Pマークの個人情報保護監査責任者とは？適任な人物や選定方法を解説

Pマークを取得・維持するには、定期的な内部監査が必要があります。

Pマークの内部監査とは、自社で定めたPMS（個人情報保護マネジメントシステム）が適切に運用されているかを調査するものです。個人情報保護監査責任者が主体となって実施します。

本記事では、Pマークの個人情報保護監査責任者について解説します。適任な人物や選定方法も取り上げるので、ぜひ参考にしてください。

Pマークの個人情報保護監査責任者とは

Pマークの内部監査を実施するには、まず「個人情報保護監査責任者」を設置します。個人情報保護監査責任者とは、Pマークの内部監査において計画・実施・報告の権限を持つ者です。

個人情報保護監査責任者の指揮のもと、内部監査員が各部署の個人情報の取り扱いや運用ルールを評価します。

個人情報保護監査責任者は、企業の代表者によって組織内から指名されます。特別な資格や知識は必要なく、社内の誰もが任命される権利を持っています。

しかし、Pマークの内部監査における責任者であることから、個人情報保護の内容を深く理解している者が望ましいです。なお、個人情報保護監査責任者と個人情報保護管理者の兼任は禁止されています。

個人情報保護監査責任者の役割

個人情報保護監査責任者は、公平かつ客観的な立場から、内部監査の指揮を執る役割を担います。

具体的には、社員の中から部署が異なる2名以上の内部監査員を選出し、各部署への監査を実施させます。なお、内部監査員になるうえで特別な資格や知識は必要ないため、比較的自由に選べます。

内部監査を外部へ委託する場合は、監査員の選出は不要です。内部監査を実施した後は、監査報告書を作成し、結果をトップマネジメント（会社の代表者）へ報告しなければなりません。

個人情報保護管理者との違い

個人情報保護監査責任者と似た用語に、個人情報保護管理者があります。

これはPマークの規格となる「JIS Q 15001」で定められる役割の一つで、PMSの構築と運用の権限を持つ者のことです。個人情報保護監査責任者との違いは以下のとおりです。

個人情報保護監査責任者は内部監査の責任を持つのに対し、管理者は構築や運用など、Pマーク全般の責任を持つのが特徴です。

なお、Pマークの内部監査は、個人情報保護管理者に対しても実施されます。そのため個人情報保護監査責任者は、個人情報保護管理者を監督できる者が好ましいでしょう。

Pマークの個人情報保護監査責任者になるには資格が必要？

Pマークの個人情報保護監査責任者には、特別な資格や知識は必要ありません。そのため、公平かつ客観的な立場から監査を実施できる者であれば、誰でも選任できます。

しかし、個人情報保護のルールや取り扱い状況を細かく調べる必要があるため、会社の業務とPMSについて把握している方が望ましいです。

Pマークの個人情報保護監査責任者に適任な人物は？

Pマークの個人情報保護監査責任者には、どのような人物を選出すべきなのでしょうか。ここでは、責任者の候補として挙げられる以下4つの人物の適性を解説します。

• 会社の代表者
• 外部の人物
• 管理者より役職が下の人物
• 個人情報保護に関する資格を持っていない人

順番に見ていきましょう。

会社の代表者はNG

会社の代表者は、個人情報保護監査責任者に選任できません。なぜなら、代表者は経営資源の分配を通じて個人情報保護体制の整備や運用に主体的に関与するからです。

代表者がPマークの内部監査をおこなうと、第三者性や客観性が保てず、監査の実効性を証明できなくなります。

ただし、個人情報保護管理者であれば会社の代表者を選任できます。個人情報保護管理者は、個人情報保護活動のすべてにおける権限と責任を有しているためです。

外部の人物もNG

社外の人物を個人情報保護監査責任者に選任することも不可能です。個人情報保護監査責任者は、社内の人物から指名する必要があります。

ただし、内部監査員の場合はその限りではありません。

管理者より役職が下の人物は注意

個人情報保護管理者より役職が下の人物を、個人情報保護監査責任者に選任するのは、避けた方がよいでしょう。

Pマークの内部監査は、個人情報保護管理者に対しても実施されます。内部監査では率直な指摘が求められます。

しかし、管理者より役職が下の人物が責任者になると忖度が働き、厳正で客観的な監査を実施できません。

内部監査が適切に機能しなくなる恐れがあるため、個人情報保護監査責任者は、管理者を監督できる立場の者が望ましいです。

個人情報保護関連の資格を持っていない人はOK

個人情報保護監査責任者には、特別な資格や知識は必要ありません。そのため、個人情報保護に関する資格を持っていない人物でも問題なく選任できます。

ただし、内部監査ではPMSの構築や個人情報の取り扱いが適正かをチェックし、指摘する必要があります。このことから、社内の業務を把握している、かつマネジメント経験がある人物に絞るとよいでしょう。

Pマークの個人情報保護監査責任者を選ぶポイント

Pマークの個人情報保護監査責任者を選ぶ際は、以下の3点を基準にしましょう。

• 個人情報保護の内容を理解していて実践できる
• 社内で公平かつ客観的な立場である
• Pマークの内部監査の結果を代表者に報告できる

個人情報保護監査責任者は、Pマークの内部監査において、PMSの構築や個人情報の取り扱いが適正かを調べる必要があります。そのため、Pマークの運用や個人情報保護について理解できている者が好ましいです。

またPマークの内部監査では、監査の実効性を証明するため、公平かつ客観的な視点が求められます。社内で公平な立場の人物でなければ、評価に忖度が働く恐れがあるので注意しましょう。

さらに、内部監査の結果を代表者に報告できる立場の人物であることも重要です。内部監査を実施した後は、監査報告書を作成したうえで、代表者に結果を報告する必要があります。

小規模な会社なら、一般の社員でも代表者と関わる場面がありますが、大規模な会社になるとそうもいきません。そのため、代表者との関係が近い人物が責任者を務めるのがよいでしょう。

個人情報保護監査責任者と個人情報保護管理者の兼任は不可

個人情報保護監査責任者と個人情報保護管理者は兼任できません。

個人情報保護監査責任者は、Pマークの内部監査におけるすべての権限と責任を持つ者です。一方の個人情報保護管理者は、PMSの構築や個人情報の取り扱いにおけるすべての責任を持ちます。

これらを兼任すると、監査の第三者性を確立できなくなり、実効性が損なわれるため注意しましょう。

まとめ：個人情報を正しく取り扱うためにも責任者の選定は慎重におこなおう

個人情報保護監査責任者は、Pマークを運用するうえで重要な役割の一つです。選任するうえで特別な資格や知識は必要ありません。

しかし、PMSの内容や個人情報の取り扱いを細かくチェックしなければならないため、Pマークについて理解している人物が適任でしょう。

なお、客観的な視点を持たなければ監査の実効性を損ねる恐れがあるので、個人情報保護監査責任者の選定は慎重におこないましょう。