新規申請時に内部監査の実施は必要か、また社外に依頼しても良いか?
Pマーク新規申請の際に、教育実施サマリーの項目がありますが、 社内に内部監査員が置けない場合は、内部監査員教育を実施せず、申請時も教育実施サマリーに記載しなくても問題ないでしょうか。
また内部監査員教育が必要な場合、内部監査員を置けない企業ではどのような取り組みが必要でしょうか。
「事業代表者(社長)が個人情報保護監査責任者になることはできますか?」の質問で、内部監査員を外部の内部監査代行に依頼することが可能と読み取り、内部監査員を外部に依頼したいと考えております。
こちらは、実施する必要があります。
JIPDECのよくあるご質問(「1-1 申請を考えていますが、どのような準備が必要ですか。」)にも、以下のように掲載されています。
「… 実際に運用を開始していただき、内部監査を行い、内部監査で発見された不適合については是正処置を行った上で、マネジメントレビューを行います。
… ご申請前に少なくとも1回以上PDCAサイクルを実施していただくことが必要となります。体制の整備や規程類の策定だけではご申請できませんのでご留意ください。」
内部監査を実施する際、適切な人材がいない等の理由で外部に依頼することも可能です。
ちなみに、「【申請様式9 新規】内部監査実施サマリー」では、監査員の欄に「社内・社外」の選択があります。
ご確認ください。
