監査の意義
どれだけ立派な個人情報保護方針や規程を定めたとしても、決めたとおりに運用がされていなければ意味がありません。
個人情報は定められたとおりの場所に保管されているか、2人で行なうことになっている作業を1人でやってしまっていないか、毎月変更することにしたパスワードを面倒がって変更せずに使い続けていないか、チェックをするのが監査です。
監査の全体像
おおまかな流れは、監査計画→監査実施→監査報告です。
監査計画
監査をいつ、誰が(責任者)、何を対象に、どのような目的で実施するのか決めます。監査計画に基づいて監査手続書を作成します。
監査実施
予備調査
監査手続書と実態がかけ離れていると意味のある監査ができませんので、監査対象に関する情報を収集して監査対象の実態を把握します。
本調査
全件調査する「精査」と、サンプリング調査をする「試査」があります。業務量にもよるのでしょうが、通常は試査です。
監査の裏付けとなる資料を監査証拠といいます。監査証拠を検証した結果を監査調書にまとめます。
評価・結論
個人情報の取扱いが適正におこなわれているかどうか評価します。評価の正確性のために結論を出す前に被監査主体との間で事実確認を行ないます。
監査報告
監査報告書を作成・提出します。
指摘事項には、重大性と緊急性の区分を明示します。ルール違反にも重大な影響をもたらすものとそうでもないもの、直ちに改善しないと影響が大きくなるものとそうでもないものとがあるからです。
緊急で改善を要する事項が見つかったら、報告書作成を待たずに口頭で報告することもあります。
個人情報の取扱い内容を追跡できるように監査証拠を時系列でまとめたものを監査証跡といいます。具体的にはシステムの利用申請書、利用権限付与申請書、入退室記録、データベースへのアクセスログが該当します。
監査証跡は頻出なので言葉を覚えておいて下さい。
監査人の立場と責任
公正な監査のためには監査人の独立性が必須です。被監査主体と利害関係をもっていないこと(外観上の独立性)と、被監査主体となれ合い関係にないこと(精神上の独立性)が重要になります。
監査人の外観上の独立性を確保するために、内部監査部門を設ける場合は代表者の直轄部門とします。
監査人は監査報告書の記載事項について責任を負いますが、個人情報保護の責任自体はあくまで被監査主体にあります。監査人は指摘事項が改善されるようフォローアップすべきです。