SSブログ
「個人情報保護」に関する監査①「宅配事業:商品管理」に関する監査① ブログトップ

「個人情報保護」に関する監査② [5-監査事例]

次に、システム監査(テーマ監査)として実施する場合のワークシートです。

 

監査の対象は、個人情報管理システム全体を主管する部署(経営管理部や機関運営部等)です。

事業所監査の結果をまとめたうえで、実施します。

 

■個人情報管理部署監査のワークシート(対象:経営管理部)

大項目

小項目

設問・監査手続

1.個人情報管理体制

1.「個人情報保護規程」及び関連する基準・手順の教育

規程に定められた「定期教育」が実施されているか?
*記録による内容と実施状況の確認

2.「個人情報保護文書管理基準」に基づく「管理台帳」整備

保護すべき文書が明確になっているか?
*一覧表(管理台帳)による確認。漏れはないか?

3.安全管理措置(インフラ整備・文書管理・扱い者手順)整備

安全管理のための「書庫」設置と保管状況を確認。
*事務所内・倉庫内・事業所外施設(デポ)等の作業現場への放置はないかは実査目視で確認。

4.安全管理の監視体制

事業所内の監視責任者(体制)の確認。
*定期的な事業所内の点検体制はあるか?

5.委託先における「安全管理体制」確認

委託先・作業委託者での安全管理体制の点検実施状況
*定期的な点検或いは報告はあるか?

2.運用管理

1.個人情報の不適切な扱いや漏洩の監視

情報の放置や不適切な取扱い、(+不正な取得と使用)はないか?

2.PCID/パスワードによるセキュリティ実施

ID/パスワードの使用実態確認(共有使用の有無調査)
*パソコン管理規程に基づく運用基準の適用(データの使用や保管):共有PCを重点点検。

3.外部流出監視

紛失・漏えい・(データや書面などの誤送信)の有無を誰がどのような方法で監視しているか?

4.事故発生時の対応

対象期間内で事故は発生していないか?
発生した場合の報告沿是正措置と再発防止策は有効か?

 

監査では、管理体制(システム構造)と運用管理に分けて考えています。

 

これは、「順法管理」の進め方と共通です。異なる点は、個人情報保護システムは、「個人情報保護規程」によって一つのシステムとして独立的に設計されており、詳細な手順や細則・教育訓練内容まで規定されている事でした。監査基準が「順法管理」に比べ明確で、適・不適の判断や問題指摘はやりやすいと言えます。しかし、表面的になりがちなので、運用実態をしっかり把握して真因追及することが重要です。また、運用の誤りを発見した場合の是正措置や再発防止策が、「個人への教育訓練の強化」に偏りがちになる事も容易に想定され、有効な対策を明確にすることを重視する必要があります。

 

運用管理は、現場の実態調査が鍵です。宅配センターや福祉事業所では、詳細な個人データの取り扱いが頻繁にあり、担当者自身が保持しているケースも多く、複数の業務プロセスと職員によって利用されるため、事業所内には様々なところに個人情報があります。これらがしっかりとしたルール(置き場所や保管場所、閲覧や利用可能者の制限など)で運用できているかを見ることになります。(前述のブログで詳細)

 

これまでの監査経験では、個人情報管理の重要性を認識できている管理者の下では、パートやアルバイトまで、個人情報の扱いについて注意を払っており、全ての作業プロセスにも同様の傾向がある事です。

ざっくり言えば、机の上やラック等が整然としている事業所では、個人情報の管理もおおむね適切であるという事です。

また、大量の個人情報(センシティブ情報)を扱う福祉事業所では、個人情報の事業所間のやり取りが頻繁で、さらに、ケアマネやサービス提供責任者など個人単位の管理になりがちです。さらに、介護保険法の規定に基づき過去情報(サービス提供終了後5年)の保存義務もあります。事業所内のインフラ(鍵付き書棚や文書保管場所)の充実が極めて重要になります。このことを、経営層も認識する事が重要なのです。

ただ、この数年で、業務内でのペーパーレス化が進められており、大半が電子データとなりつつあります。私のいた生協でも、配達担当者は専用モバイルを持ち、配達情報や組合員情報・仲間づくり情報・商品情報など、モバイル一つで完結できる仕組みを導入したため、ペーパーレス化が一気に進みました。福祉事業でもケアマネやサービス提供適任者やヘルパー等もモバイルやPCを貸与されるようになり、文書の保管量は低減しつつあります。

ここで新たな問題が生じてきました。現行の「個人情報保護規程」が電子データの管理に関して対応しきれていない事でした。別に、「文書管理規程」や「機密情報管理規程」などもありますが、いずれも電子データに対応しきれているとは言えません。今日的には、「電子データの大量漏えい」のリスクが高く、そこへの対応は遅れている実態なのです。

この点は、「内部統制上の不備事項」として指摘し、規程類の見直し提案を行いました。その後、内部統制委員会で検討も行われましたし、同時に「特定個人情報保護」に関する対応策も協議・運用改善にも取り組まれました。

 

なお、言い訳になりますが、私は「情報システム監査」には取り組んだことはありません。

私のいた生協では、情報システムの構築・管理を事業連合に全面的に委託していたため、その領域は監査対象となっていなかったのが主な理由です。

このブログでは、あくまで「個人情報保護」管理プロセスを対象領域としていますので、情報システム管理とは異なる監査手続きであることを、ご理解いただきたいと思います。

2018-06-27 09:00  nice!(1)  コメント(0) 

nice! 1

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

Facebook コメント

「個人情報保護」に関する監査①「宅配事業:商品管理」に関する監査① ブログトップ