連載
» 2006年07月27日 00時00分 公開

コンプライアンス・プログラムの運用と内部監査Pマーク取得への道(5)(3/3 ページ)

[直江とよみ,NECソフト株式会社]
前のページへ 1|2|3       

内部監査の手順3:文書類の監査

 コンプライアンス・プログラムの適合性の評価を行います。実地監査当日に文書の監査も行えますが、時間がかかることが予想されますので、事前に文書を入手し、チェックしておくのが一般的です。

 次のような観点で文書のチェックをします。

  • JIS Q 15001の要求事項を満たしているかどうかの評価
  • 記述されたルールの中で、実地監査で実際に確認したいと思う点の抽出
    ⇒重要チェックポイントを決定します

 コンプライアンス・プログラム文書(規程・細則など)以外にも、運用上利用している「個人情報管理台帳」などの帳票類や、教育計画書、内部監査計画書などの文書も必要に応じてチェックします。

 また、2回目以降の内部監査の場合は、前回の「内部監査報告書」や「是正処置・予防処置報告書」などの記録があるはずです。前回の内部監査での指摘事項(特に不適合)については、重要チェックポイントになりますので、これらは必ず確認しましょう。

内部監査の手順4:実地監査(現場での監査)

 実地監査を行うには、当日のタイムスケジュールを立て、事前に連絡をしておきます。現場では、勝手に見て回ることはせず、監査対象部門の人と一緒に回ります。また、監査チームには、必要に応じて、専門家(特別な知識が必要となる場合や、コンサルタントなど)の参加も検討します。

 実地監査をするために、監査チームは事前に「監査チェックシート」を用意しておきましょう。JIS Q 15001の要求事項に沿った内容であることが必要ですが、全要求事項をチェックするとなると、非効率的であることが考えられます。各監査対象部門において、チェックすべき要求事項を整理しておくことが効率的に実地監査を進めるポイントです。

 また、JIS Q 15001の要求事項の文言をそのまま質問として投げ掛けても、現場の人が理解できない場合もあります。監査員は、現場の人が分かりやすい言葉で質問するように心掛けましょう。

 JIS Q 15001の要求事項が満たされていない場合は、「不適合」として報告することになります。不適合の等級分類には、以下の3つがあります。

重大な不適合

JIS Q 15001の要求事項を満たしていない(コンプライアンス・プログラムに欠陥がある)場合や、コンプライアンス・プログラム自体が機能していない場合

軽微な不適合

コンプライアンス・プログラムそのものの欠陥ではないが、運用が守られていないなど、課題を残している場合

観察事項

要求事項は満たしてはいるが、将来的に不適合になる可能性があるような場合(オブザベーションと同義)

 「重大な不適合」と「軽微な不適合」については、是正処置を検討し実施する必要があります。

 JIS Q 19011の「監査の原則」では、証拠に基づくアプローチも定められています。

【JIS Q 19011】

4.監査の原則

e)証拠に基づくアプローチ:体系的な監査プロセスにおいて、信頼性及び再現性のある監査結論に到達するための合理的な方法


 不適合を検出する場合には、証拠を集めることが必要です。監査員は、実地監査の際、「監査証拠」を確認することを心掛けます。

 最終的に監査報告書を提出しますが、実地監査の最終段階において、監査対象部門の合意を得ておくことが重要です。特に不適合の場合は、なぜ不適合となるのかについて監査証拠などを基に、監査対象部門の責任者とともに確認をしましょう。

 内部監査の手順5:監査報告

 監査の結果を、監査対象部門に対して報告します。監査報告書には、以下のような内容を記します。

  • 監査日時
  • 監査対象部門(ヒアリング対象者など)
  • 監査チーム
  • 監査目的
  • 監査基準
  • 監査結果概略
  • 監査の所見
    良い点(良好な点として評価できる点)と悪い点(不適合として指摘した点)
  • 適合性/有効性の評価

 監査報告書は、監査対象部門および代表者に対して報告します。事業者の代表者は、監査報告書を基に、コンプライアンス・プログラムの維持・改善活動を行います。

【JIS Q 15001】

4.6 事業者の代表者による見直し

事業者の代表者は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、定期的にコンプライアンス・プログラムを見直さなければならない。


内部監査の手順6:見直し(フォローアップ)

 内部監査の結果、不適合のあった内容については、是正処置を行う必要があります。監査対象部門の責任者は、是正計画を立て、実行します。是正処置については、内部監査の一環ではありませんが、是正について監査員のアドバイスを受けることに問題はありません。

 また、監査そのものも改善が必要です。PDCAサイクルは、マネジメントシステム全体だけでなく、それぞれの活動そのものにも適用することを心掛けましょう。

 内部監査の結果、何らかの指摘事項はあって当たり前です。重要なのは、内部監査を行った結果、現在の問題点がきちんと浮き彫りになり、それに対しての是正計画が立てられ、計画どおり是正処置が行われるということです。

 次回は、プライバシーマークの審査について解説していきます。

筆者紹介

NECソフト株式会社
営業本部 コンサルティンググループ
ISMS審査員補/認定プライバシーコンサルタント(CPC)

直江 とよみ(なおえ とよみ)

個人情報保護対応のコンサルティング業務を中心に担当。 NECソフトでは、ISMSやプライバシーマークなどの取得支援サービスを提供しています。



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。