ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

外部取締役が責任者に就くことはOKとあるが、結局、監査員は居なくてOKか?

更新日:2025/11/10 (公開日:2012/04/17)
プライバシーマーク全般.  4,025 views
※本記事は、ISM Web store が作成・検証したものです。

事業代表者(社長)が個人情報保護監査責任者になることはできますか?」の質問を見てわからない場所があったので質問させてください。

質問者の方が
「外部取締役が監査責任者になればその方が全部見れるから監査員は不必要でしょうか?」
との問いに、
外部取締役が責任者に就くことはOKと記載ありましたが結局その場合、監査員は居なくてOKか否か?がわかりませんでした。

ご質問の「外部取締役が監査責任者になればその方が全部見れるから監査員は不必要でしょうか?」に関してですが、ご指摘のとおり監査責任者が監査員を兼務し内部監査を行うことができるため、外部取締役が監査責任者になれば、その者が内部監査の業務を実施できます。

しかし、監査の客観性及び公平性を確保するためには、監査員は監査対象部署に所属していない社員から選出する必要があるため、監査員は最低でも2名以上必要とされています。

監査責任者(個人情報保護監査責任者)1人でも監査の実施が可能な理由

JIS Q 15001の「5.3.2 役割責任及び権限の割当て」では、以下のように「個人情報保護監査責任者」が「監査員を選定及び監査の実施における客観性と公平性の確保すること」と要求されているため、監査責任者(JIS Q 15001の「個人情報保護監査責任者」と同じ。以下、同様。)のほかに、監査員が必要と考えてしまうかもしれません。

5.3.2 役割責任及び権限の割当て

監査実施の権限と責任を個人情報保護監査責任者は,監査を指揮し,監査報告書を作成し, トップマネジメントに報告しなければならない。監査員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。

※「JIS Q 15001:2023」より

しかし、JIS Q 15001では、「個人情報保護監査責任者」を以下のように「監査の実施」に責任と権限を持つと定義されているため、監査責任者自身も、監査員として、内部監査の実施を行うことが可能です。

ご質問の「監査責任者になればその方が全部見れる」とは、監査員の選定だけでなく、内部監査に関する全ての実施及び報告に関する責任と権限を有することを意味しているかと思います。

3.3.9 個人情報保護監査責任者

トップマネジメント(3.1.5) によって組織(3.1.1) 内部に属する者の中から指名された者であって,公平かつ客観的な立場にあり,監査(3.1.16) の実施及び報告を行う責任及び権限をもつ者

※「JIS Q 15001:2023」より

監査責任者(個人情報保護監査責任者)以外にも監査員が必要な理由

しかし、JIS Q 15001では、「個人情報保護監査責任者は、監査員に、自己の所属する部署の内部監査をさせてはならない。」となっています。

よって、監査責任者が監査員として実施した場合、監査責任者が所属する部署の内部監査はできないということになります。

9.2 内部監査

9.2.1 一般

個人情報保護監査責任者は,監査員に,自己の所属する部署の内部監査をさせてはならない。

※「JIS Q 15001:2023」より

これは、監査の客観性及び公平性を保つためにも、監査対象部門との独立性した者を確保することが必要ということで、監査責任者以外にも最低1名は必要だということにもなります。

外部取締役が監査責任者(個人情報保護監査責任者)となった場合

JIPDECホームページのよくある質問の中で、登記上の役員を含む最低限従業者2名がいれば、プライバシーマークの申請は可能となっています。

従業者が2名の会社でも、プライバシーマークの申請をすることは可能ですか。

従業者が2名であっても申請は可能です。
ただし、代表者が内部の者から指名する個人情報保護管理者と個人情報保護監査責任者は必ず別人でなければなりません。 また、代表者は個人情報保護監査責任者を兼ねることができません。 その条件を満たせば、最低限従業者2名(申請事業者の社会保険もしくは・労働保険に加入した正社員もしくは登記上の役員(ただし監査役を除く)から申請を受付けます。

※「よくあるご質問|一般財団法人日本情報経済社会推進協会(JIPDEC)」より

外部取締役でも、組織の社会保険もしくは労働保険に加入しており登記上の役員であれば、「個人情報保護監査責任者」となれます。

なお、先述したとおり、監査責任者以外にも監査員を設けるとなると、プライバシーマークの申請が2名でも可能ということから、もう1名は社内の者が監査員をするということも考えられますが、事業の代表者及び個人情報保護管理者は、「個人情報保護監査責任者」になれません。

事業の代表者は個人情報保護管理者になれますが、個人情報保護管理者は「個人情報保護監査責任者」になれませんので、結局、事業の代表者(個人情報保護管理者)と個人情報保護監査責任者、そしてもう1名の監査員が必要ということになります。

よって、どうしても社内の者だけで客観性の確保が難しい場合は、内部監査を外部委託も可能とされています。
この場合、社内から監査責任者のみを選任し、外部機関へ内部監査をお願いすることで、別途、内部で監査員を確保する必要もないため、結果として、個人情報保護監査責任者が1名でも問題ないということも可能です。

以上、ご参考ください。

ISM Web store

執筆・監修:ISM Web store サポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。


プライバシーマーク サンプル文書集
「A.3.4.2.6利用に関する措置」で「個人情報取扱及び保護規程」2.6(2)②は、A.3.4.2.5のa)~f)より厳しい条件で同意を求めるよう定めているが、運用上問題ないか?
2022/02/09 Pマークサンプル文書集 1,877 views
プライバシーマーク サンプル文書集
個人情報の取り扱い時の承認手順及び承認の記録
2011/04/10 Pマークサンプル文書集 6,315 views
「管理すべき個人情報」の範囲とは?
2007/09/21 プライバシーマーク全般 4,595 views
受託業務作業時における個人情報管理台帳への登録に関して
2019/05/22 プライバシーマーク全般 4,263 views
プライバシーマーク取得支援パッケージ

Pマーク認定を支援する『プライバシーマーク取得支援パッケージ』

「プライバシーマークサンプル文書集」および「プライバシーマーク社員教育用テキスト」に加え、プライバシーマークの取得手順書及び文書構築方法や取得活用方法を解説したテキスト「プライバシーマーク取得支援ガイド」がセットとして収録。「無料サポート」にて質問も可能。

PRISM Web store

詳しくはこちら

Store

プライバシーマーク取得支援パッケージ

プライバシーマーク認定の支援パッケージ。

詳しくはこちら

プライバシーマーク サンプル文書集

プライバシーマークのサンプル文書集。

詳しくはこちら

プライバシーマーク社員教育用テキスト

プライバシーマークの社員教育用テキスト。

詳しくはこちら

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら