内部統制ナビ

監査の目的は「規格の要求事項」と「遵守状況」に関する適合性の判定です

自社の個人情報保護マネジメントシステムが常に最良の状態であることを維持するために行う、体系的、かつ独立的な確認のプロセスで、「点検」と同様にPDCAモデルのCheckを担っています。

監査では、「個人情報保護マネジメントシステムが規格の要求事項に適合しているか」、「効果的に運用するための体制が整備されているか」、各現場において「手順が確立されているか」、「手順が理解されているか」、「手順が実施されているか」が対象となります。

代表者は事業の内部者から、公平かつ客観的な立場であり、監査の実施及び報告を行う責任と権限を持つものとして、「個人情報保護監査責任者」を指名しなければなりません。通常は内部監査部門の責任者であることが多くなっています。

監査担当者には、個人情報保護法やJISQ15001、情報セキュリティなどに関する知識が必要となります。また個人情報がデータとして取り扱われていることも多く、情報システムに関する知識も必要です。従って、公人情情報システム監査人（CISA）やシステム監査技術者に求められる内容を習得するのが有効です。

監査結果は代表者に報告して、承認される必要があります。報告内容は、総括的なことだけではなく、具体的に何が問題であるかわかるようにします。具体性にかけていると、改善指示もあいまいにならざるを得ず、問題の解決にならないためです。

プライバシーマークでは、少なくとも年1回以上、監査を実施することを要求しています。従って要求事項「3.3.6. 計画書」で策定した計画に基づいて、効率よく実施する必要があります。

• 内部統制
• 日本版SOX法
• 新会社法
• IT統制
• ISO27001
• ISO20000
• ITIL
• プライバシーマーク