ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

内部監査を外部委託する場合の教育について

2020/10/13

内部監査員教育について、理解が十分ではない為、再度ご質問させて頂けますでしょうか。

内部監査は外部に依頼しますが、教育の形態はどのように行う必要がありますでしょうか。

外部依頼先が、個人情報保護監査責任者を対象に行う必要がありますか。
もしくは、個人情報保護監査責任者が外部依頼先を対象に行う必要がありますか。
または上記どちらでも問題はないでしょうか。

内部監査を外部にすべて依頼するということは、社内に内部監査員を育成しない(社内に存在しない)ということだと思われます。

その場合、「外部依頼先」と「個人情報保護監査責任者」との関係において、どのような教育が必要かが変わってきます。

『外部依頼先が、個人情報保護監査責任者に対して「教育」を行う必要がある』場合とは、個人情報保護責任者の力量を確保する手段として依頼される場合になるかと思います。

この場合、内部監査とは別に、教育の依頼となり「7.2力量」に該当することになりますので、外部依頼先には、それを裏付けるような教育水準(プライバシーマーク等に関連する知識など)が必要となります。

なお、個人情報保護監査責任者の役割としては、JIS Q 15001 の「3.41 個人情報保護監査責任者」にて、「監査の実施及び報告を行う責任及び権限をもつ者」とありますので、その責任及び権限が持てるような、別の力量確保の手段をとることも可能かと思います。

『個人情報保護監査責任者が、外部依頼先に対して「教育」を行う必要がある』場合とは、外部委託先が内部監査を実施するだけの力量(水準)を満たしていない場合ということになるかと思います。

水準に満たない委託先を選定しようと考えている場合、御社が教育を実施し一定水準をクリアすることや守秘義務などの条件を委託先の選定基準に設け、教育を実施する等のルール決めが必要になるかと思います。

以上、ご参考ください。