コンプライアンス・プログラムの運用と内部監査：Pマーク取得への道（5）（2/3 ページ）

» 2006年07月27日 00時00分公開

[直江とよみ，NECソフト株式会社]

内部監査とは何か

　監査を行うに当たり、参考としたい規格に「品質及び／又は環境マネジメントシステム監査のための指針」（JIS Q 19011）があります。この規格では、監査で用いる用語、監査の原則、監査で行われるべきこと、監査員の力量などを定義しています。これから監査にかかわる人は、一度読んでおきましょう。

　JIS Q 19011では、監査の種類として以下のものを定義しています。

第一者監査：組織の経営者の依頼により行う監査

第二者監査：利害関係者（取引先やグループ会社など）の依頼により行う監査

第三者監査：認定や認証のための審査

　JIS Q 15001の要求事項としては、以下のように「事業者の代表者」に対して監査を行うことを求めています。従って、JIS Q 15001での「監査」とは、「内部監査＝第一者監査」を指しているといえます。

【JIS Q 15001】

4.5　監査

事業者は、コンプライアンス・プログラムがこの規格の要求事項と合致していること、及びその運用状況を定期的に監査しなければならない。

監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告しなければならない。

事業者は、監査報告書を管理し、保管しなければならない。

　ただし、組織が自主的に行う内部監査であっても、監査そのものの独立性を確保する必要があります。従って、監査対象部門が、自部門の監査を行うことは「監査」といえません。

　外部の監査組織に依頼したり、自組織内に独立した監査組織をつくったりすることで独立性を保つことができます。また、自組織内に独立した監査組織をつくれない場合は、相互監査（独立性を保てる立場の部門間で相互に行う監査）でも問題ありません。

　また、監査についてもう1つ重要な要求事項があります。

【JIS Q 15001】

4.3.4　計画書

事業者は、内部規程を順守するために必要な教育、監査などの計画を立案し、文書化し、かつ、維持しなければならない。

　監査は、計画書として文書化された形で行われなければならない、ということです。JIS Q 15001で求める個人情報保護活動の中では、教育と監査については、必ず計画を立て、実行するという手順が必要となります。

　「個人情報の保護に関する法律」（個人情報保護法）では、監査についての明確な記述は見られません。しかし、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格」の中で、「個人情報の保護のためのコンプライアンス・プログラムを策定し、実施し、維持し及び改善を行うことが望ましい。」としています。

　この「改善」を行うためには、「監査および見直し」が必要です。プライバシーマーク取得に向けては、もちろんのことですが、法順守という観点からも、内部監査を実施することが望ましいといえます。

内部監査の目的

　内部監査を実施する目的は、大きく2つに分けられます。

事業者のコンプライアンス・プログラムがJIS Q 15001の要求事項に適合しているか
そのコンプライアンス・プログラムは実際に守られているか。また、そのルールは有効か

　1．の適合性の評価については、主に文書（規程類）のチェックで行うことができます。また、2．の有効性の評価は、主に実地監査でチェックします。

　文書がJIS Q 15001の要求事項を満たしていなければ、文書を改定する必要があります。また、現場でそのルールが守られていない場合には、ルールを徹底するための仕組みが必要になるかもしれません。場合によっては、現在のルールが現場の業務に合っておらず、守れないルールとなっているのかもしれません。なぜ守られていないのか、といった原因を明らかにし、改善していく必要があります。

　内部監査の手順は次の図の通りです。

内部監査の手順1：監査計画の立案

　内部監査の実施に当たり、まず監査計画を立案します。監査の計画は文書化しなければなりませんので、「内部監査計画書」を作成します。監査対象部門を決定し、それぞれ個別の監査計画を立てます。監査の時期は、監査対象部門の業務上の都合も考慮して監査時期を決定したり、早めに監査対象部門に連絡したりといった配慮も必要です。