2007/12/24 月曜日 12:14:50 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第19回)
~内部規定の作成(第16回)~
l)点検に関する規定
"JIS 3.7点検"に規定された事項である。
本項には、3.7.1運用の確認と3.7.2監査が規定されている。
3.7.1運用の確認
3.7.1項には"運用状況が定期的に確認されるための手順を確立し、実施し、かつ維持しなければならない"とされており、内容としては、日常的な点検の実施が意図されている。
「個人情報保護マネジメントシステム:実施のためのガイドライン」(JIPDEC編/規格協会)によれば、"ルールどおり実施されているかを見回って確認する程度で良く、また残存リスクが顕在化していないかどうか確認することも含まれる"としている。
また記録としては"施錠・開錠の記録やアクセスログ等も該当する"とされており、貴社が日常的な点検に位置づけて実施する事項を手順として規定しても良いし、日常点検のためのチェックリストを作成し、各部署で自主点検の形で実施して、それを個人情報保護管理者が確認する、というようなことも考えられる。
JISの中では詳細に規定されていないので、貴社のニーズに合った運用の確認を行なう仕組みを考え、規定に定めて実施する。
3.7.2監査
次に3.7.2監査について示す。この監査は内部監査のことである。
このシリーズの冒頭にも述べたが、マネジメントシステムとしてはISMS(ISO-27001)、ISO-9001 と 14001がある。
これらの規格とJIS Q 15001(PMS)を比べた場合、「監査責任者」の位置づけに大きな違いがあり、監査における責任と権限の設定に大きく影響することに注意すること。
JIS Q 15001(P-マーク)以外では、これらの何れのマネジメントシステムにおいても監査責任者については規定しておらず、内部監査も「管理責任者」(個人情報保護管理者に相当する)の責任と権限の一部と考え、実施されていることが多い。
J IS Q 15001のPMSにおいては、前々回(第22回)に示したように、「個人情報保護監査責任者」が事業者の代表者により直接に任命され、また監査報告書は、事業者の代表者に報告するように規定されている点に注意して、規定(手順書)を作成することが必要である。
監査(内部監査)は、事業者の代表者の指示の下で、"監査の実施及び報告を行なう責任及び権限を与えられた監査責任者"により実施され、監査報告書は事業者の代表者に提出することで、監査責任者の役割は終わる。
監査責任者は、客観的立場から問題点を指摘し、経営者に報告することが役割である。
監査報告書(不適合に対する指摘事項を含む)は、事業者の代表者により検討され、必要に応じて個人情報保護管理者との協議を経て、是正・改善の指示として個人情報保護管理者に指示される。
すなわち、PDCAにおける、A(Act)とP(Plan)の位置づけとなる。
是正・改善の実施においては、事業者の代表者の指示の下で「個人情報保護管理者」は「PMSの実施及び運用に関する責任及び権限を持つ」のであるから、その責任を果たして行けるように、「個人情報保護管理者」が率先して、また責任を持って是正処置を主導して行く必要がある。
是正処置の実施の手順は、後の回に示す"是正処置及び予防処置に関する規定"を参照のこと。
このように、ISMS(ISO-27001)、ISO-9001 や 14001と監査を実施した後の手順についても異なるので、既にそれらのマネジメントシステムを導入している企業には注意をしていただきたい。
監査の手順
手順としては、「監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める」ことが要求されている。
先ず、監査の計画であるが、3.3計画の3.3.6計画書も参照する必要がある。
3.3計画では、大きな意味での計画が示されている。
従って、監査の計画としては、年間計画としての計画と、実施計画が考えられる。
すなわち、事業者として一番大きなPDCAを回す上における、監査の位置づけを考えた計画と、個別の実施計画を考える必要がある。
すなわち、事業者の代表者による見直し(マネジメントレビュー)での指示を受け、改善計画を立て、実施し、その結果を内部監査によって確認し、それを事業者の代表者による見直し(マネジメントレビュー)で報告・討議してゆくルーチンとしての位置づけである。
もう一つが、実施計画で、具体的に実施日時や担当者(監査員(監査人)としては、監査の客観性及び公平性を確保した上で任命することも規定しておく)、監査の重点項目や監査の基準等を明確化して計画書を作成する。
手順書には、上記のような計画の手順を含める。
