プライバシーマーク入門講座(連載:第23回) |
2007/12/15 土曜日 20:49:28 JST | |
「個人情報保護マネジメントシステム」の構築に向けて(第18回) ~内部規定の作成(第15回)~ さて、ここでJIS Q 15001における内部監査においても、ISO-9001、14001における内部監査においても、よく議論の対象となる次の事項を考えながら、JIS Q 15001における内部監査のイメージを考えてみたい。 ①事業者の代表者を監査の対象とすべきか否か? ②監査責任者を監査の対象とすべきか否か? ③個人情報保護管理者を監査の対象とすべきか否か? ④監査は、監査基準に照らし、監査基準に対する不適合を発見するものか? 監査基準の妥当性の評価も伴うものか? それとも両方を含むのか? ⑤監査の担当者(監査責任者等)は監査の結果のフォローアップ(是正処置)まで責任を持つべきか否か? 世の中の考え方が統一されている訳ではないので、以下に私見を述べる。 要は、内部監査であり、前回にも述べたごとく、経営のツールであるので、下記の議論を踏まえ、さらに発展させて、貴社の事情に合わせて、また貴社の代表者(社長)が望む、貴社の経営に貢献する内部監査を計画し、実施することが肝要である。 1)事業者の代表者を監査の対象とすべきか否か? "事業者の代表者を監査の対象としても良いが、論理的には監査の対象とはならない" 「内部監査とは、組織が自身の組織のマネジメントシステムが有効に運営されていることを確認する手段である。」と考えられ、「事業者の代表者(経営者)が経営(マネジメント)を行なう上において利用するツールの一つであり、監査責任者を任命して内部監査を実施させ、報告を受けて、マネジメントシステムが有効に運営されているか否かを確認する」という位置づけである。(前回の図1.及び図2.参照) 従って、内部監査は文字通り内部のものであり、内部監査の結果を持って外部に何かを証明してゆくものではない。 経営者もJIS Q 15001の要求事項に基づいて、経営者が実施すべきことを実施しているかの監査を行なうべきである、という意見もあるが、上記のような建前に立てば、経営者が経営者が実施すべきことを実施しているか否かの監査は外部監査(審査)が担うのが筋であろう。 すなわち、事業者の代表者(経営者、通常は社長)の委嘱を受けて監査責任者が実施する内部監査であり、経営の一環として実施する監査であり、また、経営の責任は経営者が担うことを考えると、代表者(経営者、通常は社長)に対する監査は意味をなさないことになる。 単純に考えても、監査を委嘱(下命)した人の監査を行なうことは、監査における独立性や客観性、公平性が確保できるとは思えない。 しかし、議論としては、「事業者の代表者も従業者の一人として個人情報を取扱う立場と、組織の長(事業者の代表者、経営者、社長)としてマネジメントシステムを運用して行く上における立場(役割)」があり、事業者の代表者(経営者、通常は社長)も個人情報を取扱う者の一人としては監査の対象とすべきである、とする意見もある。 経営者は、自分が規範を守らない、自分が事故を起こしてしまう、ことも含めて経営者が責任を持つものとすれば、貴社の経営者(代表者)が望む監査を実施すれば良いのではないかと思う。 2)監査責任者を監査の対象とすべきか否か? 事業者の代表者と同じように、"監査責任者を監査の対象としても良いが、論理的には監査の対象とはならない"ということであろう。 監査責任者は組織の長(代表者;社長)から内部監査の実施に関して委嘱を受けて(責任と権限を与えられて)内部監査を実施するわけで、監査責任者がその責任を果たしているか否かを判断するのはその上位者(代表者がその都度、またはマネジメントレビュー(代表者による見直し)を通して)になると思う。 しかし、事業者の代表者の場合と同じように、監査責任者の立場としては、一従業者の立場と、監査責任者の立場があると言われるかもしれない。 一従業者の立場としての監査責任者に対しては監査の対象とした方が良いとも考えられるが(すなわち、例えば監査責任者として扱う個人情報の管理をきちっと行なっているか、等)、その場合は、誰が監査を行なうのか、という疑問が湧く。 