◇【3.7.2 監査】
-----------------------------------------------------
JISQ15001:2006要求事項
-----------------------------------------------------
3.7.2 監査
-----------------------------------------------------
事業者は、個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査しなければならない。
事業者の代表者は、公平かつ客観的な立場にある個人情報保護監査責任者を事業者の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。
個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告しなければならない。監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保しなければならない。
事業者は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。
-----------------------------------------------------
■ワンポイントアドバイス
-----------------------------------------------------
□まず監査計画をスケジューリング(監査は年1回以上必須)します。具体的に○月と定めている事が必要です。また監査実施にあたって、PMS文書(手順書含む)がJISに適合しているかどうか適合性監査を実施したうえで運用状況を監査します。
実施方法としては、「文書」・「運用」監査チェックリストを作成し全部門の監査を実施します。
□実施体制について、監査責任者は会社(組織)内部から指名となりますが内部監査員は、外部の者(外部コンサルタント等)でもOKです。また、監査責任者、内部監査員は専門資格(情報セキュリティ関連資格)が無くとも実施出来ます。
もちろん、研修等を受講して、内部監査員の資質向上させる事は大事ですので、教育計画に盛り込む事も考慮に入れると良いと思います。
*なお、監査員は自ら所属する部門の監査は出来ません。
□運用状況の監査について
「リスクなどの認識、分析及び対策」により講じた対策を規定し、チェックリストに反映している事が必要です。
その際、
@「個人情報管理台帳」、
A「リスク管理台帳」(「リスクなどの認識、分析及び対策」)
B「監査チェックリスト」
上記の整合性を、個人情報のグルーピングを行い、全社、部署毎に解りやすくまとめておかないと整合性を合わす事が難しくなり、その事により、不適合になる可能性が高くなります。ご注意願います。
また審査時には監査チェックリストも提示する必要があります。保管が必要です。
□監査の結果について
事業者の代表者(又は代表者から権限委任された者)に報告・承認が必要です。
報告書には、監査実施状況のほか、問題点として把握した事、改善すべき事、を区別する事が大事です。
監査 スポットコンサルも実施しています。
基本的に当社のコンサルでは、監査の指導と教育を行います。
監査チェックシート(監査チェックリスト)は
当社が雛形を提供致します。
|
