- ベストアンサー
プライバシーマークの監査について
プライバシーマークの更新申請を行い、 提出書類を出したのですが、 監査について再指摘を受けました。 その指摘として、 監査チェックリスト内で 運用監査と合致監査の確認が混在しており、 すべての要求事項を合致監査、運用監査できていない との指摘を受けました。 すべての要求事項を合致監査、運用監査する ということが具体的にどういうことなのか なかなか意味理解ができておりません。 その点や、チェックリストの作り方で アドバイス頂けませんでしょうか。 よろしくお願いいたします。
- forest2005
- お礼率48% (66/137)
- コンサルティング
- 回答数2
- ありがとう数6
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
運用監査も合致監査も同じ考えで良いと思います。 監査のストーリとしては、何通りかあると思います。 1.業務フローに沿って、個人情報を取扱うシーンにおいて、JIS規格及び自社マニュアルの通り適切に運用されているか監査する 2.JIS規格及び自社マニュアルに沿って、業務の中で適切に運用されているか監査する 前者の場合、JIS規格の要求事項は順不同になりますが、後者の場合は規格番号順に監査することが可能になります。 御社が申請時に提出した監査チェックリストは、前者だと思うのですが、Pマークの審査員は、御社の業務フローをおそらく理解していないので監査チェックリストにJIS規格要求事項が全て盛り込まれているか評価できないのだと思います。 また、業務フローを元にした監査チェックリストを作成する場合、全ての業務に対応するためには、複数の監査チェックリストが必要になると思います。JIS規格を元にすることで、一つの監査チェックリストで全ての業務について監査することが可能になります。 例えば、従業者の監督についてガイドラインでは、「従業者に対し適切な監督を行っていること」なっています。これをチェックリストに記述し、監査の内容としては「営業部は規定の通り月末会議で運用状況の確認している。これは議事録で確認した。」などが結果となるようにします。 監査を実施する時には、監査チェックリストを被監査部門の数だけコピーして使います。参考になれば幸いです。
その他の回答 (1)
- woody-club
- ベストアンサー率78% (15/19)
御社の監査チェックリストの内容を見ないで回答をするのは難しいのですが。。。 指摘内容は、何をもってチェックするか、その内容がチェックリストに記述されていない、だと思います。 ・合致は、規格要求事項が御社のマニュアル(規定書)に全て盛り込まれているかをチェックするために、何をもってチェックするか、その内容がチェックリストに記述されていない。 ・運用は、マニュアル通りに運用ができているのかをチェックするために、何をもってチェックするか、その内容がチェックリストに記述されていない。 などの2点だと思います。 JIPDECのHPにPMSのガイドラインがあります、その中に規格番号順に合致と運用について、解釈があります。これをチェックリストに盛り込むと良いと思います。 面倒であれば、チェックリストは購入する手もあります。
お礼
ご回答ありがとうございます! JIPDECのガイドライン見せて頂きました! 運用のチェックですが、 今まではうちの会社の業務の具体的な内容についての チェックだと思ってたのですが、 これを見ていると、そうではないようですね。 このまま盛り込んでチェックという方法でもいいのでしょうか。 何度もすみませんが、教えて頂けませんでしょうか。 よろしくお願いします。
お礼
何度もありがとうございます。 おっしゃる通りで、1の業務フローをベースに提出していました。 JIS規格をベースに作り直そうと思います。 その確認方法として業務の具体的内容をふれていけばいいのですね。 助かりました! ありがとうございます!