| 個人情報保護管理者および各部門の責任者・管理者は、個人情報保護マネジメントシステムが適切に運用されていることを自ら確認する必要があります。また、個人情報保護監査責任者は、個人情報保護マネジメントシステムの継続的な維持改善のため、組織の各部門に対しての監査を実施します。個人情報保護マネジメントシステムにおける「点検」は、これらの「運用の確認」と「監査」で構成されます。「運用の確認」は、各管理者が主体的に行う「点検」、「監査」は個人情報保護監査責任者による客観的な「点検」と言えます。 |
| |
| 1.運用の確認−日常的・定期的な運用確認 |
|
個人情報保護管理者および各部門の責任者・管理者は、日々の管理業務として、個人情報保護マネジメントシステムの運用に関する記録類を定期的にチェックします。各管理者は、記録類を定期的に点検することによって、個人情報保護マネジメントシステムの運用状況を確認し、不適合がある場合は、当該部門の責任者・管理者または自己の部門の従業者に、それに対する是正処置・予防処置の実施を指示します。 |
| |
| 2.運用の確認−日常的・非定期的な運用確認 |
|
各管理者は、日常的・定期的な運用確認以外にも、常に個人情報保護マネジメントシステムの運用状況について目を配り、不適合を発見した場合は、速やかにそれに対する是正処置・予防処置の実施を指示します。 |
| |
| 3.運用の確認−個人情報保護管理者の運用確認・代表者への報告 |
|
個人情報保護管理者は、代表者が行う個人情報保護マネジメントシステムの見直し・改善における基礎資料として、個人情報保護マネジメントシステムの運用状況を事業者の代表者に報告します。
個人情報保護管理者の運用確認と代表者への報告は、次の手順で行います。
@運用確認の計画を策定し、代表者の承認を受ける。
A運用確認チェックリストを作成し、個人情報保護管理者が自ら、または各部門の責任者・
管理者に指示し、個人情報保護マネジメントシステムの運行確認を行う。
B自らの確認結果、または各部門からの報告を集約し、その結果を「運用状況確認報告
書」・「運用改善指示書」にまとめる。
C代表者に、「運用状況確認報告書」・「運用改善指示書」を提出し、その承認を受ける。 |
| |
| 4.運用の確認−代表者による改善指示 |
|
代表者は、運用状況の確認報告に基づき、個人情報保護管理者に対して、個人情報保護マネジメントシステムの運用に関する不適合事項の改善を指示します。 |
| |
| 5.運用の確認−不適合事項の改善・改善状況の代表者への報告 |
|
個人情報保護管理者は、個人情報保護マネジメントシステムの運用確認の結果、または代表者からの指示に基づき、自ら、または各部署の責任者・管理者に指示し、運用上の不適合事項の改善を行うための改善計画を策定し、それを「改善計画書」として文書化します。各管理者は、計画書に基づき、不適合事項の改善を実施し、その結果を代表者に報告します。 |
| |
| 6.運用の確認−運用確認の改善 |
|
個人情報保護管理者は、個人情報保護マネジメントシステムの運用確認の正確性・実効性等を検証し、運用確認手順自体の改善を行います。改善した事項は、次回の運用確認の実施に反映させます。 |
| |
| 7.監査−個人情報保護監査責任者の役割・責任 |
|
個人情報保護監査責任者は、個人情報保護マネジメントシステムと「JIS Q 15001:2006」との適合状況、および個人情報保護マネジメントシステムの運用状況について監査を行います。個人情報保護監査責任者は、組織における自己の責任・職務とは無関係に、公平・客観的な立場で監査を行わなければなりません。また、個人情報保護監査責任者は、次の事項についての認識・知識を深めておく必要があります。
@自組織の経営・運営方針
A自組織を取り巻く社会的環境
B自組織が、個人情報を取り扱うことのメリット(有用性)とデメリット(リスク)
C個人情報保護に関する法令、国の指針その他の規範
D内部規定としての「個人情報保護に関する内部規定」
E個人情報保護の監査に関する専門能力
F監査に関する専門能力 |
| |
| 8.監査−監査体制の構築 |
|
