個人情報保護に関する内部監査
個人情報の保護については、様々な国や地域で規制の導入が相次いでいます。これらの規制に適切に対応するためには、自社またはグループ企業、委託先等での遵守状況に関し内部監査を行うことが重要になっています。内部監査にあたっては、国内外を問わず規制の適用を受ける組織を特定して、その組織での個人データの流れを把握しながら、規制の内容を踏まえた監査手続をもとに監査を進めることが望まれます。
個人情報保護に関する規制と内部監査の重要性
個人情報の保護にかかわる規制については、日本の個人情報保護法を始め、EUの欧州一般データ保護規則(General Data Protection Regulation: GDPR)や米国カリフォルニア州の消費者プライバシー法(California Consumer Privacy Act: CCPA)、プライバシー権法(California Privacy Rights Act: CPRA) 等様々な国・地域でその導入が進んでいます。こうした規制は、それぞれ固有の取扱いルールを有しているほか、特定の状況がある場合には現地拠点だけでなく日本を含む国外の拠点への域外適用の可能性があります。また、自国の外に個人データを移転する際には、一定の制約が設けられていることも多く見られます。これら国内外の規制に適切に対応するため、自社またはグループ企業、委託先等での遵守状況について内部監査を行い、グローバルな観点で、サプライチェーンを踏まえガバナンスを強化することがより重要になってきています。
個人情報保護に関する監査の実務的な進め方
個人情報保護に関する監査は、一般的な内部監査の進め方(事前準備、予備調査、本調査、報告・フォローアップの4つのステップ)に沿って、個人情報の保護にかかわる規制の適用を受ける組織を対象に、規制への遵守状況の調査を行います。昨今、委託先から個人データが漏えいするといった事故が発生していることもあり、監査対象は自社だけではなくグループ企業や委託先等を含めることが重要です。また、個人に関わるデータの利活用を積極的に行っている場合、データの不適切な利用により消費者が不利益を被る、またはプライバシーを侵害されるといったケースも多く見られるようになったことから、法令遵守だけでなく様々な利活用の中で個人の権利をどのように保護しているか調査することも重要となってきています。
デロイト トーマツによる個人情報保護に関する監査の支援
デロイト トーマツは内部監査の専門家と個人情報保護関連法規制の専門家を多数有しており、個人情報保護に関する監査の計画・設計支援から、個別監査における事前準備、予備調査、本調査、報告・フォローアップに至るまで企業の状況に応じて柔軟な支援が可能です。
新しいウィンドウで開く