【ご案内】当サイトの閲覧には、SSL対応のブラウザをご利用ください。⇒WEBサイトの利用について

ホーム > よくある質問と回答 > FAQ:8.監査について

FAQ:8.監査について

よくある質問カテゴリー
8-1 ガイドライン
8-2 ガイドラインの転載
8-3 監査の対象
8-4 内部規定
8-5 監査役に対する個人情報保護の適用範囲
8-6 内部監査部門に対する個人情報保護監査

8-1 ガイドライン

8-1-1 「プライバシーマーク制度における監査ガイドライン」は公表されていますか?

JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-
が、該当いたします。監査する立場としてお読みください。

8-2 ガイドラインの転載

8-2-1 「JIS Q 15001:2006をベースにした個人情報マネジメントシステム実施のためのガイドライン -第2版- 」
の内容を社内の監査用チェックシートに転載したいと考えております。
監査用チェックシートの適用範囲は、あくまで社内のPMS監査に限定使用します。
転載許可の可否、手続きなどについて教えてください。

使用される社内の監査用チェックシートや詳細な内容を添えて、事務局までお問合せ願います。

8-3 監査の対象

8-3-1 JIS Q 15001:3.7.2(監査)について「PMS実施のためのガイドライン」に
「監査は、全ての部門を対象にしなければならない。 直接に個人情報の取扱いに従事しない部門であっても、個人情報(たとえば、従業者の情報、名刺の情報など)に接する可能性はあるからである。」
と記載されておりますが、「内部監査部門」も対象となるのでしょうか?

内部監査部門であっても、従業者の情報、名刺の情報などに接する可能性はある以上、監査は必要です。

8-4 内部規定

8-4-1 JIS Q 15001:2006に合わせるべく、規程の改訂を行っているのですが、その中で、監査に関する規程の作成者を個人情報保護推進事務局として、承認者を個人情報保護監査責任者としようと考えております。
問題はございますか?

JIS規格本体に付属する解説の解4ページ 3.2.5内部規程の項に、
「内部規程は、経営責任等を明確にするため、取締役会の決議を経るなど一定の手続きを経て定める必要がある」
と記述されています。

経営責任を明確にする形式で、実施してください。

8-5 監査役に対する個人情報保護の適用範囲

8-5-1 JIS Q 15001:2006の要求事項では、監査役も従業者という定義になっておりますが、「従業者の監督」の解説には、
「監査役に対する監督は(中略)取締役等業務執行者による監督は、監査の独立性が害されるため許されない」
となっております。
監査役に対する個人情報保護の適用範囲について教えてください。

教育も監査も対象となります。

ただし、監査役は取締役等業務執行者の指揮命令を受けないため強制することはできず、監査役が教育や監査を受けていなくても不適合ではありません。

8-6 内部監査部門に対する個人情報保護監査

8-6-1 弊社はPマーク付与事業者として監査を行っておりますが、個人情報取扱部署は全て監査対象部門として取扱う主旨から、内部監査部門(内部監査室)に対して個人情報保護監査を実施することと致しました。
以下のように監査を実施した場合にJIS規格上で言う適正な監査が実施されたことになるかどうか、教えてください。
1.監査担当者は内部監査室以外の社員が担当する。
2.任命は監査責任者が行う。但し、監査責任者は内部監査室長が兼務している。

問題ありません。