3.7 点検

3.7.1 運用の確認
この要求項目は解釈が少々難解です。

この要求は、実際に個人情報保護マネジメントシステムが運用できることが分かるような体制にしなさいということが求められている項目です。

単純に言うと、
・ 個人情報の取得時にきちんと同意が出来ているかの確認
・ 個人情報の開示依頼に対応できているかの確認
・ 確実に第三者の入室が制限できているかの確認
・ 不正アクセスがないかの確認
等といったものです。

それぞれの確認方法には、たとえば記録を取っておき定期的に内容を確認するのも一つの対策ですし、時期を決めて、必要な作業が確実に運用できているかのチェックをおこなうことも一つの対策です。
ただし、後述の内部監査とは少々異なるのは、ここは適合性を見ろと言っているわけではなくて、あくまでも適切に運用できているかの確認なので、どちらかといえば、運用確認のための見回り的な要素が非常に強いのが運用の確認です。

3.7.2 監査
内部監査はこの項目で説明するには少々難しい項目なので本項ではかいつまんでご説明します。

内部監査には、手順の文書化が求められているのですが、手順は以下の通りになります。



まず、監査は次の目的で定期的に実施することを求められています。
・ 個人情報保護マネジメントシステムが、JISQ15001に適合しているか確認する
・ 個人情報保護マネジメントシステムがルール通りに運用されているか確認する

これらの目的を実現できるかが監査の大きなポイントとなります。

そのために、監査プログラムを適切に作る必要があります。

また、内部監査には第三者性が求められるため、監査を行う対象の部署以外から監査担当を任命する必要があります。

さらに、これらの活動を行った監査の記録を残すことが求められています。

監査については、別の資料を公開しますので、そちらをご参照ください。