Pマーク内部監査で使用する、運用状況に対するチェックリスト
プライバシーマークサンプル文書集に収録されている「内部監査規程」のひな形の中に、JISQ15001:2017要求事項への「適合状況監査」で使用するチェックリスト、個人情報マネジメントリストの「運用監査」で使用するチェックリストを準備するという記載があります。
付属の様式(見本)の中に、内部監査チェックリストがあり、「内部監査チェックリスト」「内部監査チェックリスト(附属書A)」の二種類の記載見本が用意されていました。
この二種類の記載見本と適合状況監査、運用監査との関係はどのように考えればよろしいですか。
JIS Q 15001では、「適合性監査」と「運用監査」の2つの監査が求められています。
以下に、内部監査とサンプル文書でご提案しているチェックリストに関してご説明します。
1. 2つの内部監査
JIS Q 15001:2017の「A.3.7.2 内部監査」に関する要求事項は、JIS Q 15001:2023にて、「9.2 内部監査」にまとめられましたが、その内容に変更はありません。
JIS Q 15001:2023の「9.2 内部監査」に関してですが、規格内では以下の内部監査実施が要求されています。
9.2.1 一般
- a) 次の事項に適合している。
- 1) 個人情報保護マネジメントシステムに関して,組織自体が規定した要求事項
- 2) この規格の要求事項
- b) 有効に実施され,維持されている。
※「JIS Q 15001:2023」より
また、内部監査に関しては、JIPDECの構築・運用指針(プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針)では以下のように記載されています。
J.6.2 内部監査(9.2.1,9.2.2)
- a) 事業者の内部規程(事業者自身が規定した要求事項を含む)が、本指針の要求事項に適合している。
- b) 個人情報保護マネジメントシステムが有効に実施され、維持されている。
※「JIPDEC 構築・運用指針」より
これをまとめると、内部監査では、以下の2つのことが要求されていることが分かります。
- 適合状況の監査
事業者が定めた内部規程が構築・運用指針(JIS規格を含む)の要求事項に適合しているかを確認 - 運用状況の監査
定めた内部規程に沿って適切に運用されているかを確認
サンプル文書「内部監査規程」では、上記をもとに「適合状況監査」及び「運用監査」で使用するチェックリストという区別をしております。
最新版では、以下のように記載を変更しております。
- 「内部監査チェックリスト」の作成
JIS Q 15001:2023要求事項への「適合状況監査」で使用するチェックリスト
プライバシーマーク構築・運用指針への「適合状況監査」で使用するチェックリスト - 関連資料の用意
PMS:「リスク分析対策計画表」個人情報保護マネジメントシステムの「運用監査」で使用するチェックリスト
2.「内部監査チェックリスト」に関して
最新版の「内部監査チェックリスト(記入例)」では、「JIPDEC プライバシーマーク構築・運用指針」のみ見本となっております。
こちらのチェックリストには、JIS Q 15001 や法令、国が定める指針その他の規範が含まれており、このチェックリストにて、「内部規程が構築・運用指針に適合しているか」(適合状況の監査)の確認を行うことになります。
なお、「JIS Q 15001:2023要求事項への「適合状況監査」で使用するチェックリスト」に関しては、「JIS Q 15001:2023」が構築・運用指針の準拠規格がであるため、参考として記載(削除可能)しています。
ご質問の「内部監査チェックリスト」及び「内部監査チェックリスト(附属書A)」の両方が、「適合状況の監査」のチェックに該当することになります。
なお、JIPDECの構築・運用指針では、「本指針の要求事項に適合」となっているため、構築・運用指針(JIS規格と法令等を含む)に合わせたチェックリストに変更されることをお勧めします。
3.「関連資料の用意」に関して
「運用状況の監査」は、実際の業務において、個人情報の取扱いが内部規程(規格要求事項に適合したもの)に沿って実施されているかを評価する行為となります。そのチェックリストの作成方法としては、そのまま内部規程の項目ごとにリストを作成するといった方法も考えられます。
しかし、この方法だと「適合状況の監査」との重複(運用状況ではなく、規格適合状況の監査になってしまう部分)や、リスク分析の際に生じた「確認すべき残留リスク」への対応を見落とすといったことが考えられます。
また、「個人情報保護マネジメントシステム 導入・実践ガイドブック」では、「個人情報保護リスクアセスメント」及び「個人情報保護リスク対応」によって講じた対策を監査項目に設定し、実施することが望ましいとされています。
これらに対応したものとして、「関連資料の用意」として「リスク分析対策計画表」を記載しております。
「リスク分析対策計画表」は、リスクの認識、分析及び対策の実施に利用する様式ですが、様式内に「監査」の項目を設けており、リスクアセスメント及びリスク対応に対するチェックリストにもなっております。
内部監査に当たっては,…PMSに関して,事業者が規定した要求事項,及び本指針の要求事項に対応する内部規程の規定内容を調査し,PMSの運用が適合しているかを評価(内部監査)する。特に,J.3.1.3(個人情報保護リスクアセスメント)及びJ.3.1.4(個人情報保護リスク対応)によって講じることとした対策を監査項目に設定して実施することが望ましく,併せて…留意する。
※「個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023)」より
4. まとめ
最新版では、「適合状況の監査」に対するチェックリストとして「内部監査チェックリスト(記入例)」を、「運用状況の監査(運用監査)」に対するチェックリストとして「リスク分析対策計画表」をご用意しています。
なお、チェックリストを作成することに関しては、JIS規格および構築・運用指針でも要求はされていません。
チェックリストは、内部監査の抜け漏れ防止や評価の客観性・一貫性の担保、そして効率的な実施をサポートするものです。どのようなチェックリストを作成するか、もしくは作成しないかは、組織の判断となります。
ちなみに、上記のリスク対応計画表の内容を、別途チェックリストとして作成し、内部監査される方もいらっしゃいます。
ご参考までに。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
