ここが一番大変 監査編


こんにちは!4月にISO総合研究所に入社いたしました、上岡です!
新卒は1年間プライバシーマークにかかわる記録の作成や、先輩のコンサルタントの方に同行し訪問技術の向上に日々務めております!

さて、わたくしが入社してまだ4か月とは言え、作業中に感じる「ここが一番大変 監査編」を以下に綴っていきたいなと思います。

と、その前に、監査に必要な記録について書いていきたいと思います。

監査に必要な記録

まず、監査の計画書。
監査をいつ行うのか、どの場所を行うのか、だれが監査を行うのかを先に決めてしまいます。

その次に、監査の報告書。
監査を行った結果、こういうところが気になりました、ですからこのように適合させましたなどをまとめたものです。

また弊社では監査のチェックリストをそれぞれ監査を行った場所ごとに作成しています。
監査のチェックリストっていっても何をチェックするのか?と疑問に思われるかもしれません。

その説明の前に、一度、先ほどから書いている「監査」のおおよその説明を試みたいと思います。

監査とは

監査と一口に言っても、実は監査には、

①社内で行われるもの
②取引先や他会社が行うもの
③審査機関(プライバシーマークを審査する機関)

の3種類があるのです。
ここで書くものは①の社内で行われる監査——弊社では内部監査と言いますに——限ります。

社内で行われる監査ですから、社内で決められたルールが本当に守れているかですとか、社内の人にその決まりごとの周知が行われているかといったことを確認するのです。

たとえば、社内パソコンのスクリーンセーバの設定時間を「5分とする」と社内で決められているならば、本当にそれが守られているかの確認を行わなければなりません。
それが社内の監査、内部監査です。実際と規定に齟齬がないかを確認します。

ルール、規程について

ところで、そのルール、規程についてです。
プライバシーマークを取得している、取得しようとしている企業の皆さまであればすでにおつくりのことと思われます。

大きく分けて弊社では、

「個人情報保護マニュアル」
「安全管理規程」

の二つをおいています。

もしかしたらもっと細かく「委託先評価規程」や「教育についての規定」など定められている場合もあるかもしれません。

どちらにせよ、内部監査ではこのルールと実態があっているかの確認を行うわけですが、そのまえにこのルールがプライバシーマークの求めている事項にきちんと適合しているのかということも調べなければなりません。

たとえばある企業が個人情報を集める場合は、その個人情報の利用目的を明らかにし、その収集方法や利用の承認手順をきちんとルールに定めてくださいね、と求められています。
そしてこのルールを定めるのが弊社でいう「個人情報保護マニュアル」なのですが、この「個人情報保護マニュアル」にきちんと要求されていることが書かれているのかということを確認しなければなりません。でないとルールとして不完全になってしまうのです。

社内ルールと要求されていると見事に整合が取れていた場合、ようやっと次に実態とルールがあっているかなという監査になります。
この監査については先に述べたことですので省略しますが、以上がおよその監査についてです。

保留としていた監査チェックリストというのは、ルールが要求事項にあっているかを確認するもの、そのルールに沿って実際運用されているか確認するものの二つがあります。
チェックリストですから、この項目がOKならば問題なしというわかりやすい指標となるのです。

監査はとにかく項目が多い!

ざっくりと説明しましたが、この説明からもわかるように監査はとにかく項目が多い!のです。

まずはルールの確認。
そのルールというのも規格要求事項を満たしているか?という硬い文章とのにらめっこになりますし、その次にあるのは事業所や部署ごとにわかれての「個人情報をルールごとに守れているかな」という実地の実際のチェックなのです。
もし、事業所が各地に複数ある場合はその拠点ごとに行わなければならない可能性がありますし、その時間と労力というのは容易にご想像いただけるように大変なものなのです。

実際にわたくしが内部監査させていただいた際は、会社の各部署のパソコンの設定を確認させて頂いたり、履歴書の保管場所や委託先の同意書の確認をさせていただきました。
その際に必要なのはルールがどうなっているかをいかに覚えているか、もしくはすぐに確認できるかということ。そしてとても多い内部監査チェック項目をどれだけ時間と闘いながら確認できるかということでした。

問題が発生したときの対処法

ところで、実際に内部監査を行い、そのときにルールでは「スクリーンセーバの設定が5分」となっていたのに実際の設定は10分だった場合。
どうすればよいのでしょうか。

これは起こり得る問題です。
仮にご覧になったいるあなたのパソコンが正しいルールを守っていても全員がそうとは限らないのです。

こうした問題が発生した場合、つまり監査において不適合が出た場合、取るべき手段は「是正処置報告書をつくること」だと思います。

ですのでこの場合は「ルールを守ってもらうようにその場で訂正した」ですとか「実態と合わせるためにルールを5分から10分に変更した」と是正するのが良いと思うのです。

監査で大変なのは監査中のチェックリストと実施のにらめっこで起きる目まぐるしさに加え、その後の是正処置の施し方にもあります。

もちろん、不適合を出さなければよいのですが、そうばかりしていましたらいざ審査になった際、審査員から「本当に監査したの?」と疑われてもたまりません。

一年を通じたプライバシーマーク運用で審査のことを考えて丁寧に記録の作成をおこなうのが何よりだと考えますが、こうした記録作成はもちろん、実際に行う内部監査は本当に難しいものだなあと入社して短いながらに深く思います。


【ISO総研】メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス