運用監査にて使いやすいチェックリストを探しております。
「プライバシーマーク 記録様式 サンプル集」について質問です。
この中の「内部監査チェックリスト」のサンプル画像を拝見したのですが、シートの名前が「規格適合性監査」となっているのですが、これは運用監査にも使えるチェックリストなのでしょうか?
個人情報保護マネジメントシステムの運用監査にて使いやすいチェックリストを探しております。
ご質問ありがとうございます。Pマークの内部監査には、大きく分けて2つの視点が必要であり、それぞれで使用するチェックリストが異なります。
結論から申し上げますと、ご検討いただいた「内部監査チェックリスト」は規格そのものへの適合を確認する「規格適合性監査」用であり、実際の運用実態を確認する「運用監査」には別の様式を活用します。
1. Pマークが求める2つの内部監査
JIS Q 15001(箇条10.2 内部監査)では、以下の2点を評価することが義務付けられています。
- 規格への適合状況監査:
自社の規程がJIS Q 15001の要求事項を漏れなく満たしているか? - 運用状況監査:
自社で決めた規程やルールが、現場でその通りに実行されているか?
お問い合わせいただいた「内部監査チェックリスト(規格適合性監査)」は、主に上記の「1」を確認するためのものです。
2. 運用状況監査にはどの様式を使うべきか?
弊社のサンプル文書集では、運用状況監査のチェックリストとして「リスク分析対策計画表(リスク管理表)」をそのまま、あるいは加工して活用する構成をとっています。
- なぜ「リスク分析対策計画表」を使うのか:
JIPDECのガイドラインでは、運用監査について「リスク分析の結果として講じることとした対策が、規定通りに実施されているかを確認すること」を求めています。つまり、「自社で特定したリスクに対して、自分たちで決めた対策が守られているか」をチェックすることが、運用監査の本質なのです。 - 弊社のサンプルの強み:
弊社の「リスク分析対策計画表」は、リスクの特定から対策の策定、そしてその「実施確認(監査)」までが一連の流れで管理できる設計になっています。これにより、リスク分析と監査がバラバラにならず、整合性の取れた効率的な監査が可能になります。
3. 「運用監査」をより使いやすくするためのアドバイス
もし運用監査のみに特化した、現場で使いやすいチェックリストを作成したい場合は、以下の手順をおすすめします。
- 現場の「重要対策」を抽出する:
リスク分析表の中から「特に漏れてはいけない重要な対策(例:PCの施錠、バックアップの実施、同意書の取得状況など)」を抜き出し、現場点検用のチェックシートを作成します。 - 整合性の確保:
独自にチェックリストを作成する場合でも、その根拠が「リスク分析対策計画表」にある対策内容と一致していることが重要です。
4. 運用のヒント
最新のPマーク審査では、「形式的な監査」よりも「自社のリスクに応じた実態のある監査」が重視されます。弊社のサンプルを活用することで、審査員に対しても「自社のリスクに基づいた運用確認を行っている」という強いエビデンスを提示できます。
詳細な使い分けについては、弊社のサポートブログでも解説しておりますので、ぜひ併せてご覧ください。
