監査員は外部の研修等の受講が必須なのでしょうか。
個人情報保護監査責任者の下に、監査員を置く予定ですが、監査員は外部の研修等の受講が必須なのでしょうか。
社内で勉強会をし、監査の知識を身につけるのでは不十分なのでしょうか。
結論から言いますと、外部の研修等を必ず受けなければならないということはありません。
これは、監査員の力量が、どの程度必要かということです。
JISQ15001の「3.7.2 監査」では、監査員の力量に関しては要求されおらず、ただ「客観性および公平性」が必要となっています。
しかし、監査を行うとなるとそれなりの知識(力量)が、やはり必要ですよね。
JIPDECのガイドラインでは、以下のように書かれています。
「監査は、事業者内部からの要員により、又は事業者のために働くように外部から選んだ者により実施することができる。その際、監査を実施する者には、力量があり、公平かつ客観的に行える立場にある者をあてる必要があるが、特別な資格は不要である。」
以上のことから、監査員は、
①内部の者でも、外部の者でも構わない。
②公平で客観的な立場にある者。
③特別な資格は必要ないが、ある程度の力量が必要。
ということになります。
(※ISMS(ISO27001)にて要求される監査員とは若干異なります。ご注意ください。)
社内勉強会の内容にもよりますが、監査員を自社で教育しても良いというです。
監査員の育成(教育)に関しては、サンプル文書「個人情報保護規程」の「3.7.2 監査」および「3.4.5 教育」を参考にしてください。
内部監査教育資料は、以下のいずれかの商品にも収録されております。
・プライバシーマーク取得支援パッケージ” target=”_blank”>プライバシーマーク取得支援パッケージ
・プライバシーマーク社員教育用テキスト” target=”_blank”>プライバシーマーク社員教育用テキスト
・プライバシーマーク内部監査員養成テキスト
(※ISM Web store にてお求めになれます。)
