Pマーク上、内部監査はPDCAの「C」の部分にあたり、かなり重要な位置を占めています。Pマークを取得されている企業様は最低でも年に1回は実施されていると思います。
また、Pマークの付与申請を行う前にも必ず実施しなければならないものになります。
内部監査という言葉自体の意味はお分かり頂けると思います。
ざっくり言うとちゃんとルールが守れているかどうかを社内の別の人がチェックする。ということです。
今回のブログではそのPマークで求められる内部監査では一体どんなことをチェックしなければならないかを見ていきます。
どこをチェックすればよいの?
内部監査では大きくわけて以下の内部監査を行う必要があります。
・Pマークの文書の監査
社内で作ったPマークの文書が規格であるJISQ15001が求める内容を満たしているか。をチェックします。作ったルールや手順がPマークの規格の内容を満たせていないとなると取り組みを行う上での方向性が間違っている可能性が出るからです。
・個人情報保護管理者への監査
Pマークの運用の責任者とも言える個人情報保護管理者が作ったルール通りに運用やその指揮を行えているかをチェックします。
責任者である個人情報保護管理者がしっかりと運用できていないとなると現場もルール通りに運用しなくなるでしょうし、また個人情報保護管理者が作成する文書や記録等もあるのでそういったものが、社内のマニュアルやPマークの規格を満たせているかをチェックする必要があります。
・現場の監査
実際にルール通りに運用が出来ているか、各拠点・各部署等の単位でチェックを行います。
Pマークの審査のほとんどは個人情報保護管理者が対応しますが、実際の日々の運用は現場の皆さんです。現場が社内マニュアルのルールを守れていないとなると個人情報労家のリスクが全く下がっていないと同じになり、ルールが絵に描いた餅になるだけなので、一番重要な内部監査とも言えます。
こういった形で内部監査では最低でも上記の内容を行う必要があります。