内部監査は運用を行う中で非常に大きなポイントを占めています。

ルールとして決めたことがきちんと運用出来ているかをチェックするための要素をもっているからです。

これを疎かにしてしまうと、プライバシーマークの審査の際に指摘に上がることはもちろんですが、
きちんと運用が出来ているか、決めたルールが本当に合っているかを確認する手段がなくなってしまいます。

我々も監査員やオブザーバーという立場で内部監査の手伝いを行ったり、内部監査のチェックリストを作成することがありますが、よくお客様から監査のチェックリストの作成でご相談を受けます。

プライバシーマークの審査のことだけを考えるのであれば、プライバシーマークの規格やガイドラインの内容を
網羅できる内容を記載したチェックシートすると審査の際に内部監査のチェック項目で指摘が出ることはありません。
(基本的に審査員の方々は規格にどれだけ準拠出来ているかを見ることが多いので、どんな審査員の方がきても文句を言われることがないからです)

ですが、実運用に合った内部監査を行う場合は規格に全部網羅する必要性はないかと思います。

理由としては規格やガイドラインにはその会社に合わない(関係ない)内容もあるでしょうし、数回内部監査を
行なって長年未実施になるような項目をチェックする必要性が薄いと考えるからです。

その代わり、リスク分析をきちんと見直しその中で決めた対応策や残存リスクを監査のチェックリストへ反映させてその内容も内部監査に盛り込む方が実運用に合っていると思います。

ですので、社内を中心にリスクを見直し等をきちんと行なって貰えればそういった内容がきちんと見えてきます。
ただ、こういったこと全てを所謂運用を代行する業者なんかに任せてしまうと審査に通りやすいだけの会社に
合わない内容に仕上げられてしまうので注意が必要です。