事業代表者(社長)が個人情報保護監査責任者になることはできますか?
当初、経理・総務担当役員を監査責任者にするつもりでしたが、彼が扱う情報が弊社での個人情報の大半を占めるので、効果的ではないと判断し、社長にやってもらうことを考えています。
私は個人情報管理責任者なので監査責任者になることはできず、どうするのがベストか悩んでいます。
事業代表者(社長)が個人情報保護監査責任者になることはできますか?
その場合、社長の監査は誰がすればよいのでしょうか?
また、内部監査員を置く必要はあるか(置かないで済むなら置かない方が楽なので)
弊社は、小さい会社なので、内部監査員を置いて監査チームを構成する必要もないのかなと思っています。
ちなみに、業務に直接携わらない役員(外部取締役)を監査役にすることはできますか?
その場合は、その役員が全て監査できると思うのですが、その場合でも内部監査員は必要でしょうか?
小規模事業者様における監査体制の構築について回答申し上げます。
結論から申し上げますと、「事業代表者(社長)」が監査責任者を兼務することはできません。また、監査の客観性を担保するための役割分担が必要です。
1. 監査責任者を選任する際のルール
JIS Q 15001の要求事項により、以下の兼務は禁止されています。
- 事業代表者(社長)との兼務:
経営資源の分配やPMS(個人情報保護マネジメントシステム)の運用に主体的に関与する立場であるため、監査の客観性が保てないと判断されます。 - 個人情報保護管理者との兼務:
運用の責任者が自ら監査を行う「自己監査」を防ぐため、運用の責任者とチェック役は分ける必要があります。 - 会社法上の監査役との兼務:
登記上の監査役は、本制度の監査責任者にはなれません。
2. 外部取締役(業務に携わらない役員)の活用
業務に直接携わらない役員の方を監査責任者に選任することは可能です(※会社法上の監査役でないことが条件)。
この方法は、小規模な組織において「監査の独立性」を示す非常にスマートな解決策となります。その方が監査を全て行うのであれば、別途「内部監査員」を置く必要もありません。
3. 監査の実務と範囲
監査責任者は、社長が適切にPMSに関与しているか(マネジメントレビュー等)を含めてチェックします。社内に適任者がいない場合は、実務(チェック作業)のみを外部の専門家に委託し、社内には「監査責任者」という窓口を置く形でも受審可能です。
内部監査員を別途置くことは必須ではありません。監査責任者が自ら監査を行うことも可能です。ただし、以下の点に注意してください。
- 社長の監査は誰がするのか:
厳密には「社長個人」を監査するのではなく、「社長が主導するPMSの運用状況」を監査します。監査責任者が選任されていれば、その方が社長の関与(マネジメントレビューの実施状況など)を含めて監査を行います。 - 体制の最小構成:
最小規模であれば「管理者1名」「監査責任者1名」の計2名体制で運用可能です。ただし、監査責任者が自分の担当業務を監査することはできないため、その部分だけを外部委託するか、管理者が相互にチェックするなどの工夫が必要です。
