Pマークの内部監査とは?実施の流れと注意点を解説
公開日:2024.01.21 最終更新日:2024.01.21
Pマーク(プライバシーマーク)を取得・更新する際は、内部監査の実施が不可欠です。内部監査とは、社内の特定の担当者が実施する監査のことです。
Pマーク付与事業者は、あらかじめ定めた個人情報保護体制やルールが適切か、監査を通して定期的にチェックする必要があります。
しかし、Pマーク付与事業者の中には、内部監査についてよく理解できていない方もいるでしょう。
そこで本記事では、Pマークの内部監査について解説します。実施の流れや注意点も取り上げるので、取得や更新を希望する事業者はぜひ参考にしてください。
Pマークにおける内部監査とは
Pマークの内部監査とは、個人情報保護マネジメントシステム(PMS)が適切に構築・運用されているかを社内でチェックすることです。
内部監査の責任者と監査員を定めてチェックリストを作成し、現場ごとに問題点がないか調査します。Pマークの規格である「JIS Q 15001」では、最低でも年1回は内部監査を実施することが義務付けられています。
内部監査が必要な理由
Pマークの運用に内部監査が必要な理由は以下の3つです。
- JIS Q 15001の要求事項に含まれるため
- 個人情報の取り扱いにおける安全性を高めるため
- 従業員の情報セキュリティ意識を向上するため
まず前提として、Pマークを取得・更新する際は内部監査が必須です。これはPマークの規格である「JIS Q 15001」で定められた義務で、最低でも年1回は実施する必要があります。
また、個人情報保護マネジメントシステム(PMS)の問題点が指摘・改善されなければ、情報流出や漏えいなどのリスクにつながります。個人情報の取り扱いにおける安全性を高めるためにも、必ず実施しなければなりません。
さらに、内部監査で従業員にヒアリングをおこなうことで、個人情報の取り扱い方法や情報セキュリティに対する意識が向上します。
内部監査の対象者
内部監査の対象者は「個人情報保護管理者」と「各部署」です
個人情報保護管理者とは、個人情報保護マネジメントシステム(PMS)の構築や運用における責任と権限を持つ者をいいます。社員の中から、代表者によって指名されるのが一般的です。
個人情報保護管理者に対する内部監査で、チェックされる項目の例が以下のとおりです。
- 個人情報保護体制の構築や運用におけるルールが守られているか
- Pマーク運用において必要な文書や記録が揃っているか
一方、各部署に対する内部監査では、適切に個人情報を取り扱っているかがチェックされます。取り扱いのルールは各情報や部署によって異なりますが、具体的には以下のような事項が該当します。
- 個人情報を保管する収納棚が施錠されているか
- 社内システムにパスワードが設定されているか
- スクリーンセーバーが問題なく作動するか
内部監査は誰が実施する?
Pマークの内部監査を実施するのは「個人情報保護監査責任者」と「内部監査員」です。
両者とも社員の中から選出されますが、個人情報保護監査責任者は代表者、内部監査員は個人情報保護監査責任者によって選ばれます。
なお、個人情報保護監査責任者が内部監査員を兼任することも可能です。内部監査の具体的な流れとしては、内部監査員が各部署への監査を実施してから、個人情報保護監査責任者に結果を報告します。
ただし注意点として、内部監査員は対象部署に所属する人以外でなければなりません。自身が所属する部署だと、客観的な判断を下せないからです。
そのため、社員の中から監査員を選出する際は最低でも2名必要です。Pマーク取得事業者の中には、内部監査を外部委託するところもあります。専門的な知識を持っているため、チェックリストに記載のない細かな指摘もしてくれます。
また、外部の人物なので、監査をするうえでの忖度もありません。本来の状況をチェックできるため、内部監査員の選出で悩んでいる場合は、外部委託を検討してみてください。
Pマークの内部監査における2つの視点
Pマークの内部監査には、以下2つの視点があります。
- 適合性の監査
- 運用状況の監査
内部監査を実施する際に重要になるため、必ず理解しておきましょう。順番に解説します。
適合性の監査
適合性の監査とは、自社の個人情報保護マネジメントシステム(PMS)が、「JIS Q 15001」の要求事項に沿っているか調べることです。
