個人情報保護監査責任者を兼ねることを禁止しています。」

ちなみに社長様の監査は、社長以外の個人情報保護監査責任者又は内部監査員となります。

「業務に直接携わらない役員(外部取締役)を監査役にすることはできるか」という件に関しては、その方が”会社登記上の監査役”でなければ可能です。