個人情報保護監査人のすすめ

こちらの記事は【初心者優先枠】corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#2 Advent Calendar 2023のアドベンドカレンダー22日目の記事です！

事業会社で情報システム部に所属し、情報セキュリティ担当として業務をする中で、個人情報に関わる機会が多くあり、私自身体系的な知識がなかったため、インプットをする目的で「個人情報保護士」を今年の6月に取得しました。
「個人情報保護士」を無事取得しましたが、監査視点での個人情報保護マネジメントシステムのインプットが足りないと感じたため、足りない部分を補う目的で「個人情報保護監査人」を目指しました。その過程を記したいと思います。

1. 個人情報保護監査人とは？

全日本情報学習振興協会主催で、JISQ15001をベースとした個人情報保護マネジメントシステムのガイドラインを、専門家が解説してくれる講習会です。
以下、全日本情報学習振興協会が示している内容です。

マネジメントシステムが効果的・効率的に機能しているかを評価するツールとして監査があり、監査力をつけることで、個人情報漏洩等の事故を未然に防ぐことが可能となります。それには内部監査のノウハウを充分に習得した人材を育成しなければなりません。この講習会では、監査を初めて実施する組織、監査を始めて間もない組織の方々に、監査をどのような目的で、どのような方法で実施していくかを示します。

出典：https://www.joho-gakushu.or.jp/piip/aud.php

監査視点で、個人情報保護マネジメントシステムが機能しているか評価するために、どういった目的や方法で実施すればよいか、体系的に学べそうであることがわかると思います。

2. 個人情報保護監査人認定講習会の概要

具体的な内容は詳細に記載できませんが、当日使用するレジュメと共に以下教材が協会から送られてきます。（後述しますが、教材費は受講料に含まれています。）

個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017) 第2版: PマークにおけるPMS構築・運用指針対応

日本規格協会 JSA GROUP Webdesk

上記教材を利用しつつ、当日利用するレジュメを主に利用しながら講習会は進んでいきます。
※参考までに協会から届いた資料です。

協会から届く資料一式

講習概要については以下です。

講習時間：10:30 ~ 17:30
概要：1日間の講習とレポートの提出
受講料：
・一般：41,800円（税込）
・全情協資格者部会：33,440円（税込）
受講条件：個人情報保護士試験に合格していること
認定：レポートは後日提出。レポートの内容によっては認定しない場合がある。

出典：https://www.joho-gakushu.or.jp/piip/aud.php

※ちなみに、私は全情協資格者部会に登録しているので、33,400円（税込）で受講しています。

3. 講習会を受講して

監査の視点から個人情報保護マネジメントシステムについて、目的や注意点、手法について学べた点がとてもよかったです。個人情報保護マネジメントシステムを組織で運営するにあたり、PDCAサイクルを回すのは必須です。監査の目的や注意点を理解した上で、社内の個人情報保護マネジメントシステムのPDCAに対して、各フェーズでの着眼点・注意点に注意し、内部監査を行うことで、社内の個人情報保護マネジメントシステムの効果的な運用と継続的な改善を実現し、社内の個人情報保護の取り組みを強化可能であることを学べたと思います。

4. よもやま

そもそも「個人情報保護士」とは？

全日本情報学習振興協会は、個人情報保護士認定試験については以下のように述べています。

個人情報保護法、個人情報保護法ガイドライン、いわゆるマイナンバー法を核に、現代のニーズに応じた個人情報の適切な管理や取扱い、情報漏洩対策など、現代ビジネスにおいて不可欠な知識を習得するための資格試験です。試験を通じて、法的な知識のみならず、実践的なスキルや情報セキュリティの知識も身につけることができます。

