プライバシーマーク取得 楽勝術!  

ト ッ プ

ア ク セ ス

沿  革

サ ー ビ ス 内 容

協 議 会 概 要

協議会コンサル実績

コンサルタントのよもやま話 

お 問 い 合 わ せ

関 連 リ ン ク

 

 

 

 

プライバシーステートメント

監査員にも当たりはずれがあります

プライバシーマーク取得までの流れと注意点を実例を交えて解説

日本事務器株式会社 コンサルタント
島田 昌明

第5回神様、どうか優しい監査員を!!
〜監査員にも当たりはずれがあります

さて、今回はいよいよ申請機関からの現地審査についてのお話です。
前回は、申請書を提出する場面まででしたが、これでプライバシーマークが取れると思ったら大間違いです。
自動車学校でいえば、実地講習が終わり、いよいよ仮免試験という場面です。

提出書類審査
(審査機関によって書類審査が無い場合があります)
申請書類を提出し、「やっとひと段落」と思っている委員会の皆さん、1〜2ヶ月すると審査機関から書類審査の結果報告が送られてきます。
A4用紙で9〜10ページ程度のもので、JISQ15001の規定にはこう書かれているが、提出された書類にはこう書かれているので間違っている、などとJISQ15001の項番に従って、○、×、△、現地確認と採点された書類です。

委員会の皆さんは、この審査結果の×と△について、正しく訂正しておく必要があります。
指摘事項の意味が不明な場合はコンサルタントと相談したり、直接審査機関へ電話して書類審査を行った担当者へ確認します。
審査を行った担当者の氏名は、送られてきた書類に担当者の名前が書かれています。

ここでのポイントは以下の2点です。

(1)送られてきた書類には「質問がある場合は、現地審査の時にしてください」などと書かれている場合がありますが、別に現地審査前に質問してもかまいません。
現地審査前までに×や△を訂正しておかないと、指摘の数が現地審査の分と合わせて増えることになりますから、判明している指摘はできる限り早めに対応するように心がけましょう。
またこのとき、質問は必ずまとめてするようにしましょう。

(2)指摘事項を訂正(是正)した内容は、きっちりと是正報告書を作成し、内部監査責任者や代表者の承認等の決められた(皆さんが決めた)手順に従い、承認した記録を残しておくことが必要です。

 

審査機関からの連絡と現地審査日程の調整
書類審査結果が送られてから2〜3ヶ月、つまり書類を提出して4〜6ヶ月程度すると審査機関から連絡があり、現地審査の日程や現地審査する場所(拠点が複数ある場合など)の連絡がきます。
現地審査では、代表者(一般的には社長)への質問もありますので、日程の調整を行い、現地審査日を決定してください。
実際には、現地審査は拠点があっても本社のみ審査という場合が多いようです。

 

現地審査
いよいよ本試験です。
現地審査は、1〜2名の審査員にて行われます。人数と時間は審査機関から事前に連絡があります。
現地審査(本審査)の前には、やっておくべきことが山ほどあります。

(1)現地審査の場所が決定した段階で、各部門長へ規定遵守を連絡。

(2)2〜3日前
●監査予定部門を再度見回り、施錠の記録、事務所内部の清掃を指示
●個人情報の保管場所の確認、個人持ちの個人情報の管理状況を確認
●セキュリティゾーンの区別ができているかの再確認と社員へのセキュリティゾーンの再徹底
●個人情報一覧の再確認
●トップレビューで予想される質問に対する模範解答の作成
●トップへの監査予行演習をコンサルタントと相談して実施

(3)前日
●部門の見回りと机の上、周りの最終整理
●文書指摘事項で「現地確認」となっている項目の書類を再度確認
●セキュリティゾーンへ外部の人間を入れる場合の記録の有無。識別のための名札などを準備していることを確認
●明日の役割分担、監査員とのやり取りを記録する記録係の決定
●質問内容の模擬応対の最終練習
●現場での指摘事項を次の監査予定部署へ知らせる連絡係の決定
●最新の規定、書式などを印刷し、監査員用に1セット用意

