こんにちは、個人情報保護アドバイザーの目木知明です。
本日は気持ちいい秋晴れというか夏のような暑さですね・・・
9月も下旬なのにクールビズ姿のサラリーマンさんを多く見かけます。
さて先日のコラムで
プライバシーマーク運用における
よくある質問と回答を「一問一答シリーズ」としてお届けしました。
大変好評でしたのでシリーズ化してお伝えしていきたいと思っています。
是非、今後の取組みの参考にしてください。
◆本日の質問:JISQ15001要求事項:監査(JISQ15001.3.7.2)
監査の部分では、このような質問が多いです。
「監査はどういった監査を毎年行う必要があるのですか?」
「監査チェックシート作成のポイントは?」
では、要求事項にそって解説していきます。
監査は“2つの監査”が必要となります。
この「2つの監査」を毎年、年に1回以上行うことが
なかなか理解出来ていない会社様が多い現状です。
まず一つめの監査、「JIS要求事項との合致監査」について
この監査は、作成したPMS文書がJIS要求事項に適合しているか
また、PMS文書に記載したことについて個人情報保護組織の運用が
しっかり励行できているかチェックを行う監査になります。
監査対象は個人情報管理責任者、監査責任者、事務局。
このJIS合致監査は審査機関発行の監査ガイドラインを参考にすると良いでしょう。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
特に文書チェックについては、コンサル会社から審査に適合した文書を提供してもらったなど
自分たちで一から作成していない会社が多いので、
作成した文書をJIS要求事項に沿ってチェックするという認識に乏しいのでは・・・考えます。
また、このJIS適合監査は、毎年行う必要があるのですが、
毎年行うことについても認識が乏しい会社が多い現状です。
(毎年、JIS適合監査を行う理由!)
企業活動は生き残るために形を変えながらも継続しているものであるため
年に最低1回は、JIS適合監査を行いなさい!ということになっています。
つづいて2つ目の監査
これは、想定されるリスクに対し、定めた安全対策の
運用状況についてチェックする監査です。
監査対象は全部門。
この監査のチェックシートは
個人情報のライフサイクル上で、洗い出したリスクに対し定めたの安全対策について
全てチェックシートに反映される必要があります。
また、リスクの特定漏れが無いかや、
リスク対応できない安全対策を実施していないか
などのチェック項目も含まれることが良いかと思います。
今後も、一問一答をお届けしますので
PMSの運用の参考となればと考えます。
本日はこのあたりで。
2009.0925
個人情報保護アドバイザー 目木知明