Pマーク(プライバシーマーク)の内部監査ってどうやるの?


_shared_img_thumb_AL101_natuin0120140830001_TP_V

お世話になっております、ISO総合研究所コンサルタントの伊藤です。
いつもご愛読いただきありがとうございます。

さて、今回のお題は“Pマーク(プライバシーマーク)の内部監査ってどうやるの?”です。

内部監査にはいろんなやり方や方法があると思います。正解はないと思います。

私と同じような視点を持った方がやっても結果が同じになるとは限りませんし、また、私と違った視点を持った人がやれば結果ももちろん違うものになるでしょう。
つまり内部監査員が10人いれば10回とも結果は変わってくる可能性があるということです。

こういう点からできるだけ多くの監査員がそれぞれ違った角度から時間をかけて内部監査をやったほうが良いように思えます。

が、しかし、我々ISO総研ではこれは不正解です。

え?10人の視点で内部監査をやったほうが不適合もいっぱい出そうだし、会社の安全管理に対するリスクも軽減されるんじゃないの?

そう思われた方は是非このブログをお読みいただきたいと思います、また、そうでない方も是非今後のためにお読みいただければと思います。

今回私がお伝えしたいことは以下の2にまとめております。

1.そもそもPマーク(プライバシーマーク)における内部監査とは?
2.内部監査をすることによる実際の有効性は?

それではまず一つ目から参りましょう!

1.そもそもPマーク(プライバシーマーク)における内部監査とは?

そもそも内部監査とは何のためにやるのでしょうか?
考えられる理由を以下に上げたいと思います。

・定期的な内部監査で不適合を見つけ出し、それを是正することによる会社の安全管理向上のため。
・従業員の意識を高めるため。
・Pマーク(プライバシーマーク)の要求であるから。
・やっていなければ審査の時に指摘されるから。

他にもあるでしょうか?だいたいこのような理由が考えられますね。

Pマーク(プライバシーマーク)でいう内部監査にはおもに2つの視点があります。

それは、適合性監査運用監査です。

適合性監査

自分の会社で定めたルールがJISQ15001という規格に適合しているかを監査します。
具体的にはチェックリストに基づき自社の規程を監査します。

過去にPマーク(プライバシーマーク)の審査を受けられた方はご存知かと思いますが、申請後の文書審査がこれに似たものになります。
文書審査は外部機関が申請された規程をチェックリストに基づき精査するものです。

運用監査

自社で定めたルール通りに現場できちんと運用されているかを見ます。
具体的には各部署を回り、チェックリストに基づき運用状況を監査します。

通例では適合性監査よりも運用監査の方が、毎回不適合が多く発見されます。理由は簡単で、規程は頻繁に改訂されることは少なく、最初何回かの適合性監査で不適合が出されたてきちんと是正されていれば、その後規格が改訂されるまでは不適合が出ることは少なくなるからです。

一方それぞれの部署では運用状況が変わりやすいものです。業務効率向上のために日々やり方が改善されていたり、人の入れ替わりがあれば無自覚なままに自社ルール違反をしてしまっていたりすることが多いです。こういった理由から運用監査を重点的に実施するのが合理的と言えるかも知れませんね。

2.内部監査をすることによる実際の有効性は?

内部監査で毎回たくさんの不適合を出し、その都度是正処置を講じる。果たしてこれで不適合はなくなるでしょうか?

答えはNOです。
私はこれまで50社以上の内部監査を実施しましたが、どこの会社でも毎回ほぼ同じような不適合が出ます。それも毎回同じ不適合です。

だいたいのケースで安全管理向上と業務効率向上は反比例の関係にあります。

例えば業務上取扱うパソコンにパスワード付きスクリーンセーバーを設定すると、ちょっとトイレに立つだけでパソコンにロックがかかってしまいます。
英数字8桁のパスワードを設定して1回ロックを解除するのに平均5秒かかるとして、1日平均3回ロック解除するとしましょう。年間で稼働日が200日と見積もっても5秒×3回×200日=3000秒=50分です。
つまり年間で一人当たり50分はパスワードロック解除に時間を使っている計算になります。
これが会社単位になると相当な時間をパスワードロック解除に時間を費やしていることになります。

会社としてのコンプライアンスやリスクを考えると代えがたいものかも知れませんが、実に効率が悪いです。
安全管理向上と業務効率向上は反比例にある一例です。

この例で言うと業務効率を向上させるためにパスワードを短くしようと考える方が中にはいらっしゃるかもしれません。
社内ルールでは8桁以上だけど自分しか知らない4桁だから大丈夫だろう。実は私もこう考えてしまう人間です。(笑)

こういう理由から他の運用面でも同じような不適合が毎回出てしまいます。
つまり、1回の運用監査でどれだけ多くの不適合を出しても、あまり意味がないと考えられます。

こういう考えのもと、我々はサンプリング監査というやり方で内部監査を実施しています。
見るポイントは不適合が出やすいポイントに絞って監査を実施し、実施時間も2時間という短い時間で行います。その代わり定期的に必ず内部監査を実施するようにしています。

この背景にはPマーク(プライバシーマーク)のルールで何時間以上かけて内部監査を実施しないといけないとか、いくつ以上不適合を出さなければならないとかという決まりがないというのもあります。

Pマーク(プライバシーマーク)の規格で言われているのは、自社で決めたルール通り定期的に年1回以上内部監査を実施することです。
つまり、長時間かけて内部監査を実施しても短時間で実施しても定期的に年1回実施していれば審査では適合となるはずです。

最後に

いかがでしたでしょうか。

少しでも今後実施される内部監査のヒントになれれば幸いでございます。

ご愛読ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス