「個人情報保護」に関する監査② [5-監査事例]
次に、システム監査(テーマ監査)として実施する場合のワークシートです。
監査の対象は、個人情報管理システム全体を主管する部署(経営管理部や機関運営部等)です。
事業所監査の結果をまとめたうえで、実施します。
■個人情報管理部署監査のワークシート(対象:経営管理部)
大項目 |
小項目 |
設問・監査手続 |
1.個人情報管理体制 |
1.「個人情報保護規程」及び関連する基準・手順の教育 |
規程に定められた「定期教育」が実施されているか? |
2.「個人情報保護文書管理基準」に基づく「管理台帳」整備 |
保護すべき文書が明確になっているか? |
|
3.安全管理措置(インフラ整備・文書管理・扱い者手順)整備 |
安全管理のための「書庫」設置と保管状況を確認。 |
|
4.安全管理の監視体制 |
事業所内の監視責任者(体制)の確認。 |
|
5.委託先における「安全管理体制」確認 |
委託先・作業委託者での安全管理体制の点検実施状況 |
|
2.運用管理 |
1.個人情報の不適切な扱いや漏洩の監視 |
情報の放置や不適切な取扱い、(+不正な取得と使用)はないか? |
2.PCのID/パスワードによるセキュリティ実施 |
ID/パスワードの使用実態確認(共有使用の有無調査) |
|
3.外部流出監視 |
紛失・漏えい・(データや書面などの誤送信)の有無を誰がどのような方法で監視しているか? |
|
4.事故発生時の対応 |
対象期間内で事故は発生していないか? |
監査では、管理体制(システム構造)と運用管理に分けて考えています。
これは、「順法管理」の進め方と共通です。異なる点は、個人情報保護システムは、「個人情報保護規程」によって一つのシステムとして独立的に設計されており、詳細な手順や細則・教育訓練内容まで規定されている事でした。監査基準が「順法管理」に比べ明確で、適・不適の判断や問題指摘はやりやすいと言えます。しかし、表面的になりがちなので、運用実態をしっかり把握して真因追及することが重要です。また、運用の誤りを発見した場合の是正措置や再発防止策が、「個人への教育訓練の強化」に偏りがちになる事も容易に想定され、有効な対策を明確にすることを重視する必要があります。
運用管理は、現場の実態調査が鍵です。宅配センターや福祉事業所では、詳細な個人データの取り扱いが頻繁にあり、担当者自身が保持しているケースも多く、複数の業務プロセスと職員によって利用されるため、事業所内には様々なところに個人情報があります。これらがしっかりとしたルール(置き場所や保管場所、閲覧や利用可能者の制限など)で運用できているかを見ることになります。(前述のブログで詳細)
これまでの監査経験では、個人情報管理の重要性を認識できている管理者の下では、パートやアルバイトまで、個人情報の扱いについて注意を払っており、全ての作業プロセスにも同様の傾向がある事です。
ざっくり言えば、机の上やラック等が整然としている事業所では、個人情報の管理もおおむね適切であるという事です。
また、大量の個人情報(センシティブ情報)を扱う福祉事業所では、個人情報の事業所間のやり取りが頻繁で、さらに、ケアマネやサービス提供責任者など個人単位の管理になりがちです。さらに、介護保険法の規定に基づき過去情報(サービス提供終了後5年)の保存義務もあります。事業所内のインフラ(鍵付き書棚や文書保管場所)の充実が極めて重要になります。このことを、経営層も認識する事が重要なのです。
ただ、この数年で、業務内でのペーパーレス化が進められており、大半が電子データとなりつつあります。私のいた生協でも、配達担当者は専用モバイルを持ち、配達情報や組合員情報・仲間づくり情報・商品情報など、モバイル一つで完結できる仕組みを導入したため、ペーパーレス化が一気に進みました。福祉事業でもケアマネやサービス提供適任者やヘルパー等もモバイルやPCを貸与されるようになり、文書の保管量は低減しつつあります。
ここで新たな問題が生じてきました。現行の「個人情報保護規程」が電子データの管理に関して対応しきれていない事でした。別に、「文書管理規程」や「機密情報管理規程」などもありますが、いずれも電子データに対応しきれているとは言えません。今日的には、「電子データの大量漏えい」のリスクが高く、そこへの対応は遅れている実態なのです。
この点は、「内部統制上の不備事項」として指摘し、規程類の見直し提案を行いました。その後、内部統制委員会で検討も行われましたし、同時に「特定個人情報保護」に関する対応策も協議・運用改善にも取り組まれました。
なお、言い訳になりますが、私は「情報システム監査」には取り組んだことはありません。
私のいた生協では、情報システムの構築・管理を事業連合に全面的に委託していたため、その領域は監査対象となっていなかったのが主な理由です。
このブログでは、あくまで「個人情報保護」管理プロセスを対象領域としていますので、情報システム管理とは異なる監査手続きであることを、ご理解いただきたいと思います。
コメント 0