Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)の内部監査ってどうやるの?

2021年3月8日

プライバシーマーク(Pマーク)の内部監査ってどうやるの?

プライバシーマークの内部監査は監査員により様々な方法で行われることがあり、決まった正解はありません。
本記事では、「プライバシーマークの内部監査ってどうやるの?をテーマに分かりやすく解説していきます。

様々な方法で行われるということは、内部監査員が10人いれば10回とも結果が変わる可能性があるということです。
できるだけ多くの監査員がそれぞれ違った角度から時間をかけて内部監査をやったほうが良いように思えますが、そうではありません。
「10人の視点で内部監査を実施した方が会社の安全管理に対するリスクも軽減されるんじゃないの?」
そう思われた方は是非この記事をお読みいただきたいと思います。

1.プライバシーマークにおける内部監査とは?

そもそも内部監査とは何のためにやるのでしょうか?
考えられる理由を以下に挙げたいと思います。

・定期的な内部監査で不適合を見つけ出し、それを是正することによる会社の安全管理向上のため
・従業員の意識を高めるため。
・Pマーク(プライバシーマーク)の要求であるから。
・やっていなければ審査の時に指摘されるから。

プライバシーマークにおける内部監査には適合性監査と運用監査という主に2つの視点があります。

(1)適合性監査

適合性監査では、自分の会社で定めたルールがJISQ15001という規格に適合しているかを監査します。

具体的にはチェックリストに基づき自社の規程を監査します。

過去にプライバシーマークの審査を受けられた方はご存知かと思いますが、申請後の文書審査がこれに似たものになります。
文書審査は外部機関が申請された規程をチェックリストに基づき精査するものです。

(2)運用監査

運用監査では、自社で定めたルール通りに現場できちんと運用されているかを見ます。 具体的には各部署を回り、チェックリストに基づき運用状況を監査します。

通例では適合性監査よりも運用監査の方が、毎回不適合が多く発見されます。

理由は簡単で、規程は頻繁に改訂されることは少なく、最初何回かの適合性監査で不適合が出されたてきちんと是正されていれば、その後規格が改訂されるまでは不適合が出ることは少なくなるからです。

一方それぞれの部署では運用状況が変わりやすいものです。
業務効率向上のために日々やり方が改善されていたり、人の入れ替わりがあれば無自覚なままに自社ルール違反をしてしまっていたりすることが多いです。
こういった理由から運用監査を重点的に実施するのが合理的と言えるかも知れませんね。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

2.内部監査をすることによる実際の有効性は?

内部監査で毎回たくさんの不適合を出し、その都度是正処置を講じる。
果たしてこれで不適合はなくなるでしょうか?

答えはNOです。
たくさんの会社で、毎回ほぼ同じような不適合が出ます。
それも毎回同じ不適合です。

だいたいのケースで安全管理向上と業務効率向上は反比例の関係にあります。

例えば業務上取扱うパソコンにパスワード付きスクリーンセーバーを設定すると、 ちょっとトイレに立つだけでパソコンにロックがかかってしまいます。

英数字8桁のパスワードを設定して1回ロックを解除するのに平均5秒かかるとして、1日平均3回ロック解除するとしましょう。
年間で稼働日が200日と見積もっても5秒×3回×200日=3000秒=50分です。

つまり年間で一人当たり50分はパスワードロック解除に時間を使っている計算になります。
これが会社単位になると相当な時間をパスワードロック解除に時間を費やしていることになります。

会社としてのコンプライアンスやリスクを考えると代えがたいものかも知れませんが、実に効率が悪いです。
安全管理向上と業務効率向上は反比例にある一例です。

この例で言うと、業務効率を向上させるためにパスワードを短くしようと考える方が中にはいらっしゃるかもしれません。

こういう理由から他の運用面でも同じような不適合が毎回出てしまいます。
つまり、1回の運用監査でどれだけ多くの不適合を出しても、あまり意味がないと考えられます。

ダウンロード資料プライバシーマーク漏洩事故を起こさないための 個人情報保護体制チェックシート
ダウンロード資料プライバシーマーク漏洩事故を起こさないための 個人情報保護体制チェックシート

こういう考えのもと、我々はサンプリング監査というやり方で内部監査を実施しています。
見るポイントは不適合が出やすいポイントに絞って監査を実施し、実施時間も2時間という短い時間で行います。

その代わり定期的に必ず内部監査を実施するようにしています。

この背景には、プライバシーマークのルールで何時間もかけて内部監査を実施しないといけないとか、
いくつ以上不適合を出さなければならないとかいう決まりがないというのもあります。

プライバシーマークの規格で必要とされているのは、
自社で決めたルール通り定期的に年1回以上内部監査を実施することです。
つまり、長時間かけて内部監査を実施しても短時間で実施しても定期的に年1回実施していれば審査では適合となるはずです。 pマークの運用スリム化診断

3.最後に

いかがでしたでしょうか。
プライバシーマークの内部監査は、年1回定期的に行うことをおすすめします。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。