Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

Pマーク 認証・更新

Pマーク(プライバシーマーク)認証お役立ちコラム

8割以上の企業が悩んでいるPマークの内部監査を解説

スタッフ写真
スタッフ写真

2021年3月8日

8割以上の企業が悩んでいるPマークの内部監査を解説

目次

プライバシーマークの内部監査は監査員により様々な方法で行われることがあり、決まった正解はありません。
本記事では、「プライバシーマークの内部監査ってどうやるの?をテーマに分かりやすく解説していきます。

様々な方法で行われるということは、内部監査員が10人いれば10回とも結果が変わる可能性があるということです。
できるだけ多くの監査員がそれぞれ違った角度から時間をかけて内部監査をやったほうが良いように思えますが、そうではありません。
「10人の視点で内部監査を実施した方が会社の安全管理に対するリスクも軽減されるんじゃないの?」
そう思われた方は是非この記事をお読みいただきたいと思います。

1.プライバシーマークにおける内部監査とは?

そもそも内部監査とは何のためにやるのでしょうか?
考えられる理由を以下に挙げたいと思います。

・定期的な内部監査で不適合を見つけ出し、それを是正することによる会社の安全管理向上のため
・従業員の意識を高めるため。
・Pマーク(プライバシーマーク)の要求であるから。
・やっていなければ審査の時に指摘されるから。

プライバシーマークにおける内部監査には適合性監査と運用監査という主に2つの視点があります。

(1)適合性監査

適合性監査では、自分の会社で定めたルールがJISQ15001という規格に適合しているかを監査します。

具体的にはチェックリストに基づき自社の規程を監査します。

過去にプライバシーマークの審査を受けられた方はご存知かと思いますが、申請後の文書審査がこれに似たものになります。
文書審査は外部機関が申請された規程をチェックリストに基づき精査するものです。

(2)運用監査

運用監査では、自社で定めたルール通りに現場できちんと運用されているかを見ます。 具体的には各部署を回り、チェックリストに基づき運用状況を監査します。

通例では適合性監査よりも運用監査の方が、毎回不適合が多く発見されます。

理由は簡単で、規程は頻繁に改訂されることは少なく、最初何回かの適合性監査で不適合が出されたてきちんと是正されていれば、その後規格が改訂されるまでは不適合が出ることは少なくなるからです。

一方それぞれの部署では運用状況が変わりやすいものです。
業務効率向上のために日々やり方が改善されていたり、人の入れ替わりがあれば無自覚なままに自社ルール違反をしてしまっていたりすることが多いです。
こういった理由から運用監査を重点的に実施するのが合理的と言えるかも知れませんね。

プロのコンサルタントがお悩みをお伺いします!

2.内部監査をすることによる実際の有効性は?

内部監査で毎回たくさんの不適合を出し、その都度是正処置を講じる。
果たしてこれで不適合はなくなるでしょうか?

答えはNOです。
たくさんの会社で、毎回ほぼ同じような不適合が出ます。
それも毎回同じ不適合です。

だいたいのケースで安全管理向上と業務効率向上は反比例の関係にあります。

例えば業務上取扱うパソコンにパスワード付きスクリーンセーバーを設定すると、 ちょっとトイレに立つだけでパソコンにロックがかかってしまいます。

英数字8桁のパスワードを設定して1回ロックを解除するのに平均5秒かかるとして、1日平均3回ロック解除するとしましょう。
年間で稼働日が200日と見積もっても5秒×3回×200日=3000秒=50分です。

つまり年間で一人当たり50分はパスワードロック解除に時間を使っている計算になります。
これが会社単位になると相当な時間をパスワードロック解除に時間を費やしていることになります。

会社としてのコンプライアンスやリスクを考えると代えがたいものかも知れませんが、実に効率が悪いです。
安全管理向上と業務効率向上は反比例にある一例です。

この例で言うと、業務効率を向上させるためにパスワードを短くしようと考える方が中にはいらっしゃるかもしれません。

こういう理由から他の運用面でも同じような不適合が毎回出てしまいます。
つまり、1回の運用監査でどれだけ多くの不適合を出しても、あまり意味がないと考えられます。

Pマーク審査前に気を付けることベスト48

Pマーク審査前に気を付けることベスト48


こういう考えのもと、我々はサンプリング監査というやり方で内部監査を実施しています。
見るポイントは不適合が出やすいポイントに絞って監査を実施し、実施時間も2時間という短い時間で行います。

その代わり定期的に必ず内部監査を実施するようにしています。

この背景には、プライバシーマークのルールで何時間もかけて内部監査を実施しないといけないとか、
いくつ以上不適合を出さなければならないとかいう決まりがないというのもあります。

プライバシーマークの規格で必要とされているのは、
自社で決めたルール通り定期的に年1回以上内部監査を実施することです。
つまり、長時間かけて内部監査を実施しても短時間で実施しても定期的に年1回実施していれば審査では適合となるはずです。

pマークの運用スリム化診断

3.最後に

いかがでしたでしょうか。
プライバシーマークの内部監査は、年1回定期的に行うことをおすすめします。

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

\あわせて読みたい記事/

  • Pマークって要るの?Pマークの必要性を考えてみた!

    2023年9月1日

    Pマークって要るの?Pマークの必要性を考えてみた!

    全ての企業がPマークを取得する必要はありません。
    しかし、個人情報の取り扱いが主要な業務がある企業、個人情報の取り扱いに関して信頼性を確保したい企業、上場を目指す企業は、早く取得すべきです。
    近年、個人情報に関して様々なニュースが取り上げられており、企業側の管理体制が注目されているため、Pマークの必要性は年々高まっています。

  • Pマーク取得企業がルール違反した!?事故発生後の流れも解説

    2024年2月19日

    Pマーク取得企業がルール違反した!?事故発生後の流れも解説

    Pマークを取得している企業がルール違反を犯した場合、顧客や関係者からの信頼を失う可能性があります。さらに、プライバシーマークの付与が取り消される可能性もあります。したがって、個人情報の適切な管理とルールの遵守は、企業の社会的責任であり、ビジネスを維持するための絶対条件です。

  • 意外と知らないPマーク審査機関のあれこれ

    2023年4月24日

    意外と知らないPマーク審査機関のあれこれ

    Pマーク審査機関は、Pマーク付与にかかる申請の受付や審査等、Pマーク制度を運用する上で重要な役割を担います。Pマーク審査機関は、全部で20社あり、各審査機関に特徴があります。審査機関を変更することも可能ですが、申請前に審査機関を慎重に選択することが重要です。

一覧へ戻る

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用
役立つ資料をお届け
資料請求する

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。