内部監査への対応

プライバシーマーク制度では、2024年10月1日より、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023準拠 ver1.0】(以下、「構築・運用指針【JIS Q 15001:2023準拠】」という)」に基づく審査を開始しております。
その中で、「J.6.2 内部監査(9.2.1、9.2.2)」の第2項では、以下が定められております。

事業者は、個人情報保護マネジメントシステムが次の事項の状況にあるか否かについて、少なくとも年一回及び必要に応じて適宜に内部監査を実施すること。

a)事業者の内部規程(事業者自身が規定した要求事項を含む)が、本指針の要求事項に適合している。
b)個人情報保護マネジメントシステムが有効に実施され、維持されている。

これは、事業者が構築・運用している個人情報保護マネジメントシステムについて、

a) 事業者が定めた規定が本指針の要求事項と適合しているか(=適合状況の監査)
b) 事業者にとって有効に働いているか(=運用状況の監査)

を実施することを求めています。具体的には以下の通りです。

適合状況の監査について

以下の要求事項について、事業者の内部規程として定めているかを確認し、評価してください。

対象

  • J.1.3  法令、国が定める指針その他の規範(4.1)
  • J.1.4  個人情報保護マネジメントシステムの適用範囲の決定(4.3)1
  • J.2.2  個人情報保護方針(5.2.1、5.2.2)
  • J.2.3.1 組織の役割、責任及び権限(5.3.1)
  • J.2.3.2 個人情報保護管理者と個人情報保護監査責任者(5.3.2)
  • J.2.4  管理目的及び管理策(一般)(4.4)
  • J.3.1.1  個人情報の特定(6.1)
  • J.3.1.3  個人情報保護リスクアセスメント(6.2.1、6.2.2)
  • J.3.1.4  個人情報保護リスク対応(6.2.1、6.2.3)
  • J.3.3  計画策定(6.3)
  • J.4.3  認識(7.3)
  • J.4.4.2  緊急事態への準備(7.4.3、A.13)
  • J.4.5.1  文書化した情報(一般)(7.5.1)
  • J.4.5.3  文書化した情報(記録を除く。)の管理(7.5.2)
  • J.4.5.4  内部規程(7.5.1.1)
  • J.4.5.5  文書化した情報のうち、記録の管理(7.5.1.2)
  • J.5.1  運用(8.1、8.2、8.3)
  • J.6.1  監視、測定、分析及び評価(9.1)
  • J.6.2  内部監査(9.2.1、9.2.2)
  • J.6.3  マネジメントレビュー(9.3.1、9.3.2、9.3.3)
  • J.7.1  不適合及び是正処置(10.2)
  • J.8.1  利用目的の特定(A.1)
  • J.8.2  適正な取得(A.4)
  • J.8.3  要配慮個人情報などの取得(A.5)
  • J.8.4  個人情報を取得した場合の措置(A.6)
  • J.8.5 J.8.4 のうち本人から直接書面によって取得する場合の措置(A.7)
  • J.8.6  利用に関する措置(A.2、A.3)
  • J.8.7  本人に連絡又は接触する場合の措置(A.8)
  • J.8.8  個人データの提供に関する措置(A.14)
  • J.8.8.1  外国にある第三者への提供の制限(A.15)
  • J.8.8.2  第三者提供に係る記録の作成等(A.16)
  • J.8.8.3  第三者提供を受ける際の確認等(A.17)
  • J.8.8.4  個人関連情報の第三者提供の制限等(A.18)
  • J.8.9  匿名加工情報(A.28)
  • J.8.10  仮名加工情報(A.27)
  • J.9.1  正確性の確保(A.9)
  • J.9.2  安全管理措置(A.10)
  • J.9.3  従業者の監督(A.11)
  • J.9.4  委託先の監督(A.12)
  • J.10.1  個人情報に関する権利
  • J.10.2  開示等の請求等に応じる手続(A.24、A.25)
  • J.10.3  保有個人データ又は第三者提供記録に関する事項の周知など(A.19)
  • J.10.4  保有個人データの利用目的の通知(A.19、A.23)
  • J.10.5  保有個人データ又は第三者提供記録の開示(A.20、A.23)
  • J.10.6  保有個人データの訂正、追加又は削除(A.21、A.23)
  • J.10.7  保有個人データの利用又は提供の拒否権(A.22、A.23)
  • J.11.1  苦情及び相談への対応(7.4.2、A.26)

1文書化の書式・形態は問いません(内部規程として定める,個人情報保護方針の中で定めるなどが想定されます)。

補足

上記で示した以外の構築・運用指針の要求事項(「J.1.1 組織及びその状況の理解(4.1)」など)についても、事業者の内部規程として定めている場合は、適合状況の監査の対象となります。

  • 「J.1.4 個人情報保護マネジメントシステムの適用範囲の決定(4.3)」については、事業者の内部規程として定めていない場合は、個人情報保護方針の中で定めるなど、何かしらの書式・形態によって文書化しているかを確認し、評価してください。

運用状況の監査について

  • 当該事業者の事業の用に供する全ての個人情報について、構築・運用指針に基づいて事業者が規定化した手順に沿って取り扱っているか(あらかじめ計画した内容に基づいて実施しているか等)を確認し、評価してください。
  • 具体的には、規定化したルールや手順によって個人情報を適切に運用できていることを文書化した情報(リスクアセスメント表、個人情報管理台帳、各種記録など)を通じて確認し、実施者の理解度や管理方法に不足や改善の必要性がないか等を合わせて評価してください。

最後に

  • a)、b)に基づいて実施した内部監査の結果を保存してください。
    • 例えば、監査項目2 を列挙し、監査項目毎の監査結果をチェックリストとして作成するなど
  • その他、内部監査の実施にあたっては、ホームページ(構築・運用指針の解説動画、「よくあるご質問:2.PMS構築・運用>3.監査」等)、個人情報保護マネジメントシステム導入・実践ガイドブック等を合わせてご確認ください。
    2監査員が監査を行うにあたり確認する具体的な項目

更新日

2024年10月2日

内部監査への対応

資料ダウンロードはこちら

お問い合わせ

一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーマーク推進センター

〒106-0032
東京都港区六本木一丁目9番9号 六本木ファーストビル内

お問い合わせフォームはこちら
ページトップへ戻る