監査責任者からの独立性、客観性、公平性等が保てる監査人を、監査責任者が任命するのではなく、別途、経営者が任命する形で立てる必要があるかもしれない。 なんとなく、ばかばかしい話である。 また、監査責任者がどこかの部署に所属していたり、その部署の責任者である場合は、当然、その部署は監査の対象となるので、監査責任者ではなく、一従業者としては監査の対象となる。 3)個人情報保護管理者を監査の対象とすべきか否か? 当然 "個人情報保護管理者は監査の対象"としなければならない。 前回に記したように、個人情報保護管理者は"個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者"であり、"個人情報保護マネジメントシステムをJISへ適合させ、個人情報保護マネジメントシステムの運用を行う"責任者であるので、監査の対象となる。 すなわち、"個人情報保護マネジメントシステムをJISへ適合させる"面における監査と、"個人情報保護マネジメントシステムの運用状況"の監査の両方の対象となる。 "個人情報保護マネジメントシステムの運用状況"の監査においては、"個人情報保護マネジメントシステムの運用の責任者"であるという立場において"承認すべきものを適確に承認しているか等"の面からの監査もあるが、それらは、各部署の監査時にその承認の実施状況も含めて監査しても良いものであり、やはり、個人情報保護管理者に対する監査としてはJISの中で個人情報保護管理者が自ら行なうべきこととして規定されている事項や、自社の規定で個人情報保護管理者の役割として決めている事、更に、各部署の狭間にあって、各部署の監査から漏れるような事項を中心に個人情報保護管理者に対する運用状況の監査を行なうべきであろう。 個人情報保護管理者の傘下で責任者を立てて実施される、教育や苦情・相談の受付等も含めて考えても良い。 4)監査は、監査基準に照らし、監査基準に対する不適合を発見するものか? 監査基準の妥当性の評価も伴うものか? それとも両方を含むのか? この問題は非常に大きな問題であるが、統一見解は発表されておらず、また実際の企業での内部監査の実施状況もまちまちであるので、議論のポイントを述べてみたい。 まず、JISの要求事項を再度確認する。 監査については、「個人情報保護マネジメントシステムのこの規格(JIS)への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査しなければならない」と示されている。 また不適合については「本規格の要求を満たしていないこと」と示されている。 前回に、JISの監査の要求は適合性の監査であると記したが、監査としてはどのような点が判定・確認・評価等の対象に成り得るかを考えてみたい。 そこには; ①個人情報保護マネジメントシステムのJISへの「適合性」 ②JISへの適合が確認された個人情報保護マネジメントシステムを「監査基準」としての「適合性」 ③個人情報保護マネジメントシステムの「妥当性」、「有効性」、「効率性」、等の評価 すなわち、決められたルールが守られているかに加えて、そのルールは妥当か、有効か、効率的か、等々の面から評価して行くことは必要なことである。 この中には、残存リスクとして容認しているものは妥当かという見方もあるし、採用されているリスクへの対応策自体が、環境変化に追従できているかという見方も必要になる。 しかし、このような評価を"個人情報保護マネジメントシステム(PMS)"の仕組みのどの部分で行なってゆくのかは別の話で、議論の対象となる。 理想的には、また建前論で行くと、全て必要な事項であるから"内部監査に上記の全ての視点を含めるべきである"、という意見が出てくる。 たしかに、全て必要な事項ではあるが、現実的に、またJIS規格の文面から考えて、"上記の全てを内部監査で行なわなければならないもの"とすることには無理がある。 例えば、残存リスクやリスク対応策の妥当性を確認するためには、世の中の状況(国民の意識や官の動きや法制化の動き等を含む)や技術の発達を取り込んだ監査を行なうことが必要となり、企業の規模にもよるが、監査責任者の立場では難しい。 J IS3.9"事業者の代表者による見直し"(マネジメントレビュー)ではe)項で"社会情勢の変化、国民の意識の変化、技術の進歩などの諸環境の変化"を考慮することを求めており、環境の変化に基づいた、残存リスクやリスク対応策の妥当性の確認は"事業者の代表者による見直し(マネジメントレビュー)"の中で行なうことが想定されているとも考えられる。 