2021年3月8日
プライバシーマークの内部監査は監査員により様々な方法で行われることがあり、決まった正解はありません。
本記事では、「プライバシーマークの内部監査ってどうやるの?をテーマに分かりやすく解説していきます。
様々な方法で行われるということは、内部監査員が10人いれば10回とも結果が変わる可能性があるということです。
できるだけ多くの監査員がそれぞれ違った角度から時間をかけて内部監査をやったほうが良いように思えますが、そうではありません。
「10人の視点で内部監査を実施した方が会社の安全管理に対するリスクも軽減されるんじゃないの?」
そう思われた方は是非この記事をお読みいただきたいと思います。
1.プライバシーマークにおける内部監査とは?
そもそも内部監査とは何のためにやるのでしょうか?
考えられる理由を以下に挙げたいと思います。
・定期的な内部監査で不適合を見つけ出し、それを是正することによる会社の安全管理向上のため
・従業員の意識を高めるため。
・Pマーク(プライバシーマーク)の要求であるから。
・やっていなければ審査の時に指摘されるから。
プライバシーマークにおける内部監査には適合性監査と運用監査という主に2つの視点があります。
(1)適合性監査
適合性監査では、自分の会社で定めたルールがJISQ15001という規格に適合しているかを監査します。
具体的にはチェックリストに基づき自社の規程を監査します。
過去にプライバシーマークの審査を受けられた方はご存知かと思いますが、申請後の文書審査がこれに似たものになります。
文書審査は外部機関が申請された規程をチェックリストに基づき精査するものです。
(2)運用監査
運用監査では、自社で定めたルール通りに現場できちんと運用されているかを見ます。 具体的には各部署を回り、チェックリストに基づき運用状況を監査します。
通例では適合性監査よりも運用監査の方が、毎回不適合が多く発見されます。
理由は簡単で、規程は頻繁に改訂されることは少なく、最初何回かの適合性監査で不適合が出されたてきちんと是正されていれば、その後規格が改訂されるまでは不適合が出ることは少なくなるからです。
一方それぞれの部署では運用状況が変わりやすいものです。
業務効率向上のために日々やり方が改善されていたり、人の入れ替わりがあれば無自覚なままに自社ルール違反をしてしまっていたりすることが多いです。
こういった理由から運用監査を重点的に実施するのが合理的と言えるかも知れませんね。
2.内部監査をすることによる実際の有効性は?
内部監査で毎回たくさんの不適合を出し、その都度是正処置を講じる。
果たしてこれで不適合はなくなるでしょうか?
答えはNOです。
たくさんの会社で、毎回ほぼ同じような不適合が出ます。
それも毎回同じ不適合です。
だいたいのケースで安全管理向上と業務効率向上は反比例の関係にあります。
例えば業務上取扱うパソコンにパスワード付きスクリーンセーバーを設定すると、 ちょっとトイレに立つだけでパソコンにロックがかかってしまいます。
英数字8桁のパスワードを設定して1回ロックを解除するのに平均5秒かかるとして、1日平均3回ロック解除するとしましょう。
年間で稼働日が200日と見積もっても5秒×3回×200日=3000秒=50分です。
つまり年間で一人当たり50分はパスワードロック解除に時間を使っている計算になります。
これが会社単位になると相当な時間をパスワードロック解除に時間を費やしていることになります。
会社としてのコンプライアンスやリスクを考えると代えがたいものかも知れませんが、実に効率が悪いです。
安全管理向上と業務効率向上は反比例にある一例です。
この例で言うと、業務効率を向上させるためにパスワードを短くしようと考える方が中にはいらっしゃるかもしれません。
こういう理由から他の運用面でも同じような不適合が毎回出てしまいます。
つまり、1回の運用監査でどれだけ多くの不適合を出しても、あまり意味がないと考えられます。
こういう考えのもと、我々はサンプリング監査というやり方で内部監査を実施しています。
見るポイントは不適合が出やすいポイントに絞って監査を実施し、実施時間も2時間という短い時間で行います。
その代わり定期的に必ず内部監査を実施するようにしています。
この背景には、プライバシーマークのルールで何時間もかけて内部監査を実施しないといけないとか、
いくつ以上不適合を出さなければならないとかいう決まりがないというのもあります。
プライバシーマークの規格で必要とされているのは、
自社で決めたルール通り定期的に年1回以上内部監査を実施することです。
つまり、長時間かけて内部監査を実施しても短時間で実施しても定期的に年1回実施していれば審査では適合となるはずです。
3.最後に
いかがでしたでしょうか。
プライバシーマークの内部監査は、年1回定期的に行うことをおすすめします。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
-
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください