有効な監査指摘と改善提案②（20180404）

実際の監査の場面を設定して、より有効な監査指摘の事例を検討してみましょう。

◇宅配センターの定期業務監査
＊業務管理の項目で、「組合員からのお申し出対応」の手順を確認し、監査日以前の1週間分の記録を点検しました。

〇監査調書記載内容
・組合員からのお申し出は、基本的に、センター事務パートが電話で受け付け、対応記録はイントラネット(業務記録書：お申し出記録）へ入力する。正式な回答や代替品のお届け対応は、管理者(この場合、副センター長とエリアマネジャー）決済の後、担当が実施し、完了を業務記録書に入力して完了。
・基本ルール上では、すべて、業務記録書(イントラネット・サーバー内）で行う事になっており、組合員情報（個人情報)のセキュリティには問題ないことが判った。
・イレギュラー対応を検証したところ、お申し出の対応結果から、直近で「回収を要するような商品事故(規格違い品のお届け）」が発生しており、購入者リストをもとに、事務パートによる電話連絡の作業を行っていたことが判った。

・該当品の購入者リストは、本部で作成し、共有サーバー内に保存されており、パスワード設定もされていた。しかし、Ａ管理者は、これをコピーし、事務パートへ内部メールで転送し、作業指示を行っていた。
・作業指示の内部メールを確認したところ、当初パスワード設定されていた購入者リストのパスワードが解除されており、誰でも閲覧可能な状態になっていた。

・Ａ管理者を呼び、事情を確認したところ、緊急を要する対応だった事と、事務パートが数人いて分担して行う必要もあり、作業性を優先させてしまったとのことだった。メールは2週間で消去される設定がされており、情報漏えいはないと考えていたとの事だった。
・作業を行った事務パートに確認したところ、送付されたリストデータは、自分のパソコン・ハードディスクに保存し、対応チェックを行ったとの事で、使用しているパソコンを確認したところ、デスクトップ画面に貼り付けられた状態であった。
・該当の購入者リストには、購入品の数量と約200人分の組合員コード・組合員名・電話番号・住所が紐づけされており、明らかに個人情報であると判断できた。

・商品回収の指示は事業本部からセンター長・副センター長へメールで届いており、その中には、購入者リストの扱いに関して注意事項も記載されていた。しかし、副センター長から各グループ長(課長）への指示は、口頭であり、一両日中に、組合員連絡を終える事と結果を報告する事のみが伝えられていた。個人情報の扱いに関する留意事項は伝えられていなかった。

〇以上のような問題事象について、どのような監査指摘が有効でしょうか？

①まず、何が問題なのかを整理する事が必要です。
・幾つもの問題がありました。
・商品事故発生という問題（仕入先・事業連合の問題）を除いて考えると、個人情報の取り扱いに関する問題、内部メールの使用ルールに関する問題、副センター長からの指示の問題、Ａ管理者の業務の進め方の問題、等々、気になる所が多く、それぞれに関係しあっており、単純な問題ではないのですが、何処かに力点を置いていくことが重要です。

＊この事例では、「個人情報の取り扱い」に関する問題を取り上げます。それは、「個人情報保護法」に違反する問題(リーガルリスク）、漏えいによる信用失墜(信用リスク）とそれに伴う事業損失(事業リスク）を重視するからです。

②問題発生の真因はなにか。
・情報保護のためのセキュリティはどうか。本部段階では、サーバー内保存とパスワード設定は「規程」と「手順」に沿って適正に実施されていましたが、センターの作業者による解除とコピー保存によりセキュリティが保全できていませんでした。これは、一つには仕組み上の限界とも言えます。
・本部からの指示には、「個人情報保護の注意」が添えられていたにもかかわらず、副長からＡ管理者には伝わっていなかった事も原因の一つです。
・実際に作業を行う、事務パートになると、送られてきたデータをパソコンに保管するという状態にあり、もはや、個人情報は全く保護できていない状態でした。事務パートは個人情報保護に関する意識・知識は持っていなかったという事も原因でしょう。
・そもそも、組合員への連絡を要する作業において、組合員コードや住所・電話番号などを一覧化したデータを作る必要があるかという事もあります。

＊どれが真因か、見定めるのはかなり難しい問題です。「センターの個人情報保護に関する教育が不十分だった」というような真因表記になりがちですが、そうなると「教育を徹底する」という事が対策になります。これで解決するでしょうか？

＊緊急に連絡する必要があるようなイレギュラー対応について、手順(作業ルール）の欠陥はなかったのでしょうか？マネジメントラインの在り方と個々への指示方法は正しかったのでしょうか？個人情報保護の視点で、現状の手順に問題はなかったのかが最大の問題になるのではないかと思います。

ここまで検証してくると、指摘事項と改善提案はほぼまとまってきます。
あとは、監査対象(管理者）とディスカッションで深めていくことです。

先の項目で示した、①統制不全型②統制不備型③運用不備型のいずれに当てはまるでしょうか。
このケースでは、③運用不備型と②統制不備型が混在している問題事象でしょう。
したがって、監査対象部署の個別監査における指摘事項は以下のようになります。

◇発見した問題事象
○○商品(商品名）回収に関するイレギュラー対応で、「個人情報保護規程」「個人情報保護マニュアル」に違反する事象が発見された。
本部指示に基づく「組合員への連絡作業」の中で、利用者データがコピーされセキュリティ解除された状態で作業者のパソコンに保管されていた。これを直接指示したグループマネジャーが個人情報保護について認識不足にあり、作業者への注意喚起も怠っていた。

◇想定リスク：個人情報漏えいリスク

◇改善提案
様々な作業プロセスにおいて、個人情報を取り扱うケースが存在しており、管理者は常に、個人情報保護の視点で作業指示を行うよう、徹底すること。
また、早急に、事業所全職員に対して、「個人情報管理規程」個人情報保護マニュアル」の再教育を実施し、特に「サーバー内データのコピー禁止」を徹底を図るとともに、管理者により、定期的にパソコン内データの点検を行う仕組みを導入する事。

こんなふうに記載できるのではないかと思います。(監査指摘に正解はありません。あくまで監査対象との合意で形成されるものですので、前述は一例として参考にしてください）

補足ですが、「個人情報保護」に関しては、ほとんどの生協で「個人情報保護規程」「個人情報取り扱いマニュアル」などが定められていると思います。法令改定により「特定個人情報」(センシティブ情報も含む）への対応も進められていると思います。
しかし、こうした規程では、目的や考え方、管理の仕組み、罰則などは示されていても、現実の多様な作業を網羅しているわけではありません。

個々の作業プロセスの中で、「個人情報・特定個人情報」の扱い(作成や利用)がある事を検証し、それぞれの作業プロセスにおける手順に明記し、作業者へ手順教育を徹底することが必要なのです。
ですから、個々の作業を指示する管理者が、作業プロセスを正しく理解し、作業におけるリスクを認識(この場合は、個人情報漏えいリスク）しておくこと。そして、作業指示するとき、注意事項として周知する事を確実にすることが必要です。・・これは、統制不備に当りますので、代表理事への報告事項となります。各事業部門・事業所単位へ、個人情報保護の視点で現状の作業を点検し、リスクについて検証し、改善を行うような指示につながる事が提案事項となります。

ハード面では、今回の事象の様に、基データをコピーし、セキュリティが解除されることができない様な措置を講じることも必要です。万一、間違って外部流出しても、活用できない状態を保持し続ける事です。サーバーへのアクセス権の設定だけでなく、個々のデータのセキュリティについても組織的検討を進める必要があります。・・これは、内部統制上の不備事項として、代表理事への報告事項とすべき点になります。情報管理部門に対して強化策の検討指示が出るように提案すべきです。