個人情報保護に関する内部監査細則
(目的)
第1条 この細則は、当組合の個人情報保護計画に基づく個人情報保護の係る施策が適切に実施・維持されているかどうかにつき、公正かつ客観的に評価するための内部監査の実施に関する必要な事項を定める。
(内部監査組織とその役割)
第2条 この細則に基づく内部監査組織は、次のとおりとする。
(1) 個人情報保護統括管理者
内部監査責任者及び内部監査員を任命するとともに、内部監査結果を基に、個人情報保護計画の運用情況を把握し、改善を指示する。なお、必要に応じその職務を個人情報保護事務管理者に委ねることができる。
(2) 監査責任者
管理部長を責任者として、内部監査の実施の指揮に当たらせるとともに、監査の結果については、個人情報保護統括管理者(以下「統括管理者」という。)に報告する。
(3) 内部監査員
監査責任者が策定した内部監査実施計画に基づき、監査を実施し、その結果を監査責任者に報告するとともに、不備があった事項については、フォローアップ監査を実施する。
(内部監査員の職務)
第3条 内部監査員の職務は、次のとおりとする。
1 被監査部門の個人情報保護部門管理者(以下「部門管理者」という。)と協議し、内部監査に日程及び監査範囲を定めること。
2 内部監査実施を実施する事前準備として、次に掲げる情報を入手すること。
@ 被監査部門の業務内容
A 前回監査における指摘事項とフォロー監査における未確認事項
3 個人情報保護法、主務大臣のガイドライン等に照らし、個人情報保護方針、個人情報の取扱いに関する内部規程等が適切に策定等され、それに基づく実施・運用が適切になされているかどうかを確認すること。
4 監査結果に基づき、必要に応じ被監査部門の部門管理者に改善のための提言を行うとともに、監査報告書をとりまとめ監査責任者を通じ、統括管理者に報告すること。
(内部監査員の権限等)
第4条 内部監査員は、被監査部門の関係者に対し、監査の実施に必要な関係資料の提出及び事実の説明を求めることができる。
A 内部監査員は、すべて客観的事実に基づく監査を実施するとともに、その判断及び意見の表明に当たっては、常に公平及び不偏の態度を保持しなければならない。
B 内部監査員は、監査業務を通じて知りえたことを正当な理由なく他に漏らしてはならない。
(内部監査の計画)
第5条 監査は、次の場合に実施する。
1 定期監査 毎年7月に実施する。
2 随時監査 統括管理者が必要と判断した時に実施する。
A 監査責任者は、定期監査につき、統括管理者の承認を得た上で、次の事項を定めた監査計画書を作成する。
1 監査の対象とする部門
2 監査項目と監査チェックリスト
3 監査員の氏名と監査リーダー
4 監査日程
B 監査責任者は監査計画を作成したときは、内部監査員及び被監査部門にその内容を通知するものとする。
(監査の実施)
第6条 文書類及び被監査部門での運用状況につき、別紙「監査チェックリスト」に基づき、被監査部門からの説明と記録を確認することにより行う。
A 監査においては、次の事項について確認をする。
@ 被監査部門における個人情報保護方針の具体化並びに当該部門における施策の実施及び運用状況
A 被監査部門における法令、法令、主務大臣のガイドライン等及び内部規範の遵守状況
B 被監査部門の部門管理者等の責任と権限の明確性とその実施・運用状況
C 前回監査時の指摘事項についての未確認事項の確認
B 監査項目については、適合、重大な不備、軽微な不備、要監視の区分に基づきチェックを行い、不適合が明らかになった場合については、その場において被監査部門の部門管理者の確認を受けることとする。
(監査報告)
第7条 内部監査のチームは、監査において確認した事実を、監査終了時において被監査部門の部門管理者に報告する。
A 監査において認められた不備事項については、「監査改善指示書」(様式例:別紙1)により、被監査部門の部門管理者に説明する。
B 内部監査チームは、監査を終了したときは、前項の監査改善指示書を監査責任者に提出する。
B 監査責任者は、前項の書類の提出を受けたときは、統括管理者に速やかに報告するとともに、その指示を受ける。
(改善措置)
第8条 統括管理者は、監査責任者から報告を受けたときは、被監査部門の部門管理者に対し、指摘された不備な事項についての改善のための措置を講ずるよう指示を行う。
A 部門管理者は、前項の指示に従い、改善措置に関する計画を監査責任者を通じ、統括管理者に提出し、それぞれの承認をうけるものとする。
B 内部監査チームは、被監査部門から提出された改善措置に関する計画に基づき、改善措置が計画どおり実施されているかどうか確認するとともに、その改善措置の有効性、妥当性を確認するためのフォローアップ監査を実施する。
C 前項の監査の結果、効果が確認されない場合には、改善指示書にその旨を記載し、次の監査において確認する。
(監査報告)
第9条 監査責任者は、予定された監査が終了したときは、内部監査チームからフォローアップ監査後の改善指示書の提出を受けるとともに、「監査報告書」(様式例:別紙2)を作成して統括管理者に提出する。
(個人情報保護計画の見直し)
第10条 統括管理責任者は、内部監査結果に基づき、個人情報保護計画を評価・改善するともに、その結果をリスク管理委員会及び理事会に報告しなければならない。
A 統括管理責任者は、各部門管理者の責任及び権限外の事項については、その責任及び権限に基づき、必要な措置を講じなければならない。
(細則の見直し)
第11条 この細則の改廃は、統括管理者がこれを決する。
A 内部監査担当部門は、定期的に細則の見直しを行い、統括管理者の承認を受けるものとする。
附則
この細則は平成17年4月1日から施行する。
監査チェックリスト
監査実施日 年 月 日から 年 月 日
被監査部門
内部監査員 印
|
確 認 |
|
|
監査責任者 |
監査チームリーダー |
|
|
|
|
監査項目 |
チェック項目 |
チェック内容 |
判定 |
コメント |
|
1.個人情報保護方針 |
1-1 個人情報保護方針の内容 1-2 個人情報保護方針の周知 |
□個人情報保護法方針を文書化し対外的公表しているか。 □個人情報保護法方針を役職及び従業員に周知させているか。 □個人情報保護法方針は組合員等一般の人が入手可能な措置を講じているか。 |
|
|
|
2.公表事項等 |
2-1 公表事項等の内容 2-2 公表等の方法 |
□個人情報保護法上、公表等が求められている事項については、適切に定められているか。 □公表等の方法は、適切か。 |
|
|
|
3.個人情報の特定 |
3-1 個人情報の洗い出しの手順・内容 3-2 個人情報資産のリスクの認識 |
□個人情報資産の洗出方法は適切か。 □個人情報資産は漏れなく洗い出されているか。 □個人情報資産のリスク評価は行われているか。 □個人情報資産のリスクは、十分認識されているか。 |
|
|
|
4.個人情報取扱台帳 |
4-1 個人情報取扱台帳の整備 4-2 個人情報取台帳の内容 |
□個人情報資産台帳は整備されているか。 □個人情報取扱台帳の内容は十分か。 |
|
|
|
5.内部規程 |
5-1 内部規程の種類と内容 5-2 内部規程の策定・承認手続 5-3 内部規程の維持管理 |
□個人情報保護規程等、個人情報資産の取扱に関するない美規定は整備されているか。 □内部規程の内容は、法令等の内容に適合しているか。 □内部規程の策定・承認手続は、所定の手続に従っているか。 □内部規程の管理ルール(変更、保管、廃棄など)は定められ、そのルールに従って実施されているか。 □内部規程は適時に見直しが行われ、その変更履歴は記録管理されているか。 □改訂した内部規程は、最終的な責任者の承認を得ているか。 □内部規程は、役員及び従業員に周知されているか。 |
|
|
|
6.個人情報保護計画 |
6-1 計画書の立案と承認 6-2 教育・研修計画の内容 6-3 監査計画書の内容 6-4 計画書の維持管理 |
□法令等その他内部規程を遵守させるために必要な教育計画は立案されているか。 □法令等その他内部規程を遵守するために必要な監査計画は立案されているか。 □年間カリキュラムに個人情報保護ため研修が含まれているか。 □計画には、個別のプログラムは含まれているか。 □研修結果の履歴、効果の確認は行われているか。 □内部監査計画には、個人情報の保護に関する計画は含まれているか。 □監査対象、項目等は適切か。 □監査スケジュールは妥当か。 □計画書は文書化されているか。 □計画書の実行に関するレビューを実施しているか。 □レビュー結果は、次の計画に反映させているか。 □計画書の保管・管理等のルールが定められ、ルールに従って実施されているか。 |
|
|
|
7.体制・責任 |
7-1 管理体制の構築 7-2 役割・責任・権限の明確性 7-3 施策の実施・管理に不可欠な資源 |
□個人情報保護を効果的に実施するための体制は整備されているか。 □各階層・職位別に役割、責任・権限は明らかになっているか。 □役割、責任・権限は文書化され役員及び従業員に周知されているか。 □個人情報保護のプログラムの実施、維持管理に必要な資源を最終的な経営責任を有する者は用意しているか。 |
|
|
|
8.個人情報の取得 |
8-1 取得方法の妥当性 8-2 機微情報の取扱いの適否 8-3 書面等で直接本人から取得する場合の利用目的の明示 8-4 第三者提供の場合の本人の同意の取得 |
□個人情報の取得は、不正な手段によって行っていないか。 □個人情報の取得に当たっては、その目的を明確にしているか。 □取得目的と利用目的の関係を合理的に説明ができるか。 □目的に添って個人情報が取得されているか。 □特定の機微情報についての取得の禁止について定めがあるか。 □不必要な機微情報を取得していないか。 □機微情報については、特定の権限のある者以外は利用できないことになっているか。 □利用目的の明示方法についてのルールは明らかにされているか。 □利用目的の明示の内容は適切か。 □個人データの第三者提供については、事前に本人の同意が得られているか。 □同意の方法は適切か。 □明示的な同意によらない場合、利用目的や取得した情報の内容は適切か。 |
|
|
|
9.利用目的による制限 |
9-1 利用目的の特定 9-2 利用目的の通知・公表 9-3 利用目的外の利用と本人の同意 |
□利用目的は、本人にとって判り易いように明確になっているか。 □利用目的は予め公表されるか。また、公表されていない場合に個人情報取得後速やかに本人に通知するか公表されているか。 □利用目的の公表の方法は適切か。 □利用目的を変更した場合には、変更後の利用目的を本人に通知又は公表しているか。 □利用目的の範囲を超えて取得した個人情報を利用する場合には事前に本人の同意をえているか。 |
|
|
|
10.個人データの正確性の確保 |
10-1 正確性確保のための管理と運用 |
□取得した個人情報に係る個人データの正確性を確保するためのルールは定められているか。 □情報システムの運用管理に関する事項は定められているか。 □情報システムの入出力に関する事項は定められているか。 □情報システムのデータ管理に関する事項は定められているか。 □定められたルールに従って管理運営がされているか。 |
|
|
|
11.安全管理措置 |
11-1 安全性確保のための管理規程の策定 11-2 安全性確保のための管理規程の内容 11-3 安全性を確保のための管理と運用 11-4 従業者からの誓約書等の徴収 11-5 委託処理に関する規程の策定 11-6 委託先選定 11-7 委託処理契約 |
□安全管理措置に関する規程は整備されているか。 □管理規程は、個人情報資産のリスク(不正アクセス、紛失、改ざん及び漏えい等)に対し合理的な安全措置を講ずる内容になっているか。 □定められたルールに従って管理運用が行われているか。 □従業者から秘密保持に関する誓約書等を徴求しているか。 □内部のルールに違反した者に対する懲罰のルールは明確になっているか。 □個人データの処理を委託する場合のは自組合と同じ管理レベル安全管理水準を満たす者を選定する委託先選定基準は定められているか。 □委託先の選定については、所定の手続に則り行われているか。 □委託先については、委託後も定期的に委託先の評価、見直しを行っているか。 □委託に際しては、ガイドライン等で求められる事項を含む委託契約が締結されているか。 |
|
|
|
12.本人関与への対応 |
12-1 本人関与の手続の公表等 12-2 窓口体制の整備 12-3 内部手続の整備 12-4 開示請求等への対応 |
□本人が自己の個人データに関して開示等の請求を行う際の手続については、明確に定められ公表されているか。 □受付・対応窓口体制は整備されているか。 □窓口の役割、権限は明確になっているか。 □本人から開示の請求、利用停止等の請求があった場合の手続規程は整備されているか。 □本人の確認は適切に行われているか。 □本人からの開示請求があった場合には、合理的な期間内に応じているか。 □開示請求に応じない決定をした場合には、本人にその旨を遅滞なく通知しているか。 □開示の結果、誤った情報があり訂正、削除、利用停止(以下「訂正等」という。)を求められた場合には、合理的な期間内に応じているか。 □訂正等を行った場合又は訂正等をしないことを決定には、本人に対し、遅滞なく通知されているか。 □開示の請求及び訂正等の請求に対する対応については、記録として保存しているか。 |
