個人情報保護管理者と対をなす存在としてプライバシーマークを運用する上で重要な役職として監査責任者という役職があります。
この立場の方が何をするのかをいうと、個人情報保護管理者を中心に運用していいるプライバシーマークの運用がきちんとJISQ15001:2006や会社が定めたルールに沿って実施出来ているのかを確認するために内部監査を指揮し、実施してもらいます。
この監査責任者についても、コンサルティングの際には一体誰がなるべきなのか、よく相談を頂きます。
たまにあるのが、監査の仕事なので会社の監査役になってもらう。と仰る方がいますが、これは前回のブログでも説明したように会社の代表を中心に運用・監視がなされるプライバシーマークの仕組みの中に会社の監査役という独立性を保たないといけない立場の方が入るのはよろしくないですし、実際に監査役が監査責任者になってしまうと審査の際に指摘事項としてあげられてしまいます。
では、一体誰がなるのがふさわしいのかというと、内部監査を体裁を整えて行おうとするとなると、前回お話した個人情報保護管理者になった方より役職が同じかそれ以上の方が理想であるといえます。
仮に役職が個人情報保護管理者より下ということになれば、職務上上司がやっていることを監査することになります。
監査責任者には会社の代表からプライバシーマークの運用のための適正な監査を実施するための権限を与えられていますが、実際自分より上役の方を監査するとなるとなかなかやりづらいものがあるのではないでしょうか。
また、ある程度組織がしっかりしていて、内部監査室等があればそちらの責任者の方がプライバシーマーク上の監査責任者になることもあります。
監査責任者にも個人情報保護管理者同様特段資格は必要ありませんが、内部監査実施の前に内部監査を一緒に行う監査員の方々と内部監査員講習を受講されることをお薦めします。
外部の研修機関でも行っていますし、コンサルタントが入っているのであればそちらに依頼し行ってもらうのも手段ではあります。
個人情報保護管理者を決める際にも言えますが入ったばかりの何も知らない新入社員等にお任せするのはきちんとした運用を行うためにも控えていただくほうが無難と言えます。