また、"リスク分析"に対しては、その定期的な見直しが求められており、残存リスクやリスク対応策の妥当性を"リスク分析の見直し"の中で行うことも考えられる。 上記のような改善のアクティビティーを担う部分としては、内部監査に加えて、リスク分析(の見直し)、事業者の代表者による見直し、予防処置等がある。 特に、個人情報保護マネジメントシステムの妥当性や有効性の評価は、計画の良し悪しに大きく依存するものであり、経営者が主導して立てた計画(Plan) の妥当性や有効性を評価するには、かなりの見識と知識が要求されることになる。 そこで、個人情報保護マネジメントシステムの内部監査としてはどこまで担当してゆくのが良いのかであるが、基本的には、JISの要求事項を素直に読んで、「個人情報保護マネジメントシステムのこの規格(JIS)への適合状況」と「個人情報保護マネジメントシステムの運用状況」すなわち、個人情報保護マネジメントシステムがJISに適合した形で構築されているか(実施における適合性)を先ず監査で確認し、その上で、構築されたシステム(PMSの規定、手順書等)に基づいて、適切に運用されているか否か(運用における適合性)の監査を行う。 それに加えて、可能な範囲で、また事業者の代表者(経営者)の方針に従って、個人情報保護マネジメントシステムの有効性や妥当性、さらに効率性を評価してゆくことを考えるのが良いのではないか。 ということで、結論ではないが、ISO-19011に示されている「"監査の目的"は監査依頼者(事業者の代表者)が明確にすることが望ましい。」ということから、事業者の代表者(社長)の方針に基づき、個人情報保護マネジメントシステムの有効性や妥当性、更には効率性を評価するための監査、すなわち、決められたルールが守られているかに加えて、そのルールは妥当か、有効か、効率的か、等々を評価し、また、残存リスクとして容認していることは妥当かという見方もあるし、採用されているリスクへの対応策自体が、環境変化に追従できているか、という見方も適宜取り入れて行くのが良いと思う。 5)監査の担当者(監査責任者等)は監査の結果のフォローアップ(是正処置)まで責任を持つべきか否か? 前回の図1.を見ていただきたい。 監査責任者の定義が"監査の実施及び報告を行なう責任及び権限をもつ者"とされていることを勘案すれば、監査責任者の役割は、監査の結果の報告までで、その後の是正・改善、すなわち、"A(Act)、P(Plan)"は経営者のイニシアティブの下で行なわれ、それに基づいたD(Do):実施及び運用は個人情報保護管理者の下で行われる、と言うことは理解頂けると思う。 JIS Q 15001の中でも、監査で発見された不適合に対する是正処置も含めて、JIS3.8是正処置及び予防処置で扱う構成になっている。 そこで、JIS3.8是正処置及び予防処置のe)項では"実施された是正処置及び予防処置の有効性をレビューする"ことが求められているが、この有効性のレビューを行なうのは、監査責任者であるのか、経営者または個人情報 保護管理者であるのかも意見の分かれるところであろう。 個人情報保護管理者は、経営者の下でA(Act),P(Plan)で決定された事項に対するD(実施・運用)の役割が与えられているだけで、有効性はP(Plan)が命題(不適合の再発防止を含む)に対して有効であるか否かを評価するものであることを考えると、P(Plan)の作成を主導する経営者の下でA(Act)として実施すると考えても整合は取れる。 しかし、内部監査での是正処置においては、事業者の代表者の指示の下で行うようにすれば、監査責任者が"実施された是正処置の有効性をレビューする"ことに何の問題も無いと思う。 いずれにしても、自社をより良くしてゆくために全員参加で事に当たる、それを出来る人が行なう、というベースで考えれば、監査責任者が"実施された是正処置の有効性をレビューする"ことでも問題は無いであろう。 今回は、概念的なことを長々と記述したが、次回にはJIS Q 15001 3.7に要求される「点検に関する規定(内部監査の規定)」について具体的に示す。 (中小企業診断士 中村 隆昭) |