Pマークに要求される教育、内部監査について!

AKANE072160504_TP_V
はじめまして、ISO総合研究所東京支社業務責任者 コンサルタント岡本優梨亜と申します。

今回はPマークの運用にあたって必要な教育と内部監査についてお話させていただきます。

Pマークの教育と内部監査に関して下記の要求事項があります。

4.4.5
教育
事業者は,従業者に,定期的に適切な教育を行わなければならない。事業者は,関連する各部門及び階
層において,その従業者に,次の事項を理解させる手順を確立し,維持しなければならない。
a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

4.7.2
内部監査
事業者は,自ら定めた個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マ
ネジメントシステムの運用状況を定期的に監査しなければならない。
監査責任者は,監査を指揮し,監査報告書を作成し,事業者の代表者に報告しなければならない。監査
員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。
事業者は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関する責任と権限を定める
手順を確立し,実施し,維持しなければならない。
4.8
是正処置及び予防処置
事業者は,不適合に対する是正処置及び予防処置を確実に実施するための責任と権限を定める手順を確
立し,実施し,維持しなければならない。その手順には,次の事項を含めなければならない。
a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする。
4.9
事業者の代表者による見直し
11
Q 15001

2006
事業者の代表者は,個人情報の適切な保護を維持するために,定期的に個人情報保護マネジメントシス
テムを見直さなければならない。
事業者の代表者による見直しにおいては,次の事項が考慮されなければならない。
a) 内部監査及び個人情報保護マネジメントシステムの運用状況に関する報告。
b) 苦情を含む外部からの意見。
c) 前回までの見直しの結果に対するフォローアップ。
d) 個人情報の取扱いに関する法令,国の定める指針及びその他の規範の改正状況。
e) 社会情勢の変化,一般の認識の変化,技術の進歩などの諸環境の変化。
f) 改善のための提案。

Pマークの教育で伝えたいことは以下3つです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

といわれても難しいと思うので
簡単に説明すると下記の通りです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
└個人情報は本人のものです。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
└個人情報を使う場合には何に使うのか本人に許可を得ておく必要があります。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。
└何に使うか決めたもの以外のことに使う場合は改めて許可が必要です。

Pマークを取得している以上、個人情報はどんなものなのだろうかなど
考えるいい機会が要求事項上の教育だと思います。
一年に一度Pマークはどのようなものか、何が個人情報なのか
しっかり考えてみてください。

続いて内部監査です。
内部監査で最近一番よく指摘されるのが、スクリーンセイバーの設定やパスワードが安易なものになっている、また定期的に変更されていない等設定が出来ていないことがとっても多いです。
安全管理規程に基づきスクリーンセイバーの設定、何分で設定が必要なのか、パスワードが何桁になっているのか、また英数混合必要なのか、設定をしなおしましょう。

また完璧に運用を行っている会社なんてめったにありません。
でもそれは悪いことではありません。
まずは気づくこと、直していくこと、また実行していくことがとっても大切です。

a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする

要求事項にもこう記されています。
予防処置を立案することは難しい言葉に聞こえますが、全然難しくありません。
考えて行動するだけです。
また、このようなことがあったと記録することもとっても大切です。
そして見返していき、去年はこれが出来てなかったな~と一年に一度振り返ってみると
よりよいPマーク運用ができるかと思います。
これからもPマーク更新するにあたり、昨年よりよい運用を心がけましょう。

Pマーク(プライバシーマーク):ギャルがやるまあまあ軽めの内部監査

-shared-img-thumb-SEP_355215221321_TP_V

いつもご愛読ありがとうございます。

やっぱりありのままの私でいくと決めたISO総合研究所コンサルタントの松本です。

 

まだまだ前髪伸ばし中~です!

 

 

さあ、次回に引き続き今回のテーマは「ギャルがやるまあまあ軽めの内部監査」です!

 

ギャルに内部監査されるって、、、大丈夫なん???

