|
2007/12/11 火曜日 21:20:13 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第17回)
~内部規定の作成(第14回)~
今回から3回に渡って内部監査について述べてみたい。
内部監査はそれだけでも非常に大きな、大切なテーマである。
あまり深く考えずに、「決められたことを守っているかを内部監査で確認すればよい」と考えても良いと思うが、ここでは少し厳密に"個人情報保護マネジメントシステムの内部監査"をどのように捉え、また考えて行くべきかについて、世の中には内部監査の対象が色々あり、また内部監査に対する考え方も色々発表されているので、その一端を紹介しながら議論を進めることにより、貴社が個人情報保護マネジメントシステムの内部監査の位置づけを理解する一助になり、また、貴社が貴社の経営に役立つ内部監査を考えてゆく上において参考になればという位置づけで示してみたい。
少し、理屈っぽく、くどい文章となるが、お付き合い頂きたい。
その後で、次々回にJIS Q 15001で要求されている「点検に関する規定(内部監査の規定)」について具体的に述べることにしたい。
日本内部監査協会の「内部監査基準」には、「内部監査とは、組織体の経営目標の効果的な達成に役立つことを目的として、合法性と合理性の観点から公正かつ独立の立場で、経営諸活動の遂行状況を検討・評価し、これに基づいて意見を述べ、助言・勧告を行う監査業務、および特定の経営諸活動の支援を行う診断業務である。」とされている。
P-マークの内部監査の考え方の基本は"システム監査基準"にあると言われている。
システム監査基準によれば、「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。」と示されている。
また、"システム監査基準"と対になって使用される"システム管理基準"においては、「組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。
・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため
と示されている。
しかし、上記の"情報システムが"を"PMSが"に置き換えてもなかなかしっくりと理解できないと思われる。
一方、マネジメントシステムの監査という観点から見ると、ISO-9001、14001を念頭に置いたものではあるが、ISO-19011(品質及び又は環境マネジメントシステム監査のための指針)があり、その中で「鑑査(audit)は、監査基準が満たされている程度を判定するために、監査証拠を収集し、それを客観的に評価するための体系的で、独立し、文書化されたプロセス」と定義している。
また、ISO-19011の中では、「"監査の目的"は監査依頼者が明確にすることが望ましい。」とされており、"監査の目的"は個別の要求事項に従って、監査依頼者、すなわち事業者の代表者(社長)が決めることになるが、個別の要求事項としては、夫々のJIS規格に示された要求事項が含まれることになる。
また、「経営革新ツール用語集」によれば、マネジメントシステムの内部監査について「内部監査とは、組織が自身の組織のマネジメントシステムが有効に運営されていることを確認する手段です。多くのマネジメントシステム規格では、規格要求事項として義務付けられており、マネジメントシステムの基本原則の中でも特に重要な事項の一つです。内部監査の目的には、日常手順の浸透を確認、手順のレベルアップ、業務効率化、従業員の自覚向上などがあります。内部監査に戦略的に取り組むことで、組織のパフォーマンスチェック、改善につなげることができます。」と述べている。
世の中には、法定監査、任意監査、外部監査、内部監査・・、会計監査、業務監査、監査役監査・・等々、監査の付く言葉が沢山ある。
また、監査は大きく分けて、監査者と被監査者の関係において、第1者監査、第2者監査、第3者監査がある。
第1者監査は、自社の監査員が自社の監査を行なう、内部監査である。
第2者監査は、取引において、利害関係を有する発注元が発注先に対して行う監査である。
第3者監査は、利害関係にない第3者が監査を行なうもので、プライバシーマークの認証のための審査等が該当する。
内部監査は、上記の第1者監査である。
内部監査には、P-マーク(JIS Q 15001)だけでなく、ISO-9001、14001、27001等、規格で要求され、認証取得の条件として実施が要求されているものや、金融庁の「財務報告に係る内部統制の評価及び監査に関する実施基準」に基づいて実施する、いわゆるJ-SOXに関連して実施する内部監査、また、システム監査のように、それを利用して企業が独自に行なう内部監査もある。
