- ベストアンサー
プライバシーマークの監査について
プライバシーマークの更新申請を行い、 提出書類を出したのですが、 監査について再指摘を受けました。 その指摘として、 監査チェックリスト内で 運用監査と合致監査の確認が混在しており、 すべての要求事項を合致監査、運用監査できていない との指摘を受けました。 すべての要求事項を合致監査、運用監査する ということが具体的にどういうことなのか なかなか意味理解ができておりません。 その点や、チェックリストの作り方で アドバイス頂けませんでしょうか。 よろしくお願いいたします。
- forest2005
- お礼率48% (66/137)
- コンサルティング
- 回答数2
- ありがとう数6
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
運用監査も合致監査も同じ考えで良いと思います。 監査のストーリとしては、何通りかあると思います。 1.業務フローに沿って、個人情報を取扱うシーンにおいて、JIS規格及び自社マニュアルの通り適切に運用されているか監査する 2.JIS規格及び自社マニュアルに沿って、業務の中で適切に運用されているか監査する 前者の場合、JIS規格の要求事項は順不同になりますが、後者の場合は規格番号順に監査することが可能になります。 御社が申請時に提出した監査チェックリストは、前者だと思うのですが、Pマークの審査員は、御社の業務フローをおそらく理解していないので監査チェックリストにJIS規格要求事項が全て盛り込まれているか評価できないのだと思います。 また、業務フローを元にした監査チェックリストを作成する場合、全ての業務に対応するためには、複数の監査チェックリストが必要になると思います。JIS規格を元にすることで、一つの監査チェックリストで全ての業務について監査することが可能になります。 例えば、従業者の監督についてガイドラインでは、「従業者に対し適切な監督を行っていること」なっています。これをチェックリストに記述し、監査の内容としては「営業部は規定の通り月末会議で運用状況の確認している。これは議事録で確認した。」などが結果となるようにします。 監査を実施する時には、監査チェックリストを被監査部門の数だけコピーして使います。参考になれば幸いです。
その他の回答 (1)
- woody-club
- ベストアンサー率78% (15/19)
御社の監査チェックリストの内容を見ないで回答をするのは難しいのですが。。。 指摘内容は、何をもってチェックするか、その内容がチェックリストに記述されていない、だと思います。 ・合致は、規格要求事項が御社のマニュアル(規定書)に全て盛り込まれているかをチェックするために、何をもってチェックするか、その内容がチェックリストに記述されていない。 ・運用は、マニュアル通りに運用ができているのかをチェックするために、何をもってチェックするか、その内容がチェックリストに記述されていない。 などの2点だと思います。 JIPDECのHPにPMSのガイドラインがあります、その中に規格番号順に合致と運用について、解釈があります。これをチェックリストに盛り込むと良いと思います。 面倒であれば、チェックリストは購入する手もあります。
お礼
ご回答ありがとうございます! JIPDECのガイドライン見せて頂きました! 運用のチェックですが、 今まではうちの会社の業務の具体的な内容についての チェックだと思ってたのですが、 これを見ていると、そうではないようですね。 このまま盛り込んでチェックという方法でもいいのでしょうか。 何度もすみませんが、教えて頂けませんでしょうか。 よろしくお願いします。
関連するQ&A
- Pマーク 内部監査チェックリストの再利用
Pマーク 内部監査チェックリストの再利用 初めて利用しますので、分かりにくかったらすみません。 会社で今年初めにPマークを取得しました。 今年の内部監査をこれからやる予定になっているのですが、 取得時と現在とで特に取り扱う個人情報の種類や、現場でのルールに変更がありません。 その場合、初回に行った適合性監査と運用監査のチェックリストを 再度利用しても問題ないのでしょうか?(更新審査の際に影響がないでしょうか?) 基本的には監査の精度を上げるため都度作り直した方が良いとは理解しているのですが、 もし内容が変わっていないチェックリストを使用しても更新審査の際に影響が無いのであれば 現場でのルール等に変更がない限り、再利用できると正直なところ大変助かります。 どなたかお知恵を拝借できればと思います。 よろしくお願い致します。
- 締切済み
- その他(ビジネス・キャリア)
- プライバシーマークについて
以前プライバシーマークについて質問をさせて頂いた者です。 間違えて質問を締め切ってしまった為再度質問させて頂きます。 私は従業員5名程度の小さなWEB制作会社に勤務しているのですが、先日プライバシーマークの取得を任されました。 社長には1ヶ月で申請を終了し、2009年の春くらいには取得できるようにと命令されました。(コンサルタントは使わず自社で取得する予定です) ネットで調べたところ個人で取得する場合、だいたい1年近くかけて取得するのが一般的なようですし、1ヶ月で各書類を申請できるとは到底思えません。 私自身プライバシーマークに関しては無知ですし、この会社に入社して10ヶ月程なので会社の状況も100%理解できていない状態です。 社長曰く、「書類記載はネットで調べて盗用しろ」との事なのですが、無論ネットでそのような記載は落ちてるはずもなく、もし仮に盗用しても後々困るのは会社自身なのではないかと思っています。 こんな状態で1ヵ月で申請まで辿り付くほどプライバシーマークの取得というのは簡単なのでしょうか?それ以前に私一人の力で取得すること自体可能なのでしょうか? よろしくお願いいたします。
