「リスク分析対策計画表」の「期限」と「監査」項目について
「リスク分析対策計画表」の項目についての質問です。
「期限」という部分は、必ず記入すべき箇所なのでしょうか。
「監査」項目の「対策」「実施」という部分は、全く初めてで、これから検討する場合も記入すべきなのでしょうか。
「リスク対応計画」の「期限」は、いちいち詳細な「リスク対応計画表」を立てる必要がないような簡易な計画として実施期限を設けたものです。
「PMSリスクマネジメント規程」の「4.4 リスク対応計画」が該当します。
「監査」に関してですが、「内部監査規程」に関連します。
この項目は、「4.1 監査の準備」としてのものです。
プライバシーマークでは、適合状況監査と運用状況監査が求められており、これは後者の監査に対応したものとなります。
「対策されているのか?」と「その対策が実施されているのか?」の確認になります。
内部監査では、以下の2つの監査が要求されています。
- 適合状況の監査
事業者が定めた内部規程が構築・運用指針(JIS規格を含む)の要求事項に適合しているかを確認
- 運用状況の監査
定めた内部規程に沿って適切に運用されているかを確認
サンプル文書「内部監査規程」では、上記をもとに「適合状況監査」及び「運用監査」で使用するチェックリストという区別をしております。
「内部監査チェックリスト(記入例)」には、JIS Q 15001 や法令、国が定める指針その他の規範が含まれており、このチェックリストにて、「内部規程が構築・運用指針に適合しているか」(適合状況の監査)の確認を行うことになります。
「運用状況の監査」については、「リスク分析対策計画表」を利用する方法をとっており、そのための項目となります。
※以下もご参考ください。
