「個人情報保護」に関する監査① [5-監査事例]
PCが頼りの現代社会において、個人データ(アカウントやクレジットコード、ID、会員情報等)は、個人を特定できる有力な情報です。
大企業による大量漏えい事件は後を絶たず、他人による不正使用だけでなく、知らないうちに、資産・財産を失ったり、全く別人になってしまっていたり、犯罪に関与していたり、存在自体が無くなってしまっているという想定される状況です。
いずれの生協でも、大量の組合員情報を保有しています。そして、それは、様々な事業現場で活用されています。当然、外部からの侵入や内部からの漏えい対策は万全を期していると思いますが、100%安全とは言えないのが実情ではないでしょうか。
皆さんの生協では、個人情報保護に関するルールはどうなっているでしょうか?
多くの生協では、個人情報保護法が制定された際に、個人情報保護規程や運用規則・細則などを定め、全職員に対して教育訓練も実施し、保護状況の監視の仕組みも整備されていると思います。
では、その規程や規則は適宜見直しされているでしょうか?
また、今回の様な「大量漏えい事件」などが起きた場合、自組織のリスクの再評価を行い、有効なプロセス強化を行っているでしょうか?また、そういう事がルール化されているでしょうか?
個人情報保護に関しては、プライバシー認証制度やISO規格27001(情報セキュリティシステム)等でシステム構築の考え方が整理されていて、そういう認証を得ているところもあると思います。しかし、個人情報保護は、「個人情報保護法」による順守義務のある事項ですので、認証の有無にかかわらず、組織として適切な対応・措置を取ることが必要です。したがって、個人情報保護のシステム内容は法令に照らして適切に構築することが必要です。
内部監査として、「個人情報保護」に関わる領域の監査は、リスクベース視点から極めて重要です。万一、組合員情報の大量漏えい事故(事件)が起きてしまえば、信用の失墜に留まらず、事業・経営への影響は甚大なものです。そして、リスク発現の可能性について数値化も難しいものです。ですから、定期的に、個人情報保護に関する監査を実施することが必要です。私のいた生協では、「個人情報保護規程」の中で、定期監査が規定されていました。
では、どのような監査を進めればよいのでしょうか?
この場合も、現場(事業所・部署)の監査と、管理本部系のシステム監査の2つを組み合わせて実施することが望ましいと考えます。現場監査では、主に、システム運用の実態(統制活動)を中心に監査し、運用上の問題を軸にして、システム監査を実施することで、個人情報管理システム全体の有効性評価を行い、統制上の不備事項への改善を提案するという流れになります。
以前に報告した「法令順守」と同様、実際のワークシートを例に見ていきます。
■事業所監査におけるワークシート
1) |
●規程・基準・手順 (機密情報保護や個人情報保護、PCの使用や管理に関する管理者の認識を確認する) |
2) |
●リスク評価 |
3) |
●教育・訓練 *教育は有効か?(理解と運用) |
4) |
●運用(1) |
5) |
●運用(2) |
6) |
●運用(3) |
7) |
●監視・モニタリング |
8) |
●不適合管理 |
9) |
●是正・改善:違反・問題発生後の是正・再発防止策の有効性 |
10) |
●IT対応 |
現場では、基準・既定の確認、リスク認識、統制管理体制、運用、管理モニタリング、改善(不適合管理)のPDCAサイクルの有効性を確認するワークシートになっています。
特に、重視するのは、運用(1)~(3)とモニタリング(監視)の部分です。個人情報保護は、それだけで単独に動くシステムではありません。様々な業務プロセスの中で、個人情報を活用していますので、それぞれのプロセスの中で、担当者やパートまで、個人情報保護に留意して作業が行われているかが重要になるのです。しかし、全ての作業プロセスを点検する事は難しく、リスクの高い業務に絞って検証する事になります。特に、リスト化された情報を取り扱うプロセスは要注意です。安易に、PC上にデータを保存したり、内部メールに添付したり、外部へ引き渡したりしていないか、そういう可能性のある作業はないかを確認する事です。そして、そういうリスクの高い作業プロセスに対して、上長による監視・点検の仕組みが整備され運用されているかを点検することが必要です。