Pマークの運用を進める中で頭を悩ませることの1つに内部監査があります。
内部監査時にどこまで細かく・厳しくチェックすべきか。非常に悩ましいところで内部監査に慣れていたとしても、チェックすべき点や内容の「さじ加減」はなかなか難しいところです。
今回はPマーク運用時の内部監査でどこまで踏み込むべきか、例示等を踏まえて触れていきたいと思います。
内部監査の基本
Pマーク上の内部監査は非常に重要なイベントごとであることは皆さんご存知の通りです。
内部監査が実施出来ていないとマネジメントレビューが実施出来ないですし、Pマークの更新申請時に記録を提示しないといけなかったりします。
内部監査員によってチェックの仕方やチェック深さが変わってきてしまいます。
ただ、内部監査においては見るべき項目・見なければならない項目があり、それをまず内部監査時にチェックすることが基本になります。
では内部監査を行う上でまず内部監査員が見るべき基本の項目は何かと言うと、皆さんの会社にある個人情報保護の規程類や内部監査時のチェックリストの項目になります。
Pマークでは内部監査を実施する際にチェックリストを用意することが必須となっています。
つまり、チェックリストが内部監査時に内部監査員が見なければならない項目となっているわけです。
どこまで踏み込むべきか
内部監査を実施する中で、チェックリストがあったとしても悩ましいのがどこまで深掘りして質問・チェックを実施するかです。
チェックリストに書かれている内容をそのまま読み上げてしまえば。というのも1つの手段ですが、それだと有効な内部監査とは言えません。
その際には参考にすべきなのか、上記で触れましたが皆さんの個人情報保護の規程類が参考になります。
チェックリストの根拠は規程類になるため、規程を見るとチェックスべき事項の詳細の記述があります。
その内容がどこまでの記載になっているかが1つの目安なります。
仮に内部監査の中で規程に記載がないが、気になる点などがあればメモなどを取って頂き、Pマークの責任者の方へ報告し、ルールの見直しや追加の必要有無を検討していくことになります。
サンプリングについて
内部監査を実施する際にもう1つ悩ましいのが、何人(PC何台)チェックするかです。
もちろん、全部を総チェックする必要はなく、あくまでサンプリングでチェックしてもらえればOKです。
ではどれくらいの対象をチェックすべきか?というところですが、分母が何人(何台)かにもよりますが、やはり最低でも2~3台はチェックしたほうが良いと考えています。
サンプル数は複数あることでルールの遵守状況を把握することが出来るため、出来るだけサンプルは取って頂き、その結果を踏まえて総合的な判断を行っていくべきだと考えています。
Pマークの内部監査は良くも悪くもチェックリストに依存してしまっている部分がありますが、そのチェックリストを指標据えて、規程類なども活用し、内部監査を有意義なものにしてもらえればと思います。