プライバシーマークって何するの?外部監査編

Pマークを更新する場合、外部監査を受けることになります。まだ過去に2回外部監査を受けただけですが、初めての方は不安に思う方も多いと思いますので簡単な概要を説明してみたいと思います。

目次

当日のスケジュール

現地審査の時間は、更新申請の際に提出した書類をもとに判定された事業所規模によって時間が変わります。だいたい6時間から8時間になります。

まず審査員の方とご挨拶をします。その際個人情報保護管理責任者や監査責任者等が揃っていた方がよいですが、普段実務を担当している事務局の人員(以下、「事務局」とします。)だけでも特に何も言われることはありませんでした。

次に、代表取締役へのインタビューがなされます。代表の出席ができないときは他のものでも代替可能です。このインタビューには、事務局は参加しないようにと言われることもあるそうですが、直近で行われた外部監査では同席が認められました(同席できた方が助け舟も出せるので安心感はあります笑)。

代表者のインタビューが終わると(代表には退席頂き)、審査員に対し事業内容や、主な個人情報の取扱い業務の流れ等を説明します。その後、PMSの運用状況の確認(内部監査や教育の実施状況の確認)⇒社内情報システムの状況等の確認(サーバーの状況等)⇒個人情報取扱い現場の確認(マイナンバーどこにしまっているか等)⇒指摘事項や改善事項のまとめという流れで進んでいきます。

また、外部監査前の案内等には、個人情報保護管理責任者が終日現地審査に出席するようにと記載されています。しかし、僕が担当した過去二回については、事務局のみで対応しました。個人情報保護管理責任者はそれなりの役職の方が選任されるので終日参加はどこの会社もきついのかもしれません。また回答も事務局として実務バリバリやっている人のほうがテンポよく回答できますしね。

代表者へのインタビュー

聞かれる内容はだいたい決まっていますが、全く準備なしだと回答に困ることがあります。そのため、事前に代表者と下記の事項についての打ち合わせをしておく必要があります。

  • 前回の更新から今までに発生した個人情報漏洩事故の有無・概要の確認
  • プライバシーマークを持っていることの意義
  • 個人情報保護方針をどのように周知しているか
  • 個人情報保護管理者と個人情報監査責任者は誰を任命しているか
  • 代表者として個人情報に関してどのようなリスクを認識しているか
  • マネジメントレビューの内容について

ここで一番注意なのがマネジメントレビューを行った日付です。何月ごろに行ったかということを聞かれるケースがあります。この辺りで全く見当違いの時期や内容を応えてしまうと、マネジメントレビューをきちんと行っていないということが疑われてしまいます。

PMSの運用状況の確認

事業内容の説明(複雑な事業を行っている場合、審査員の方にはなかなか理解してもらえない場合があるので、適宜業務マニュアル等業務内容を説明できる資料も手元に置いておくと安心です。)を行ったあと、PMSの運用状況の確認を行います。

ここでは、運用確認チェックリストや、内部監査や教育の実施状況を見ていきます。ここでは、実施前の計画書と、実施したことのエビデンス(内部監査チェックリスト、監査報告書等)が整合性があるかを確認されます。万が一、日付の記入漏れや書面の作成漏れがある場合には、監査前に時系列をきちんと整合性のあるものにしておく必要があります(←ほんとはだめですよ)。

内部監査の資料については、監査対象部門が多い場合などは書類の量も多くなり、管理が大変になりがちですが、きちんとファイリングして、報告書などもきちんと作っていくのが大切です。

そのほか、マネジメントレビューに関する書面や、委託先評価リスト等々書類を見ていきます。すべての書面に共通することですが、書面ごとの整合性が大切です。件数、管理ナンバー、日付等の整合性は注意です。

社内情報システムの状況等の確認

ネットワーク構成図についての説明等を行います。サーバー等の説明も具体的に求められることも多く、僕は説明できるところまでは自分で頑張って、答えられないくらい深い質問をされたときに、社内の情報システム担当にバトンタッチしています。

個人情報取扱い現場の確認

現場の確認の仕方は審査員の方によって結構違うイメージです。基本的には、マイナンバーや社員情報の保管場所や保管の仕方についての確認等労務関係や、PCの標準設定等インフラ系の確認を、ざっくりとだけ見られるイメージです。ただ、オフィス内で業務上の個人情報の取扱い現場がある場合には、もしかすると細かい業務フローを見られることもあるかもしれません。

さいごに・・・

僕の少ない経験的には、注意点としては上に書いたぐらいかなと思います。基本的には、Pマークを更新させることが前提の監査なので、指摘された事項については、外部監査後に対応すれば問題なく更新はされます。さすがに書類が全然揃ってない等ボロボロ過ぎるとちょっとあれですが、Pマークの取得時に作成した各種規程類に沿って、それなりにきちんと運用できていれば、スムーズに更新申請・外部監査は進められると思います。(最後に審査員の方と雑談しましたがボロボロの企業もあるみたいです。)

あと、注意いただきたいのが審査員の方は、会社の事業や社内システム等に詳しい方ばかりではありません。何度説明しても理解してもらえないことも出てきます。それでも審査員の方は納得できるまで説明を求めてきます。事業内容等に詳しく説明が上手な方が担当するのがベストですが、理解してもらえなくてもイライラせずに根気強く優しく説明してあげてください笑。

ではまた~


よかったらシェアしてね!

コメント

コメントする

目次
閉じる