ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

Pマークの内部監査員は1名でも大丈夫ですか?

2007/10/02 (2019/09/19)

この記事は、内容が古い可能性がありますのでご注意ください。

内部監査管理規程を作成中ですが、当社の場合、40名という少人数のため、現在、個人情報保護に関する内部監査員が1名しかおりません。

規程ドラフト内では
・責任者
・リーダ
・監査員
という内部監査の中でも3種類の権限があります。

当社の場合1名ですのでその1名がすべてを兼務することになってしまいますが…
そもそも1名というのは少なすぎるものなのでしょうか?

たとえば、「部門内に1名ずつ必要である」など。
お教え頂けますと幸いです。

また、その1名で大丈夫な場合は、リーダ、監査員など権限は無視し、内部監査員という言い方で統一した規程の作り方にしても問題はないものでしょうか?

『内部監査関係で、JISQ15001で要求されている人員』についてJISQ15001では、内部監査の責任者(個人情報保護監査責任者)の1名のみを内部(社内)から選任するように要求されています。

注)
a) 個人情報保護管理者と個人情報保護監査責任者が同一人物でないこと。
b) 個人情報保護管理者及び個人情報保護監査責任者は代表者によって内部から指名されていること。
c) 会社法上の監査役、監査委員、又は会計参与が、体制の一部を占めていないこと。

※弊社サンプル文書では、個人情報保護管理者および個人情報保護監査責任者は、以下の名称となっております。
 個人情報保護管理者 → 弊社:個人情報保護推進責任者
 個人情報保護監査責任者 → 弊社:監査の責任者

『規程ドラフト内での責任者、 リーダ、 監査員』について

責任者(個人情報保護監査責任者)以外はJISQ15001では要求されていません。
リーダ、監査員という役職は弊社が独自に設定した名称です。

御社で独自の名称を設定していただいても問題はございません。

『審査員は1人でも問題はないか?』については、結論から言いますと2名以上必要です。

JSIQ15001では、監査員の人数については、明確に規定されていません。
しかし、暗黙の了解として、自分の業務は自分では監査はできない(してはならない)となっております。
責任者も含めて最低2名は必要となります。

通常のコンサルでは、内部監査の準備や実施が少人数では大変ですので、各部署から1名程度選出してもらっています。

名称については、2名以上必要ですので”個人情報保護監査責任者”と”監査員”などとで区分けされた方が分かり易いと思います。