こんにちは。

プライバシーマーク取得のためには2つの役職が必要ですが、以前は「個人情報保護管理者」についてご説明しました。

今回は、プライバシーマークを取得する上で必要なもう一つの役職である「監査責任者」についてです。

「監査」の意味

監査には、「客観的に評価する」という意味が含まれています。

ここで、プライバシーマーク上の監査は何を意味しているのかが疑問となります。

ざっくりとした意味ですが、「個人情報保護管理者が事業者内で構築、運用している個人情報保護マネジメントシステムをチェックすること」がプライバシーマーク上での監査の意味です。

ポイントとなるのは、個人情報保護管理者も監査の対象となることです。

とすると、もう1点の疑問として、「監査責任者は誰がなるべきか」というのが挙げられます。

監査責任者の任命

上記のとおり、個人情報保護管理者を含めた監査を取り仕切るのが監査責任者の役割です。

そもそも監査責任者任命の大前提にあるのが事業者の内部の人間から任命しなければならない点です。

根拠にあるのは、プライバシーマークの規格であるJISQ15001:2006にある監査の項目に明確に記述されています。

そして、個人情報保護管理者と同様、事業者の監査役は監査責任者にはなれません（「監査役は会社の代表者の監督下に入って業務を行うことができない」と会社法で定められているからです）。

結局のところ誰を任命するのが適切かというところですが、先ほどにも挙げたように、監査責任者は個人情報保護管理者を監査しなければなりません。

例えば個人情報保護管理者に、会社の役員クラスの従業員を任命したと仮定しましょう。

そして、経験を積ませるために新入社員を監査責任者に任命して、個人情報保護管理者である役員を監査したとします。

さて、監査責任者である新入社員は、個人情報保護管理者である役員に、「これはできていない。こうした方が良いです」ということをはっきりと言えるでしょうか。

おそらく無理だと思います。

こういったことから、個人情報保護管理者にある程度指摘できる人間、個人情報保護管理者よりも役職が上の者を監査責任者に任命することが望ましいと言えます。

注意点3つ

ただし、監査責任者を任命する上で注意点があります。

1点目は、個人情報保護管理者と監査責任者は兼任できないということです。

個人情報保護管理者が事業者内で構築、運用している個人情報保護マネジメントシステムを自らが監査することには、客観性が生まれないと判断されるためです。

2点目は、上記で記述しているように、事業者内部の人間しかなれないということです。

監査を外部に委託することは可能ですが、監査責任者は事業者内部の人間を任命しなければなりません。

3点目は、事業者の代表者は監査責任者にはなれません。

というのも、プライバシーマークを取得するためには個人情報保護方針をはじめ、いくつかの文書・様式類を策定する必要がありますが、個人情報保護方針には事業者の代表者氏名が記載されていたり、様式には代表者のチェックが必要であったりします。

こういったことから、代表者は個人情報保護マネジメントシステム構築、運用に必ず関わらなければならず、関わっている時点で監査で求められる客観性が失われるということから、代表者は監査責任者にはなれません。

細かい注意点は他にもありますが、上記3つが大きく注意すべき点です。

2回にわたって、プライバシーマーク取得にかかる人員について伝えてきましたが、ブログの内容だけでは、全てを伝えることはできません。

少しでも気になる場合はいつでも何でもご連絡ください！

それでは！