はじめに

こんにちは。今日は夏の暑さがウソのような天気で、とても過ごしやすい1日ですね。

さて、先週は、プライバシーマークを新規に取得されるお客様の「内部監査」を実施してきました。
言葉だけでピンとくる方は少ないと思いますが、プライバシーマークの取得には避けては通れないイベントです。
今日は、その全体像をご説明します。

プライバシーマークの基本は「PDCA」

プライバシーマークは、そもそも、PDCAサイクルを念頭に置いて作られたマネジメントシステムです。

• 個人情報保護の取り組みをルール化し(Plan)、
• そうやって定めたルールを適切に運用し(Do)、
• しかし本当にしっかりと運用されているかチェックし(Check)、
• チェックした結果を改善につなげていく(Act)・・・

プライバシーマークを取得したお客様は、上記の流れを毎年実施することで、個人情報保護の取り組みを年々高度化させていくのです。

内部監査は「PDCA」内の「Check」

上記、プライバシーマークのPDCAにおいて、内部監査とは「Check」の部分に該当します。

個人情報保護のために定めたルールがしっかりと運用されているかをチェックするため、内部監査では、主に次の2点を全部門で確認します。

• 自社内の個人情報保護体制が、プライバシーマークで求められている事項に準拠しているのか。
• 自社内の個人情報保護体制に基づいて、日々の業務が行われているのか。

ここで、プライバシーマークで求められている事項に準拠していないルールや、ルールが守られていない部分は「不適合」としてカテゴラズされ、何らかの修正対応を行い、自社内の個人情報保護体制をよりいっそう磨き上げていくのです。

誰が実施するの？

内部監査は、お客様の会社内で選定された内部監査員と呼ばれる方々が行う場合と、私たちコンサルタントが実施する場合の、いずれかのケースが多いです。

自社内の従業員が内部監査を実施する場合

実務的なメリットとしては、内部監査のスケジュールを調整しやすいという利点が挙げられます。
内部監査の実施は、手早く行っても、だいたい一部署につき1～2時間が掛かります。
20の部署に分かれているような会社であれば、それだけで作業工数として20時間を超えますし、実施にあたっての日程調整も一苦労です。

また、外部の人間が監査を行う場合に比べて、業務の内容に通じているケースが多いため、より実践的なチェックや指摘が期待できます。

外部のコンサルタントが内部監査を実施する場合

まず何よりも「現場に緊張感が生まれる」という利点が挙げられます。
プライバシーマークのPDCAサイクルは毎年実施していくのですが、つまり内部監査も毎年実施するということです。
同じ内部監査員が、同じ従業員にばかり内部監査を実施してしまうと、やはりどうしても「なぁなぁ」になってしまう恐れも生じます。
内部監査を外部のコンサルタントが対応することで「おざなりな対応は出来ない」という意識が生まれ、それが日々の情報セキュリティ意識の醸成にも繋がります。

また、コンサルタントは、当然ながら他社でのコンサルティング経験も豊富です。
そんな人間が内部監査を実施することで、「自社内では普通」だと感じていたことが、実は世間一般的には「イレギュラーな事項」だったり、またはもっとストレートに「改善すべき事項」だったりする事実に気付けるかもしれません。

自社内の状況や社長の意向なども踏まえて、誰が実施するかを話し合っていきましょう。

どのように実施するの？

内部監査として実施するのは大きく分けて「ヒアリング」と「現地チェック」です。

前者は、内部監査員が各部署の従業員に対し、聞き取り形式でルールの運用上を確認するものです。
後者は、実際に各部署を見て回って、例えばしっかりと施錠が行われているかどうか等、現地でしか分かり得ない事項を確認するものです。

内部監査にあたっては、あらかじめ確認すべき事項を網羅したチェックリストを準備しておき、それらを携えて実施に臨みます。

そうやって各部署の内部監査を終えたら、内部監査の結果を記載する「内部監査報告書」と、そこでの改善点を見出す「是正・予防処置報告書」を作成し、内部監査のフェーズは終了です。

おわりに

いかがでしたでしょうか。
難しい専門用語ばかりのプライバシーマーク制度ですが、少しでも親しみやすく、中身を噛み砕いてご紹介していきたいと思います。

ではまた～！