【問209】個人情報保護士 練習問題|内部統制と監査
情報セキュリティ 問29/120難易度C(難しい)
問題文
個人情報保護に関する内部監査について、最も適切なものはどれか。
- 1.内部監査は被監査部門の管理者が自ら実施することが望ましい
- 2.内部監査では、規程の遵守状況だけでなく規程自体の妥当性も評価対象とする
- 3.内部監査の結果は監査部門内で完結させ、経営層への報告は不要である
- 4.内部監査は年1回実施すれば十分であり、臨時監査は行わない
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
内部監査は独立性が求められるため、被監査部門の管理者が自ら実施することは適切ではありません。独立した監査部門または外部の監査人が行うべきです。
選択肢2 → ✅正解
内部監査では、規程の遵守状況(コンプライアンス監査)に加え、規程自体の妥当性や有効性も評価対象とすることが重要です。これにより、制度面の改善も図ることができます。
選択肢3 → ❌誤り
内部監査の結果は経営層に報告し、必要な改善措置を講じることが求められます。
選択肢4 → ❌誤り
定期監査に加え、重大な変更やインシデント発生時には臨時監査を実施することが望ましいです。
背景知識
内部監査は、組織の個人情報保護マネジメントシステムが適切に運用されているかを確認するための重要な活動です。監査の独立性を確保するため、被監査部門から独立した者が実施する必要があります。監査の範囲は、規程の遵守状況だけでなく、規程そのものの適切性、安全管理措置の有効性、教育・訓練の実施状況など多岐にわたります。監査結果は経営層に報告し、組織全体の改善につなげることが重要です。
学習アドバイス
内部監査の独立性の原則と、監査の範囲(遵守状況と規程の妥当性の両面)を理解しましょう。JIS Q 15001でも内部監査の実施が求められていることを押さえておきましょう。
まとめ
- 内部監査は独立性を確保して実施する
- 規程の遵守状況と規程自体の妥当性の両方を評価する
- 監査結果は経営層に報告し改善に活用する