出典：https://www.joho-gakushu.or.jp/piip/

個人情報保護法や個人情報保護法ガイドラインといった法的な知識を学べるだけでなく、情報セキュリティ分野も出題されます。

出題内容
課題Ⅰ
個人情報保護法とマイナンバー法の理解（50問）
第１編　
個人情報保護法総説・ 個人情報保護の法体系・ 各種認定制度
第２編　
個人情報保護法の基本法部分・法の目的と基本理念・ 用語の定義・ 国及び地方公共団体の責務や施策等
第３編　
個人情報に関する義務・ 利用目的の特定・変更（法17条）・ 利用目的による制限（法18条）・ 不適正な利用の禁止（法19条）・ 適正な取得（法20条１項）・ 要配慮個人情報の取得制限（法20条２項）・ 取得に際しての利用目的の通知等（法21条）
第４編　
個人データに関する義務・ 個人データの正確性の確保と不要な個人データの削除（法22条）・ 安全管理措置（法23条）・ 従業者の監督（法24条）・ 委託先の監督（法25条）・ 漏えい等の報告等（法26条）・ 第三者提供の制限（法27条）・ オプトアウトによる第三者提供（法23条２項～４項）・ 「第三者」に該当しない場合（法27条５項各号）・ 外国にある第三者への提供の制限（法28条）・ 第三者提供時の確認・記録義務（法29条・30条）
第５編　
個人関連情報に関する義務・ 個人関連情報の第三者提供の制限等（法31条）
第６編　
保有個人データに関する義務・ 保有個人データに関する事項の本人への周知（法32条１項）・ 利用目的の通知の求め（法32条２項・３項）・ 保有個人データの開示請求（法33条）・ 第三者提供記録の開示請求（法33条５項）・ 保有個人データの訂正等の請求（法34条）・ 保有個人データの利用停止等の請求（法35条１項・２項）・ 保有個人データの第三者提供停止の請求（法35条３項・４項）・ 法35条５項の要件を満たす場合の利用停止等又は第三者提供の停止・ 開示等の請求等に応じる手続・手数料（法37条・38条）・ 裁判上の訴えの事前請求（法39条）
第７編　
仮名加工情報取扱事業者等の義務・ 仮名加工情報取扱事業者等の義務（法41条・42条）
第８編　
匿名加工情報に関する義務等・ 匿名加工情報に関する義務等（法43条～46条）
第９編　
実効性を担保する仕組み等・ 個人情報の取扱いに関する苦情処理（法40条）・ 個人情報保護委員会による監視・監督・ 民間団体による個人情報の保護の推進・ 罰則（法176条～185条）
第10編　
行政機関等における個人情報等の取扱い・ 行政機関等における個人情報等の取扱い
第11編　
マイナンバー法の理解・ 総則（法1条-6条）・ 個人番号（法7条-16条）・ 個人番号カード（法16条の２-18条の２）・ 特定個人情報の提供(法19条-26条)・ 特定個人情報の保護(法27条-32条)・ 特定個人情報の取扱いに関する監督等（法33条-38条）・ 法人番号（法39条-42条）・ 雑則（法43条-47条）・ 罰則（法48条-57条）
課題Ⅱ
個人情報保護の対策と情報セキュリティ（50問）
第１編
脅威と対策・ 個人情報保護法と情報セキュリティ・ 情報セキュリティ・ 脅威と脆弱性に対する理解・ 情報セキュリティ関連の対策基準・ 個人情報保護法のガイドライン
第２編
組織的・人的セキュリティ・ 基本方針の策定・ 個人情報の洗い出しと管理・ リスクの認識、分析、対策・ 規程文書（内部規程）の整備・ 組織的安全管理措置・ 人的安全管理措置・ 委託先の監督・ 事故・苦情等への対応
第３編
オフィスセキュリティ・ 物理的セキュリティ対策に関連する知識・ 物理的安全管理措置の実施項目・ 災害対策
第４編
情報システムセキュリティ・ 技術的セキュリティ対策に関連する知識・ 技術的安全管理措置の実施項目

出典：https://www.joho-gakushu.or.jp/piip/naiyou.php

個人情報保護法を体系的に学べるだけでなく、情報セキュリティも網羅している点が推しポイントです。

5.終わりに

個人情報保護監査人は個人情報保護マネジメントシステムを運用している主担当の方におすすめの資格だと思います。個人情報は事業会社の事業継続を左右する取り扱い注意の情報です。事業においての個人情報に関する取り扱いをさらに理解を深める意味でも良いと思いました。

今年もお疲れ様でした！来年もよろしくお願いいたします！