って思う方もいるとは思いますが、とりあえず軽く読んでみてくださいませ。

 

まず、Pマーク(プライバシーマーク)を取得していると、1年に1回は必ず内部監査というのをしないといけないのです。

 

 

絶対ですよ!絶対!

 

ってゆーか、内部監査って何?

 

Pマーク(プライバシーマーク)の規格では、PDCAを回さないといけない。

 

内部監査はPDCAのC!つまりチェックに当たります。

 

このチェックを内部の者(社内の人)から指名して監査をしましょう!ということです。

 

監査人に選ばれた人はしっかりと監査しないといけないのです。

 

 

しっかりしなさい。って言われても、、、どうしたらいいの?

 

そうですよね。

 

 

 

実は内部監査って決まったやり方はありません。やり方はどんな方法でもいいのです。

 

 

じゃあ、どんな方法があるの?

 

例えばですが、今回例として挙げる方法は3つあります。

 

1つめは、現場を見て内部監査を実施する。

 

2つめは、サンプリング監査を実施する。

 

3つめは、電話をしようしてヒアリング監査を実施する。

 

 

 

 

 

今回は2つめの「サンプリング監査」についてお話ししようと思います。

 

そもそも内部監査をしっかりやろうと思うと、正直1日あっても足りません。

 

徹底的に内部監査を実施して、時間と労力を費やすのって正直すごく大変だと思いませんか?

 

そんなに徹底することが必要なことなのでしょうか?

 

 

だったら内部監査する時間を決めて、ささっと終わらせちゃいましょうよ!!

 

 

まずは事前準備みたいな感じで、内部監査のチェックリストを作りましょう。

 

 

チェックリストは2種類あります。

 

1つは自社のルール(規程やマニュアルなどと呼ばれるもの)Pマーク(プライバシーマーク)の要求するルールを見比べるチェックリストです。

 

これを、JISへの適合状況の監査と言っていたりもします。

 

 

簡単に言うと、

 

自社のルールがJISQ(ジスキュー)15001の規格要求事項を満たしているかどうかの確認です。

 

 

2つ目は運用監査のチェックリストです。

 

運用監査とは、自社のルール(規程やマニュアルなどと呼ばれるもの)と実際に行われていることが合っているかということです。

 

新規認証で取得される以外、つまり、更新時は基本的に1つ目のJISへの適合状況の監査で問題が見つかることは少ないと思います。

 

毎回の監査で気をつけたいのは運用監査です。

 

リスク分析での対策を運用監査でチェックしたらいいのです。

 

 

さあ、いざ内部監査実践!!!サンプリング監査開始です。

 

 

個人情報の特定をしている中で、業務の中で1番大切な個人情報、取扱う頻度が多い個人情報などを1つ選びます。

 

今回は、例としてどの会社にもある「履歴書」でやってみましょう。

 

「履歴書」の取得から廃棄までのフローをヒアリングしていきます。

 

 

【 取得 】

 

どうやって取得しているのか。→ 本人から直接もらっている。

 

この場合のリスク対策は、同意をもらってから取得しているか。がポイントです。

 

採用時の同意書を取っているか、実際に確認してみましょう。

 

そして、採用された場合は、入社時にもう一度入社時の同意書を取っているか確認しましょう。

 

きちんと取得していることが確認できれば〇です。

 

 

【 移送 】

 

その「履歴書」は持ち運ぶことがあるか。 → 社内で持ち運ぶ。面接会場から自社に持ち運ぶ。

 

この場合のリスク対策は、移動中は肌身離さず持ち歩いているか。放置してその場を離れていないか。をヒアリングして確認しましょう。

 

 

【 利用・加工 】

 

取得した「履歴書」を管理するためにエクセルのデータに打ち込んでいる。

 

この場合のリスク対策は、2つ考えられます。

 

1つめ、エクセルに打ち込む際、誤入力がないか。ダブルチェックをしているか。

 

2つめ、パソコンにパスワード、スクリーンセーバ、ウィルス対策ソフトが入っているか。

 

