プライバシーマークの内部監査は監査員によって色々な方法で行われることがあります。
本記事では「プライバシーマークの内部監査ってどうやるの?」をテーマに分かりやすく解説していきます。

内部監査にはいろんなやり方や方法があって正解はありません。
内部監査員が10人いれば10回とも結果は変わってくる可能性があるということです。

こういう点からできるだけ多くの監査員がそれぞれ違った角度から時間をかけて内部監査をやったほうが良いように思えますが、弊社ではこれは不正解です。

「10人の視点で内部監査を実施した方が会社の安全管理に対するリスクも軽減されるんじゃないの?」
そう思われた方は是非この記事をお読みいただきたいと思います。

プライバシーマークにおける内部監査とは?

そもそも内部監査とは何のためにやるのでしょうか?
考えられる理由を以下に上げたいと思います。

・定期的な内部監査で不適合を見つけ出し、それを是正することによる会社の安全管理向上のため。
・従業員の意識を高めるため。
・Pマーク(プライバシーマーク)の要求であるから。
・やっていなければ審査の時に指摘されるから。

プライバシーマークにおける内部監査には主に2つの視点があります。
それは、適合性監査と運用監査です。

適合性監査

自分の会社で定めたルールがJISQ15001という規格に適合しているかを監査します。
具体的にはチェックリストに基づき自社の規程を監査します。

過去にプライバシーマークの審査を受けられた方はご存知かと思いますが、申請後の文書審査がこれに似たものになります。
文書審査は外部機関が申請された規程をチェックリストに基づき精査するものです。

運用監査

自社で定めたルール通りに現場できちんと運用されているかを見ます。
具体的には各部署を回り、チェックリストに基づき運用状況を監査します。

通例では適合性監査よりも運用監査の方が、毎回不適合が多く発見されます。
理由は簡単で、規程は頻繁に改訂されることは少なく、最初何回かの適合性監査で不適合が出されたてきちんと是正されていれば、その後規格が改訂されるまでは不適合が出ることは少なくなるからです。

一方それぞれの部署では運用状況が変わりやすいものです。業務効率向上のために日々やり方が改善されていたり、人の入れ替わりがあれば無自覚なままに自社ルール違反をしてしまっていたりすることが多いです。こういった理由から運用監査を重点的に実施するのが合理的と言えるかも知れませんね。

Pマーク総研では、月額4万円ですべての作業を代行しております。
まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
らくらく1分お問い合わせフォーム

内部監査をすることによる実際の有効性は?

内部監査で毎回たくさんの不適合を出し、その都度是正処置を講じる。
果たしてこれで不適合はなくなるでしょうか?

答えはNOです。
私はこれまで50社以上の内部監査を実施しましたが、どこの会社でも毎回ほぼ同じような不適合が出ます。それも毎回同じ不適合です。

だいたいのケースで安全管理向上と業務効率向上は反比例の関係にあります。

例えば業務上取扱うパソコンにパスワード付きスクリーンセーバーを設定すると、ちょっとトイレに立つだけでパソコンにロックがかかってしまいます。
英数字8桁のパスワードを設定して1回ロックを解除するのに平均5秒かかるとして、1日平均3回ロック解除するとしましょう。
年間で稼働日が200日と見積もっても5秒×3回×200日=3000秒=50分です。

つまり年間で一人当たり50分はパスワードロック解除に時間を使っている計算になります。
これが会社単位になると相当な時間をパスワードロック解除に時間を費やしていることになります。

会社としてのコンプライアンスやリスクを考えると代えがたいものかも知れませんが、実に効率が悪いです。
安全管理向上と業務効率向上は反比例にある一例です。

この例で言うと業務効率を向上させるためにパスワードを短くしようと考える方が中にはいらっしゃるかもしれません。

こういう理由から他の運用面でも同じような不適合が毎回出てしまいます。
つまり、1回の運用監査でどれだけ多くの不適合を出しても、あまり意味がないと考えられます。

こういう考えのもと、我々はサンプリング監査というやり方で内部監査を実施しています。
見るポイントは不適合が出やすいポイントに絞って監査を実施し、実施時間も2時間という短い時間で行います。

その代わり定期的に必ず内部監査を実施するようにしています。

この背景にはプライバシーマークのルールで何時間以上かけて内部監査を実施しないといけないとか、いくつ以上不適合を出さなければならないとかという決まりがないというのもあります。

プライバシーマークの規格で言われているのは、自社で決めたルール通り定期的に年1回以上内部監査を実施することです。
つまり、長時間かけて内部監査を実施しても短時間で実施しても定期的に年1回実施していれば審査では適合となるはずです。

最後に

いかがでしたでしょうか。
少しでも今後実施される内部監査のヒントになれれば幸いです。

Pマーク総研では、月額4万円ですべての作業を代行しております。
まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
らくらく1分お問い合わせフォーム
Pocket

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03