|
|
|
13.教育・研修 |
13-1 個人情報保護に関する教育・研修規程 13-2 カリキュラムの内容 13-3 研修履歴等の管理 |
□役員及び従業員に対し個人情報保護に関し適切な教育を行うよう定められているか。 □カリキュラムには、個人情報保護の必要性・重要性を認識させる内容が盛り込まれているか。 □個人情報保護法、内部規程等に違反した際に予想される結果を自覚させる内容が盛り込まれているか。 □研修の効果を確認する措置が講じられているか。 □研修の履歴等については、記録として保存されているか。 |
|
|
|
14.苦情・相談 |
14-1 苦情相談体制の整備 14-2 対応の適否 |
□苦情相談窓口が設置され、担当者が定められているか。 □苦情処理の手順は定められているか。 □苦情については、迅速に処理されているか。 □苦情相談の内容及びその対応経過については記録・保存されているか。 |
|
|
|
15.文書管理 |
15-1 文書管理の規程の整備 15-2 文書管理の適否 |
□個人情報保護計画の基本となる文書類は書面又は電磁的方法により記録管理されているか。 □文書の管理に関するルール(更改、保存、廃棄等)は定められているか。 □文書の更新履歴については記録管理されているか。 □文書の保管、廃棄は管理ルールに従って処理されているか。 |
|
|
|
16.監査 |
16-1 監査計画 16-2 監査の実施 |
□監査計画は定められているか。 □監査項目は、適切か。 □監査における指摘事項に係る改善指示についてのフォローはできているか。 □監査責任者は、監査を指揮し、監査報告書を作成するとともに統括管理者に報告しているか。 |
|
|
|
17.個人情報統括管理者による見直し |
17-1 個人情報保護計画(プログラム)の見直し |
□個人情報保護計画の定期的な見直しに関する定めはあるか。 □監査の結果は、計画の見直しに反映されているか。 |
|
|
(注1)判定欄:適合=OK、重大な不備=× 軽微な不備=△ 要監視=?
(注2)コメント欄:当該判定をした理由等を記載する。
(別紙1) 監査改善指示書(兼改善計画書)
|
被監査部門: |
【指定の要因】 |
計画提出日 |
|
||||||
|
監査日*: |
|
||||||||
|
監査要員: |
改 善 計 画 |
具体的改善項目 |
実施責任者 |
スケジュール |
|||||
|
内 容 等 |
【指摘事項】(指摘の区分:重大・軽微・要監視) |
|
|
|
|||||
|
|
|
|
|||||||
|
|
|
|
|||||||
|
|
|
|
|||||||
|
【効果確認方法】 |
|
||||||||
|
【必要予算額】 |
承 認 |
部門管理者印 |
総務部印 |
||||||
|
【指摘の理由】 |
事務管理者印 |
統括管理者印 |
|||||||
|
再発防止 |
【再発防止のための措置】 |
||||||||
|
【提言】 |
|||||||||
|
効 果 確 認 |
確認日: |
確認方法 |
|
||||||
|
【確認結果】 |
|||||||||
|
次回監査の確認の要否 |
確 認 |
作 成 |
|||||||
|
要(改善中)・不要(完了) |
監査責任者印 |
監査リーダー印 |
|||||||
(別紙2)監査報告書
|
確認者 |
確認者 |
作成者 |
|
統括管理者 印 |
事務管理者 印 |
監査責任者 印 |
1.監査概要
|
監査期間 |
年 月 日 〜 年 月 日 |
|||||||
|
被監査部門 |
|
|
|
|
|
|
|
|
|
内部監査員 |
|
|
|
|
|
|
|
|
2.監査結果
|
監査項目(注) |
改善指摘事項の内容 |
該当部門 |
改善措置の内容 |
効果確認 |
||
|
済 |
未了 |
コメント |
||||
|
|
|
|
|
|
|
|
|
要観察項目(注) |
観察の内容 |
該当部門 |
対処方針等 |
|
||
|
(監査責任者の所見) |
||||||
(注)監査チェックリストの項目番号を記入。