また、監査の実施において使用するチェックリストの作成における責任と権限やその時に使用する様式や、監査の実施や結果の記録のための様式、監査の報告として、個別報告と監査責任者の所見を含めた、事業者の代表者(経営者)に向けた監査報告書の作成についても規定することが必要である。
さらに、これらの記録の保持に関しても責任及び権限を明確に規定しておくことが必要である。
尚、監査の実施において、留意すべきこととして、監査としては規格に示されているように「個人情報保護マネジメントシステムのこの規格への適合状況」及び「個人情報マネジメントシステムの運用状況」の二つを監査しなければならない。
「個人情報保護マネジメントシステムのこの規格への適合状況」は「JISとQMSの合致の監査」という呼び方もされているが、第7回目の記事で示した「個人情報保護マネジメントシステム(PMS)の構成の概念」の図と、下記の図を見ていただくと分かりやすい。
これは、PMSの大きな改定が行われない年であっても、毎年実施することが必要である。
また、監査の対象(被監査者)は、「PMSの実施及び運用に責任及び権限」を有している「個人情報保護管理者」ということになる。
このほかに、個人情報保護管理者は、運用状況の監査としての監査も受けることが必要である。
この中に、個人情報保護管理者の傘下で実施される教育や苦情・相談等に関する監査を含めても 良いし、別に責任者を立てている場合は、個別に行なっても良い。
運用状況の監査は、個人情報保護管理者も含め、全社(全ての部場所)に対して実施する必要がある。
顧客の個人情報を取扱っていない部場所でも、最低限、従業者の個人情報の取扱いはあるはずである。
監査が終了すると、監査責任者は、監査報告書を作成して、事業者の代表者(経営者)に報告する。
監査報告書(不適合に対する指摘事項を含む)は、事業者の代表者により検討され、必要に応じて個人情報保護管理者との協議を経て、是正・改善の指示として個人情報保護管理者に指示される。
その後の是正処置の手順は、JIS3.8に示された、是正処置の手順に則って行なわれることが必要である。
内部監査で発見された不適合に対する是正処置に対する手順も含めた形で"是正処置及び予防処置に関する規定"(是正処置、予防処置手順書)を作成するのが良い。
チェックリストの作成
監査は監査基準に照らしての"適合/不適合"を判定する形で行なわれる。
チェックリストの作成は絶対条件ではないが、監査基準(PMS(JISやJISを元に作成された規定や手順書類))を直接使用するよりも、それらの監査基準から監査においてチェックすべき項目を抽出し、チェックリストとして項目をリスト化し、そこには監査における注意事項、ポイントや監査の結果の記述欄等も設け、チェックリストとして作成する方が、監査が漏れなく、適確に、また効率的に行なえることとなる。
チェックリストとしては「個人情報保護マネジメントシステムのこの規格への適合状況」の監査において使用するチェックリストと「個人情報マネジメントシステムの運用状況」の監査で使用するチェックリスト(運用状況の監査チェックリスト)が必要である。
ま た、"運用状況の監査チェックリスト"は、社内の各部署において実施している業務の内容が異なれば、チェック項目も異なってくることを考えると、監査を行なう部署ごとに作成する必要がある。
また忘れてならないことは、"個人情報保護管理者に対する運用状況の監査"のためのチェックリストも必要であることである。
次に、運用状況の監査チェックリストであるが、先ずは、構築されたPMS(規定、手順書等)を基本に作成されるが、その中には、第7回の中で示したように、下記のものがPMS含まれている筈であることを念頭に、それらの要求事項に対する適合性をチェックできるようなチェック項目を網羅する必要がある。
① JIS Q 15001の要求事項に基づく、貴社の内部規定
② 法律や規範(ガイドライン)等の要求事項に基づく貴社の規定
③ リスク分析の結果として、貴社が実施することを決めた安全管理策の規定
「個人情報保護マネジメントシステム(PMS)の構成の概念(リスク分析の流れ)」で示した図を再掲載すが、その中で①で示した部分である。
次 に、下図の②の部分であるが、前回、前々回の中でも示したように、これをどのように扱って行くかは、貴社の方針として決める。
下図の②の部分を含める場合は、運用状況の監査チェックリストに、残存リスクを残すことの妥当性や、リスク対応策自体の妥当性(環境変化に追随できているかも含む)等々、更には有効性や効率性の観点も含めてチェック項目化してゆく。
リスク分析の妥当性等を「個人情報保護マネジメントシステムのこの規格への適合状況」の監査の中で監査してゆく場合は、そちらのチェックリストに含めても良い。
次回には、是正処置及び予防処置に関する規定について述べる。
(中小企業診断士 中村 隆昭)
|