個人情報保護監査責任者は、可能な場合は単独で、必要に応じて監査員を選定し、監査体制を構築します。また、より公平・客観的な監査を行うために、個人情報の保護・監査の専門知識を持った外部の監査員を利用することも有効です。組織内から監査員を選定する場合は、個人情報保護監査責任者と同様の責任・役割が担える者である必要があります。 |
| |
| 9.監査−監査計画の策定 |
|
個人情報保護監査責任者は、監査を効率的・効果的に実施するため、監査計画を策定し、それを監査計画書にまとめます。個人情報保護監査責任者は、監査の公正さを策保するため、監査計画書を事業者の代表者に提出し、その承認を得る必要があります。監査計画は、次の2種類で構成されます。
@年間監査計画
全組織について漏れなく監査を実施するため、一年を通しての監査スケジュールを
策定します。=「年間監査計画書」
A個別監査計画
年間監査計画に基づき、各部門・テーマごとに具体的な監査計画を策定します。
=「個別監査計画書」 |
| |
| 10.監査−監査チェックリストの作成 |
|
個人情報保護監査責任者は、監査を効率的・正確に実施するため、監査チェックリストを作成します。監査チェックリストは、以下の項目について、監査対象別に作成されます。
@個人情報保護マネジメントシステムと「JIS Q 15001:2006」との適合状況
=「適合性監査チェックリスト」
A個人情報保護マネジメントシステムの運用状況
=「運用状況監査チェックリスト」 |
| |
| 11.監査−監査実施の通知・事前準備 |
|
個人情報保護監査責任者は、被監査部門と監査日程を調整した上で被監査部門の責任者に、以下の内容を記した「監査通知書」を発送します。
@監査責任者名
A監査人
B被監査部門名
C監査日程
D監査テーマ
E準備資料 |
| |
| 12.監査−予備調査 |
|
被監査部門が大規模な場合や監査内容が複雑な場合、個人情報保護監査責任者は、本調査に先立ち予備調査を行います。予備調査では、被監査部門の業務内容の把握や監査に必要となる資料の洗い出しなどを行い、これらの資料類を活用することによって、本調査の円滑な実施を図ります。 |
| |
| 13.監査−本調査 |
|
個人情報保護監査責任者は、個別監査計画・監査通知・予備調査に基づき、各監査チェックリストを利用して、各部門に対する監査を実施します。本調査は、以下の方法によって行われます。
@被監査部門の責任者・管理者からの状況説明
A被監査部門の責任者・管理者への質問・質疑
B被監査部門の実地調査
C内部規定・記録類・資料類の収集・調査 |
| |
| 14.監査−監査報告書の作成・代表者への報告 |
|
個人情報保護監査責任者は、監査結果に基づき、被監査部門における個人情報保護マネジメントシステムと「JIS Q 15001:2006」との適合状況や個人情報保護マネジメントシステムの運用状況を評価し、不適合事項や問題点を抽出します。個人情報保護監査責任者は、被監査部門の意見・見解も考慮に入れつつ、これらの事項を「監査報告書」にまとめ、事業者の代表者に報告します。また、「監査報告書」は、被監査部門・個人情報保護責任者等の関係者へも配布します。 |
| |
| 15.監査−改善と再監査 |
|
事業者の代表者は、個人情報保護監査責任者からの監査報告を精査し、被監査部門の責任者・管理者に対し、不適合事項・問題点の改善を指示します。被監査部門の責任者・管理者は、代表者の指示に対応し、不適合事項・問題点に対する改善計画を策定した上、これを「改善計画書」にまとめ、個人情報保護監査責任者に提出し、策定した改善計画を実施します。個人情報保護監査責任者は、改善計画の実施状況を再び監査し、その結果を代表者に報告します。 |
| |
| 16.監査−監査の改善 |
|
個人情報保護マネジメントシステムにおいては、監査自体も改善される必要があります。個人情報保護監査責任者は、実施した監査についての効果・効率・正確さ等を評価し、問題点・是正点を抽出します。これらの問題点・是正点に対する改善は、年間監査計画・個別監査計画に反映され、次年度・次回の監査において実施されます。 |
| |
|
| 前ページへ |
Top Page