前任者が変わり、Pマーク内部監査の実施方法に迷っています。
Pマーク内部監査についてどのよう実行したらいいか迷っています。
自社に常駐する社員が少ないため、過去に前任監査責任者が実施しおらずに現地審査で「臨時監査」を求められたり、ほとんどは本人が書類を作っていたようで、引継ぎもないままでした。
- JISとの適合性監査は、個人情報保護責任者(こちらも何もわからない人が名前だけを登録)に対して、適合性監査の項目とJIS規格要求事項に乖離がないことを確認しております。
- 運用状況の監査は、監査責任者である私よりリストファイルを関係者に送付し、事前にチェック(自主点検)してもらい、内部監査チェックリスト(運用状況監査)により各部門責任者と監査責任者の(電話を含む)面談での聞き取りを行っております。
ただ、運用状況監査の内容は自主点検とくらべ、「チェックの前に個人情報の局面を述べる」、「チェックが個人情報保護のどんな目的であるか」、「どの文書で規定されているか」といったもので、自主点検よりやや設問が多い程度です。
所要時間としても、15分~30分もあれば終わってしまう内容となっています。 - 上記の監査前には、今年度の計画書の承認を行っており、監査終了後には、様式に則って報告書提出し、トップマネジメントに確認を行ってもらっています。
- 監査でカバーする範囲は、全組織(顧客常駐社員には各拠点で聞き取る)を対象に行っております。
このような手順でいいのでしょうか。
また、監査の目的は、「手順に添って行っているか及び見逃しや不適格による改善はないかを確認し、事故を起こさないため」ですが、長年放置されていたため、監査の重要度は賛同しても、理解・協力が得にくいため苦慮しています。
ご質問の内容から察するに、既にプライバシーマークを認定されているかと思います。
その場合、「前任者がこうだった」等ではなく、まず自組織で既に作成・運用・維持されている「内部監査の規定」を確認し、それに準拠した内部監査を行う事が重要になります。
既に認定されている内部規程(内部監査の規定)に従わずに実施した場合、不適合となりますので、ご注意ください。
以下、プライバシーマークで要求されている「内部監査」について簡単に確認させていただきながら、回答させていただきます。
「内部監査」では、以下の①及び②の監査手順を確立し、定期的に実施し、実施結果を報告し、記録するよう求められています。
①個人情報保護マネジメントシステムの本規格(JISQ15001)への適合状況
②及びその運用状況
▼適合状況の監査について
ご質問の「JIS適合性監査」に関しては、前述の①に該当するかと思います。
ご指摘のとおりの実施で良いかと思いますが、再度、自組織の規定をご確認することをお勧めします。
▼運用状況の監査
ご質問の「自主点検」を踏まえた「運用状況監査」は、前述の②に該当すると思われます。
①でJIS規格要求事項に適合した内部規程の作成の有無を確認し、②で適合した内部規程に従った運用が出来ているかの確認をすることになります。
やり方自体は、JIS規格では要求されていないため、組織の状況等により決めていただいて構いません。この点も、再度、自組織の規定をご確認ください。
なお、運用状況に関しては、社会情勢(法規制なども含む)や人員、組織、作業環境の変更や前回の内部監査により改善された事項や残留リスクの確認など、毎年確認および評価すべき事項も変わってくるかと思いますので、それらを踏まえた計画(チェック項目)が必要になってくるかもしれませんね。
▼監査手法について
監査の手法として良く言われるのが、「聞き取り」「実施状況の観察」「記録の確認」の3つにて評価します。
例えば、内部規程の項目ごとのチェックリストを準備し、「該当者へのインタビュー」および「実施状況を観察」、「実施された記録の確認」を行い、評価し、内部監査の結果を報告書にまとめ、報告を行うというやり方もあります。
▼監査の範囲に関して
監査の範囲に関して、JIS規格では要求されていません。よって、毎年、必ず全組織に対して実施する必要はないかと思います。
計画立てて、必要な範囲(変更がない範囲に関しては、期間をあけて実施する等)を決め実施すれば良いかと思います。
▼組織の協力
個人情報保護マネジメントで「内部監査」は、重要な要素ですが、現場の方の作業にお邪魔して実施するものなので、組織の方々の協力は欠かせません。
この「理解・協力が得にくいため苦慮しています。」の問題は、提携のコンサルタントに聞くと、よくある質問のようです。
再度、仕切り直しのための説明会を実施する、または実施前に「協力のお願い」を通知する等にて、協力をお願いしてはいかがでしょうか?
以上、ご参考下さい。