実際にパソコンを確認し、パスワード設定がされているか、スクリーンセーバの設定がされているか、ウィルス対策ソフトが導入されているか。確認しましょう。

 

【 保管 】

 

「履歴書」は本人から直接もらった紙媒体と、エクセルに打ち込んだデータがあります。

 

紙媒体は、キャビネットに保管している

 

データは、パソコンの中に保管されている。

 

この2つの保管場所に対して、リスク対策されているか確認しなければなりません。

 

この場合のリスク対策は、

紙媒体は、鍵付きのキャビネット、鍵付きの棚に保管されているか。

データは、【 利用・加工 】の時と同じく、パソコンにパスワード設定、スクリーンセーバ、ウィルス対策ソフトが導入されているか。そして、バックアップデータを取っているか。

確認しましょう。

 

バックアップデータはどこにあるのか?

 

ここで、サーバも確認しましょう!

 

アクセスログを取っているか、アクセス権限を設けているか。確認しましょう。

 

また、最近よく審査で指摘される「盗難防止策を講じているか。」

例えば、チェーンロックをしているかなど。

 

 

【 廃棄 】

 

「履歴書」は本人から直接もらった紙媒体と、エクセルに打ち込んだデータがありますね。

 

紙媒体を廃棄するときは、ゴミ箱にポイッ。としていませんか?

 

この場合のリスク対策は、シュレッダー廃棄しているかです。

面倒かもしれませんが、個人情報が記載された紙を捨てるときは、シュレッダー廃棄しましょう。

 

データの場合のリスク対策は、保管期間を確認し、削除する。

 

取得から廃棄までの流れの中で、それぞれのリスク対策を実施しているのかヒアリングし、実際に実施できているか自分の目で確認しましょう!!

 

ギャルが内部監査をやるとこんな感じです!

 

2時間あれば、サンプリング監査は可能です。

 

さあ、皆さんもPマーク(プライバシーマーク)の内部監査、忘れずに実施しましょう!

 

 

 

 

 

Pマーク(プライバシーマーク)での監査のポイント

-shared-img-thumb-N811_notepcwosawarubiz_TP_V

ISO総合研究所のPマーク(プライバシーマーク)のコンサルタントの大山です。

寒い時期が続いておりますが、皆様におかれましては、いかがお過ごしでしょうか?
マイナンバーが施行されて、会社として「どうしたらいいの?」いう声が聞こえてきそうな時期でもありますね。
こんな前振りですが、今回のブログのテーマは

 

Pマーク(プライバシーマーク)の内部監査での見るべきポイント

 

つまりチェックポイントです。

そもそも内部監査って何というところです。Pマーク(プライバシーマーク)の規格ではPDCAを回すことになっています。
内部監査はPDCAのCつまりチェックに当たります。このチェックを内部の者(社内の人)から指名して監査をしましょうということです。監査人に選ばれた人はしっかりと監査してください。イメージは半沢直樹で片岡愛之助さん演じる金融庁の黒崎検査官のように「あなた○○はどうなっている?」って感じで社内をチェックしてください。
内部監査について何であるかはここまでにしていよいよ本題に入ります。

まずは内部監査のチェックリストを作ります。

チェックリストは2種類あります。1つは自社のルール(規程やマニュアルなどと呼ばれるもの)とPマーク(プライバシーマーク)の要求するルールを見比べるチェックリストです。
これを俗にJISへの適合状況の監査と言っていたりもします。2つ目は運用監査のチェックリストです。
運用監査とは自社のルール(規程やマニュアルなどと呼ばれるもの)と実際に行われていることが合っているかということです。
新規認証で取得される以外つまり更新時は基本的に1つ目のJISへの適合状況の監査で問題が見つかることは少ないと思います。
毎回の監査で気をつけたいのは運用監査です。
リスク分析での対策が運用監査でチェックをしたらいいのです。

 

さぁここからは見逃しがちで、よく不適合になっている箇所である見るべきポイントを書いていきます。

 