(4)当日
申請機関の監査員が到着したら予定の会議室に案内することになりますが、この時、社内のセキュリティゾーン内の監査が発生するため、必ず立ち入りの記録と識別のための名札の着用をお願いしましょう。
監査員だからといって特別扱いをしないようにします。
監査員のチェックは、会社に入る時から既に始まっています。

 

審査当日の流れ
◆文書チェック (午前中)
監査員のいってることが理解できず、上手く説明できなかったという話を聞きますが、質問内容が分からなかったときは、遠慮しないで具体的に「その質問は×××ということですか?」と確認してください。
監査員によっては、漠然とした質問をしてどんな風に答えるかをみます。
また、色々な話をさせて情報を収集しようとします。
具体的に質問すると、具体的な回答が返せますが、漠然とした質問をした場合、どうしても回答範囲が広がるため、色々なことを説明しなければなりません。
このとき、説明内容の矛盾点や話の口調で、自信がある回答か、そうでない回答か等の情報を収集します。

◆現場のチェック(午後から)
午前中の文書関連の確認が長引くと、現場の確認時間が足りなくなり、思ったよりもなんだか拍子抜けということがありますが、実際の管理方法を確認されることに注意しましょう。
以下のようなことが確認されます。

・個人情報が管理されている書庫の鍵の管理
・セキュリティゾーンの確認
・パソコンの立ち上げ時のパスワードの有無
・スクリーンセーバーの実施の有無など

現地監査の監査員は申請機関から派遣されてくるわけですが、申請者の立場でいうと、監査員も人間ですから「当たりはずれ」があります。
別の人が監査したら、監査結果が当然変わることも十分ありえます。
イメージで簡単にいうと、監査員=「お代官様」+「水戸黄門」と思っていれば間違いありません。
こんなことをいうとJIPDECに怒られそうですけど・・・。

初めての現地審査の不安もあり、こんなことをお願いされたことがありました。

「お客様」

島田さん、現地審査のとき、島田さんは立ち会えないんですよね。

「島田」

そうですね、社員ではありませんし、コンサルタントは同席できませんね〜。

「お客様」

もしもですけれど、島田さんが審査の日だけ名刺と社員証をつけて立ち会ったらどうなんでしょうかね〜。

「島田」

いや〜、ばれなきゃできるでしょうが、ハイと言って受けるわけにはいきませんからね〜。そんなことをしなくても大丈夫ですよ。

「お客様」

そうですよね〜、ダメもとで言ってみただけですから、すみません。

「島田」

いえいえ、お気持ちはわかりますが、そこまで深刻にならなくても大丈夫ですよ。いつもやっていることを淡々と説明すれ良いだけです。

「お客様」

そうですよね。でもね〜、なんか聞かれると頭に血が上って、上手く答える自信がなくて。

「島田」

いやいや、自分ひとりで答えなくても、話が詰まったら他の人が回答しても良いわけですから、問題ありませんよ。大丈夫です。

最初は緊張するのは仕方ありませんね。

監査時間についてもこんなことがありました。
最近、私の友人のソフト会社が初回監査を受けました。2名で監査時間は9時〜13時30分で終了しました。
友人いわく、「前日から来て別の会社を1日監査していたようで、疲れていたんでしょう、そこそこの監査で東京へ帰りましたよ」。

先日、私のお客様の監査では、2名で9時〜15時30分の予定が、17時30分までかかりました。
それは、監査の指摘事項が多く結果的に時間がかかったのでは?と思われるかもしれませんが、指摘事項は友人の会社より、断然少なかったのです。
現地審査後、正式な審査結果の通知(審査当日は口頭にて伝えられます)が2ヶ月近くほったらかしにされていたケースもありました。

監査員の「当たりはずれ」、「運、不運」があるということを覚悟しておいてくださいね。
お客様によっては、おまえらコンサルなんだから少しはなんとかできるだろう、なんて言われることがありますが、こればかりはなんともしようがありません。


次回は、いよいよ最終回、現地審査後の指摘事項の是正のお話です。

島田 昌明
これまでに、銀行や証券と言った超大型システムの開発を行ってきた後、13年ほど前からパソコンに目覚め、PCシステム開発を中心にSEとして活躍。ひょんなことで、ISO9001の内部監査等を行うようになり、現在はプライバシーマークのコンサルが主な仕事。

ホーム > プライバシーマーク取得楽勝術 第5回