Pマークの内部監査員は1名でも大丈夫ですか?最低人数と独立性のルールは?
内部監査管理規程を作成中ですが、当社の場合、40名という少人数のため、現在、個人情報保護に関する内部監査員が1名しかおりません。
規程ドラフト内では
・責任者
・リーダ
・監査員
という内部監査の中でも3種類の権限があります。
当社の場合1名ですのでその1名がすべてを兼務することになってしまいますが…
そもそも1名というのは少なすぎるものなのでしょうか?
たとえば、「部門内に1名ずつ必要である」など。
お教え頂けますと幸いです。
また、その1名で大丈夫な場合は、リーダ、監査員など権限は無視し、内部監査員という言い方で統一した規程の作り方にしても問題はないものでしょうか?
40名規模の組織において、効率的かつ審査に耐えうる監査体制をどう構築すべきか、以下の3つのポイントで回答いたします。
1. 内部監査員は「1名」では不十分な理由(客観性の原則)
結論から申し上げますと、組織の規模にかかわらず、内部監査に携わる人は「最低2名以上」必要です。
JIS Q 15001(および最新の指針)では、監査の人数そのものに具体的な数値規定はありません。しかし、監査の基本原則として「監査員は自らの業務を監査してはならない(客観性・公平性の確保)」という厳格なルールがあります。
- 1名だけの場合:
監査員自身が担当している業務(例:総務やIT管理など)を自分自身でチェックすることになり、監査の独立性が保たれません。 - 理想的な最小構成:
「監査責任者」のほかに、他部門の業務を相互にチェックできる「監査員」をもう1名立てるなど、自分以外の目が届く体制を整える必要があります。
2. JIS規格が求める「選任」の絶対条件
人員配置を検討する際、以下の3つのルールは必ず守らなければなりません。
- 管理と監査の分離:
個人情報保護管理者(実務の責任者)と個人情報保護監査責任者は、同一人物であってはいけません。 - 内部指名:
いずれも代表者によって社内から指名される必要があります。 - 独立性の維持:
会社法上の監査役などは、この体制(実務上の監査員)に含まれないことが一般的です。
※弊社のサンプル文書では、管理者を「個人情報保護推進責任者」、監査の責任者を「監査の責任者」と呼称していますが、法令上の役割と一致しています。
3. 規程の簡略化と「名称」の統一について
弊社のドラフトにある「責任者・リーダー・監査員」という3区分は、あくまで大規模な組織での階層を想定したものです。40名規模であれば、実態に合わせて規程をスリム化することをお勧めします。
- 名称の統合:
「リーダー」や「監査員」などの区分を廃止し、「個人情報保護監査責任者」と「内部監査員」の2種類に絞って規程を書き換えても全く問題ありません。 - 部門ごとに必要か:
「各部門に1名ずつ」配置する必要はありません。全社を横断的に監査できるスキルのある人が2名程度いれば、40名規模の監査は十分に実施可能です。
実務的なアドバイス
もしどうしても人員確保が難しい場合は、「相互監査」という形をとるのが効率的です。
例えば、「営業部門の社員」が「管理部門」を監査し、「管理部門の社員(監査責任者)」が「営業部門」を監査する、という形であれば2名で客観性を保ちつつ運用できます。
「誰が誰を監査するか」を明確にした計画を立てることが、審査をスムーズに通過するコツです。
弊社サポートブログに掲載の以下の記事も併せてご参考ください。