また、内部監査には、"監査基準が明確に規定でき、その監査基準に対してYes/No(適合/不適合)の判定を行なうもの"や、"監査のモデル(システム監査における"システム管理基準"等)に照らして、それらの実施の程度を監査人の知見に基づき判断して評価してゆくもの"があることにも注意する必要がある。
JIS Q 15001(P-マーク)の内部監査は、JIS Q 15001に規定された事項や、JISに基づいて作成されたPMSが監査基準となり、それらに照らしてYes/No(適合/不適合)の判定を行なう監査である。
このように、内部監査にも色々な位置づけのものがあり、また、それらの内部監査の考え方にも色々あることを理解することが必要である。
さ て、一般的な話はこれくらいにして、P-マークの内部監査を考えてみたい。
P-マーク(JIS Q 15001)、ISO-9001、14001、27001、等の内部監査は、下図1.に示すように、マネジメントシステムとしてPDCAを回す管理サイクルにおいて、"C(Check)"の役割を担う重要な位置づけにある。
しかし、同じカテゴリーのISO-9001、14001における内部監査とP-マークにおける内部監査を比べると、以前、第7回の原稿の中でも示したように、考え方が全く同じであるわけではなく、若干異なっていることを認識することが必要である。
P-マークにおける内部監査の特徴としては、次がある。
① 内部監査人(個人情報保護監査責任者、以下「監査責任者」と記す)は、事業者の代表者(通常は社長)より直接任命され、事業者の代表者に直属する位置づけである。
② 監査責任者は監査報告書を作成し、事業者の代表者に(直接)報告する。
③ 監査の内容は、"個人情報保護マネジメントシステムのJISへの適合状況及び個人情報保護マネジメントシステムの運用状況"の監査であり、単なる運用状況の監査だけでは規格の要求を満たさず、"個人情報保護マネジメントシステムのJISへの適合状況"も常に監査しなければならない。
④ JIS Q 15001には"不適合"の用語が、"本規格の要求を満たしていないこと"と規定されている。
⑤ 上図のように、内部監査は経営管理システム(PDCAサイクル)における"C(Check)"に位置づけられており、PDAの機能は担っていない。
以上の特徴を踏まえて、P-マークにおける内部監査の構造を図示すると、下記「図2.監査の構造」となる。
繰り返しになるが、個人情報保護管理者は事業者の代表者(通常は社長)によって(直接)任命され"個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を持つ者"である。
ここで注意したいのは、Plan(計画)は図1.からも分かるとおり、個人情報保護管理者の責任と権限に含まれていないことである。
Plan(計画)は代表者の役割となっている。
また、監査責任者は事業者の代表者によって(直接)任命され"監査の実施及び報告を行なう責任及び権限を持つ者"である。
ここで同じように注意したいのは、監査責任者は"監査の実施及び報告"までが役割であり、指摘した不適合に対する是正措置の実施(改善)やその管理における役割は無いということである。
JIS Q 15001における内部監査の内容は、"個人情報保護マネジメントシステムのJISへの適合状況及び個人情報保護マネジメントシステムの運用状況"の監査である。
"個人情報保護マネジメントシステムのJISへの適合状況"は個人情報保護マネジメントシステムをJISに適合させて実施する(PMS(狭義)化する)ことにおける適合状況の監査である。
また、"個人情報保護マネジメントシステムの運用状況"については、上記により、JISへの適合が確認されたPMSに基づく運用における適合状況の監査である、とも言い換えることができる。
すなわち、個人情報保護管理者が個人情報保護マネジメントシステムの実施及び運用に責任と権限を与えられていることから、上記のように、個人情報保護管理者の責任と権限の下で実施・運用されている事項を監査するということになる。(上図1.及び2.参照)
但し、内部監査としては、JISはそのように定義はしていないが、「個人情報保護管理者が個人情報保護マネジメントシステムの実施及び運用における、責任と権限を果たす上におけるツールとしての内部監査」という位置づけも考えられる。
日常的な、記録が作成されているか、施錠管理がされているか、パスワードは設定されているか、等々、決め事を守っているかをチェックするような監査は、個人情報保護管理者が実施及び運用における責任を果たす上におけるツールとして、個人情報保護管理者の下に個人情報保護管理者により指名された監査人を置いて監査を実施することも考えられ、JIS Q 15001の規格の要求事項には適合しないが、企業における運営の合理性から考えると検討に値すると思う。
次回には、もう少し議論を進め、内部監査において、よく議論の対象となっている事項について考えてみたい。
(中小企業診断士 中村 隆昭)
|