- ベストアンサー
- その他(ビジネス・キャリア)
- プライバシーマーク(Pマーク)の様式変更について
お世話になります。 当社はプライバシーマーク取得企業になります。 今回、様式について不明な事がございましたので、ご質問がございます。 様式のフォームを変更した場合、過去に提出された申請書は、全て再申請すべきでしょうか。 つまり、旧様式を使い、個人情報の「取得申請書」が提出されており、 今も尚、その個人情報の取得が続いている場合、 様式の変更があった時、その新様式を用いて「取得申請書」を提出すべきでしょうか。 ご存知の方がいらっしゃいましたら、ご教示頂ければと思います。 宜しく、お願い致します。
- 締切済み
- その他(ビジネス・キャリア)
- 現在、私の働いている会社ではプライバシーマークの取得に向けて動いており
現在、私の働いている会社ではプライバシーマークの取得に向けて動いております。 今年二月の末頃に監査機関へ初回の申請を出し現地調査を行い、 再指摘事項としての通達が届きそちらを5月には受領していただいたのですが、 その後の返答が未だ無い状況です。 審査を通った状態でPマークの使用をしてもらうまで 時間がかなり空いてしまっている為、付与機関に尋ねたのですが どのような質問にも「急ぎます」というような曖昧な回答だけで、 具体的な日程を回答してもらえない状況となっています。 審査料は既に支払っているのですが、先方より通達されている期限を 超えている様な場合、返金してもらうことは可能なのでしょうか? (※この期限の表現も曖昧で遅くとも1ヶ月程度というような表現です) また再審査になってしまった理由として、私の対応不足という点も否めないのですが、 基準が曖昧なものが多かったので、基準の判断をしかねる点もありました。 この様な場合でも、こちらが100%悪いという解釈になってしまうのでしょうか?
- 締切済み
- その他(法律)
- プライバシーマーク取得に際して、コンピューターに設定する事項
プライバシーマークの取得を検討しています。 社内にはネットワークに繋がったパソコンが10台程度あります。 取得にあたり各パソコンに施すべき事項を箇条書き・チェックリスト等ありましたら教えて下さい。 例: スクリーンセーバーにパスワードをかける。 アンチウイルスソフトのアップデート(適時) よろしくお願い致します
- 締切済み
- ネットワーク
- プライバシーマーク取得 書類審査指摘事項について
プライバシーマーク事務局より書類審査の結果が出ました。何点か不適合と指摘されたのですが、どう直せばよいか理解できません・・・。お分かりになる方がいらっしゃいましたら、助けて下さい!! 指摘事項は下記の通りです・・・。 1.適用範囲:個人情報の全てか、一部を電子計算機等のより処理する目的で書面等によって処理している個人情報、及び何らかの規則により索引づけられた個人情報も対象に含まれるとの主旨がない。
- ベストアンサー
- コンサルティング
- プライバシーマーク取得 書類審査指摘事項について
プライバシーマークの書類審査の結果が帰ってきました。何点か不適合と指摘されたのですが、どう直せばよいか理解できません・・・。お分かりになる方がいらっしゃいましたら、お助け下さい!! 指摘事項は下記の通りです・・・。 「CP運用規定5.リスク分析」で規定しているが、洗い出された個人情報について、ライフサイクルに応じたリスク分析を実施し、具体的なリスク予防と発生時の対策を講じる手順を具体的に規定していない。 現状、リスクというのは不正アクセス・紛失・改竄・破壊・漏洩だと思いますが予防というのは具体的にどうすればよいのか解りません。 ご回答宜しくお願いします。
- 締切済み
- コンサルティング
- プライバシーマーク取得費用&期間について・・・
会社で早急にプライバシーマークを取得しようとしており、 コンサル会社と面談し金額をある程度提示してもらったのですが、 その金額が高いのか安いのか比べるものが無いので全く判りません。 又、取得に掛かる時間も調べたのですが申請書類を提出するまでに、 大体6ヶ月~8ヶ月掛かり提出後3ヶ月~6ヶ月が必要で、 もっと短い期間で取得する方法は無いかと探しております。 実際に取得に関わりコンサル会社に依頼された方がいましたら、 取得に掛かった金額と期間を教えてください。 お願い致します。
- ベストアンサー
- その他(ビジネス・キャリア)
- プライバシーマーク取得時の社内情報の扱いについて
社員の業務経歴書等の運用で困っています。 厳密にいえば、業務経歴書の内容を変更したり、お客様へ提出したりするたびに本人の承認を得て、記録しないといけないと思うのですが、現場からは、運用しきれないと不満が出ています。 簡略化した運用にしたいのですが、プライバシーマークの審査を受けるには、どの程度の運用ができていればよいでしょうか。 経験のあるかたがいらっしゃいましたら、教えてください
- ベストアンサー
- コンサルティング
- プライバシーマークの規定に準ずる社内設備
プライバシーマークの取得を考えている者です。 書類申請にあたり鍵などのセキュリティに関する設備はどの程度準備しておいたほうが良いのでしょうか? オフィスはフロア面積も小さく、エレベーターのドアが開くとすぐオフィスがあるといった感じです。
- ベストアンサー
- その他(ビジネス・キャリア)
お礼
何度もありがとうございます。 おっしゃる通りで、1の業務フローをベースに提出していました。 JIS規格をベースに作り直そうと思います。 その確認方法として業務の具体的内容をふれていけばいいのですね。 助かりました! ありがとうございます!