ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

Pマーク内部監査で使用する、運用状況に対するチェックリスト

10.09.2019

プライバシーマークサンプル文書集に収録されている「内部監査規程」のひな形の中に、JISQ15001:2017要求事項への「適合状況監査」で使用するチェックリスト、個人情報マネジメントリストの「運用監査」で使用するチェックリストを準備するという記載があります。

付属の様式(見本)の中に、内部監査チェックリストがあり、「内部監査チェックリスト」「内部監査チェックリスト(附属書A)」の二種類の記載見本が用意されていました。

この二種類の記載見本と適合状況監査、運用監査との関係はどのように考えればよろしいですか。

JIS Q 15001:2017の「A.3.7.2 内部監査」に関してですが、規格内では以下の2つの内部監査実施が要求されています。

  1. この規格(JIS Q 15001:2017)との適合状況を監査
  2. 運用状況の監査

ご質問の「内部監査規程」(4.1 監査の準備)における記述は、上記の2つの内部監査に対応した2種類のチェックリスト(以下)を準備するよう規定したものです。

  1. (適合状況監査)に対応したチェックリスト
  2. (運用状況監査)に対応したチェックリスト

サンプル文書集に収録されている様式(見本)の「内部監査チェックリスト」は、上記の「1.(適合状況監査)のチェックリスト」となります。

ご質問にあります上記様式ファイル内のシート「内部監査チェックリスト」は、JIS Q 15001:2017の本文要求事項(「4 組織の状況」から「10 改善」)までを、シート「内部監査チェックリスト(附属書A)」は、JIS Q 15001:2017の附属書Aへの適合性を確認するものです。

JIS Q 15001の本文要求事項と附属書Aには、重複する内容があるため、上記のチェックリストにおいても重複する部分があります。
自組織にあった内容にカスタマイズしてご利用ください。

それでは、「2.運用状況の監査」に対応したチェックリストに関してですが、当サンプル文書集では「リスク分析対策計画表」に「監査」の項目を設け、チェックリストとして流用しております。
(「リスク分析対策計画表」は、リスクの認識、分析及び対策の実施に利用する様式です。)

「運用状況の監査」は、実際の業務において、個人情報の取扱いが内部規程(規格要求事項に適合したもの)に沿って実施されているかを評価する行為となるため、チェックリストの作成方法としては、そのまま内部規程の項目ごとにリストを作成するといった方法があります。

但し、この方法だと、「1.適合状況の監査」との重複(運用状況ではなく、規格適合状況の監査になってしまう部分)や、リスク分析の際に生じた「確認すべき残留リスク」への対応を見落とすといったことが考えられます。

よって、当サンプル文書集では、個人情報保護における運用に関する要求事項「8 運用」に着目し、そのリスク対応(8.3)の結果生じた対策への確認および評価を行うことが、運用状況の監査に当たるとして、「リスク分析対策計画表」を流用しております。

※参考:JIS Q 15001:2017要求事項体系図 || ISM Web store 資料集

ちなみに、上記のリスク対応計画表の内容を、別途チェックリストとして作成し、内部監査される方もいらっしゃいます。
ご参考までに。