①PCの設定の全般
PCのPマークで見ておくべきは順に説明していきます。
windowsをご使用されている方でwindows updateは自動更新の設定になっていますか。設定を確認して見て下さい。特に設定を今まで変更されたことがなければ標準では自動更新になっていますが、ごくたまに手動になっていたりするので、監査でのタイミングで確認することが大事です。

②ウィルス対策ソフト
これはご使用されているものが常に最新のバーションになっているか、また最新のものが手に入るようなに自動更新になっているかを見ます。ウィルス対策ソフトに関しては、別の視点があります。これはよく見ないとわからないのですが、
社内で指定されたウィルス対策ソフト(有料・無料問わず)を使用しているお客様に見られるのですが、知らないうちに2つ目のウィルス対策ソフトをインストールしているということです。これは一見セキュリティを高めてそうですが全く違います。むしろウィルス対策ソフト同士お互いがウィルスと感知しPCのパフォーマンスを低下させ、正常にウィルス対策ソフトが動かなくなることがあります。そのためメインとなるウィルス対策ソフトを除いてアンインストール(プログラムからの根本的な削除)をおススメします。

③スクリーンセーバーの設定
これはお客様先での事例ですがスクリーンセーバーの設定は終わっていますよと自信満々で言われていて確認しました。すると確かにきちんとスクリーンセーバーが規程の時間に従って起動することが確認できました。もちろん設定時間になると、その方のPCの画面は楽しげな画像がコロコロと変化していきました。残念なのはただただ画面が楽しげになっただけだったからです。マウスを動かしたり、キーボードに触れたりするとなぜかログイン状態です。でもスクリーンセーバーを設定していると思うかもしれませんが、スクリーンセーバーを設定することの意味は離席時等に一定時間PCから離れる時は自動的にログオフなるといいねということでした。そのため必ずスクリーンセーバーはパスワード付であることを確認したうえで設定しておく必要があります。

④無線LANに関して
審査でもよく指摘をされる傾向にありますが社内でのインターネットへの接続際に無線LANを使用する場合は無線LANの暗号化に関して気にしておくべきです。実際に使用されている会社ではどのような種類の暗号化をしているかを知り、必要であれば強化していくことも考えることができる。

⑤アクセスログに関して
実際にアクセスログを定期的に取得することはPマーク(プライバシーマーク)規格の要求であります。実際問題はちゃんと取れているかどうかは専門的な知識がないと、わからなかったり自分で見ようと思っても設備投資が必要などで見れないお客様も多いです。もし見れても委託先が見れるということになるかもしれないです。そのため本当に見れるのかを確認が必要となります。

 

総じてPCに関してよく見られるのをおススメします。
中でも特に注意して見てもらいたいのは新しく入ったPCや危機やシステムなどです。

こういったものは設定漏れがありがちなので注意するだけ簡単にどれかは見つかります。

以上が内部監査の見るべきポイントでした。参考にして金融庁の黒崎検査官のようなカッコイイ監査員としてご活躍ください。

Pマーク(プライバシーマーク)取得、内部監査のやり方編

お世話になっております。

ISO総合研究所コンサルタントの濱田です。

いつもご愛読ありがとうございます。

 

さて、今回はPマーク(プライバシーマーク)の運用の中で、『内部監査を普段の仕事に上手く活用できないか』についてお話させていただきます。

実際にPマーク(プライバシーマーク)の審査員とお話した内容です。

 

『内部監査』は、全ての企業で①社員教育②業務点検③顧客監査がある場合、その予行練習、のどれかに当てはめることができるのではないかと思います。

どういうことか、それぞれの観点で見ていきます。

 

①社員教育

『内部監査』はチェック項目を使って規格要求と合っているか、さらにその規格に沿って運用がうまく出来ているかを確認します。

今話題のラグビーで言うと、ルールに則って1チーム15人で行われるのが『規格要求』にあたり、反則があれば審判がペナルティを科す、それが『運用がうまくできているか。』そのようなイメージでしょうか。

『内部監査』で使うチェックリストは実は会社の知識でありノウハウを入れるハコのようなものです。

例えば、去年は客先で顔写真入りの社員証を2度も紛失させてしまった、メールを誤送信して取引先にご迷惑をかけてしまった、そのような事故は身近にございませんか?