作成したチェックリストに基づいて、規定を調査します。
運用状況の監査
運用状況の監査とは、自社で定めたルールのとおりに、各部署が個人情報を扱えているかをチェックするものです。
ルールを定めるだけでなく、遵守されているかが重視されます。
Pマークの内部監査を実施する流れ
Pマークの内部監査では、詳細な手順が定められていません。
そのため、各事業者が自ら手順を作成して進める必要があります。ここでは一例として、Pマークの内部監査を実施する流れを紹介します。
- 内部監査の準備をする
- チェックリストに沿って内部監査を実施する
- 監査報告書を作成する
順番に見ていきましょう。
1.内部監査の準備をする
まず、内部監査の事前準備として、以下の4つを作成・選定します。
| 作成するもの | 監査計画書 | 【内容の一例】 ・内部監査を実施する担当者の氏名 ・内部監査の目的 ・内部監査の実施日 ・内部監査の対象(部署や部門など) |
| 監査チェックリスト | 規定やガイドラインに沿って監査でチェックすべき項目を洗い出してリスト化する | |
| 選定する人物 | 個人情報保護監査責任者 | 社員の中から代表者が選出する(代表者は選任不可) |
| 内部監査員 | 別部署の人物を最低2名選出する(外部委託の場合は社内での選出は不要) |
2.チェックリストに沿って内部監査を実施する
作成したチェックリストに沿って、内部監査を実施します。個人情報保護管理者や各部署の担当者、従業員に以下の項目をヒアリングしましょう。
- 個人情報保護マネジメントシステム(PMS)がJIS Q 15001の要求事項に適合しているか
- 従業員が個人情報の取り扱いに関するルールを遵守できているか
また、個人情報が正しく保管されているか、棚やキャビネットが施錠できているかも、あわせて確認してください。
3.監査報告書を作成する
内部監査が完了したら、以下を実施します。
- 監査報告書の作成
- 指摘事項への対応
- 代表者への結果報告(マネジメントレビュー)
監査報告書とは、監査時に出た指摘事項を記載した書類です。個人情報保護監査責任者が作成します。
なお、内部監査で指摘事項が出た場合にはその旨を代表者へ報告し、改善を指示する必要があります。
部署の担当者は、指摘事項が発生した原因を探して是正しましょう。是正を実施した後は、結果を記録して有効性を確認します。
Pマークの内部監査における注意点
Pマークの内部監査では、以下の2点に注意しましょう。
- 最低でも年1回は内部監査を実施する
- 指摘事項を細かくしすぎない
順番に解説します。
最低でも年1回は内部監査を実施する
Pマークは永続的な制度ではありません。維持するには2年ごとに更新審査を受ける必要があり、その際には内部監査を実施した記録が求められます。
そのため、Pマークの内部監査は定期的に実施する必要があるので注意しましょう。なお、Pマークの規格である「JIS Q 15001」では、最低でも年1回の内部監査が義務付けられています。
指摘事項を細かくしすぎない
Pマークの内部監査では、指摘事項を細かくしすぎないことも重要です。記述の間違いや小さなミスより、ルールに沿って運用できているかをチェックしましょう。
また、あらゆる事項に「重大な不適合」を下す行為にも注意してください。Pマークの内部監査における不適合は、「軽微な不適合」「不適合」「重大な不適合」に分類できます。
ここでいう重大な不適合には、規定が守られていない、法律に違反しているものが当てはまります。知識不足で、場当たり的な判定を下さないように注意しましょう。
まとめ:Pマークの内部監査は継続的に実施しよう
Pマークの内部監査とは、個人情報保護マネジメントシステム(PMS)が正しく実施されているかを社内で調べることです。
なお、Pマークは永続的な制度ではなく、2年ごとに更新審査を受ける必要があります。その際に内部監査を実施した記録を求められるため、定期的におこなうことが大切です。
個人情報の取り扱いにおける安全性を確立するためにも、最低でも年1回は実施しましょう。
ぴったりの業者を
無料で紹介します
この記事を書いた人
hata
おすすめ業者ナビ 
用語集&基礎知識 
用語集&基礎知識 
用語集&基礎知識 
用語集&基礎知識 