そのような事故を未然に防ぐ意味でもチェックリストを社員の方に見てもらうことで個人情報の管理に対する意識が高まるかもしれません。

ただし”普段の業務時間でさえ足りていないのにそのような時間を取るのは大変工数がかかってイヤです。”

その気持ちとても分かります。では次の項目はどうでしょうか。

 

②日常業務の点検

①と似ていますが、より作業効率を重視した考えです。

例えば会社の中で社員から『PCの立ち上がりが最近遅いと思うんですけど。』と指摘があった場合、もしかするとウイルス対策ソフトが重複して入っている、可能性はありませんか?

もし1日3分通常より立ち上がりが遅いとその差が積もって年間12時間/1人、社員が30人いれば年間360時間を生み出します。

結果には必ず原因があります。もし部署で仕事が上手くまわっていないなと感じたら、その原因を特定するために監査チェックリストを使って分析していくといいかもしれません。

 

 

③顧客監査の予行練習

これは最近増えてきた、顧客から外部監査を受ける場合、イメージをしやすいという内容です。

マイナンバー制度も来年度から始まるので、取引先やお客様が個人情報の管理の仕方を実際に確認に来たり、もしくはアンケートに答えるように”要求”されるのです。

 

このようにせっかく『内部監査』を行うのならば、何か業務改善につなげることも仕事の効率化になるかもしれません。

 

 

実は内部監査は、4つの要求のうちどれかに応えているかを確認します。

 

その1 顧客要求

これはPマーク(プライバシーマーク)を取得する理由で一番多いのではないでしょうか?

先ほど『③顧客監査の予行練習』でお伝えした通り、年々お客様から個人情報の取扱いについて厳しく見られているのが現状です。

また、来年から施行されるマイナンバー法(特定個人情報保護法)の対策の有無も最近ご質問が多いです。

 

その2 法的要求

これは法令遵守しなければならないということです。

個人情報の中には保管期限が法律で定められているものもあり、例えば給与関係の帳票類は7年間、雇用保険・健康保険に関わるものは2年以上保管しなければならないと定められています。

 

その3 社内要求

こちらも重要です。社長が発信した要求も重要なファクターでしょう。

例えば社内でUSBの使用は認めないと決めればその通りにしなければなりません。

 

その4 規格要求

規格にも対応をさせなければなりません。

これがいわゆる『適合性の監査』と呼ばれるもので規格項番全てに対応しているかチェックしなければいけません。

 

ただし上記のような複雑極まりないことをマニュアルやガイドラインなどを熟読して理解しようとする必要は全くありません。

 

内部監査を実施する人いわゆる内部監査員は英語に直すと『Internal auditors』

“auditors”は聴く人とも訳され、社内のムリ、ムダ、ムラを吸いあげる役目を担います。

弊社では内部監査員養成講座を定期的に開催することによって内部監査を行うことのできる社員を育てています。

 

お気に入りの洋服が欲しいと言って自分で時間をかけて一から手編みをする人はそんなに多くないのではないでしょうか。

洋服屋に行って探す方が間違いなく早いです。

Pマーク(プライバシーマーク)も同じで、1から膨大な文書の手作りをしたあとに残るのは、これで合っているか分からない書類の山と通常業務に活かせるだろうかという知識だけかもしれません。

もしそうなら弊社だけでなくプロのコンサルタントを雇った方が早いです。

もちろん弊社でお手伝いさせていただければとても幸いです。

もし貴社でそのような悩みを抱いていらっしゃる、もしくは悩みを抱いている企業を知っていらっしゃるようでしたらぜひお話だけでも聞いていただければと思います。