ナレッジ

個人情報保護に関する監査

内部監査の新潮流シリーズ(7):国内外における規制に適切に対応するため、遵守状況の内部監査を行うことが重要です

個人情報の保護については、様々な国や地域で規制の導入が相次いでいます。これらの規制に適切に対応するためには、自社またはグループ企業、委託先等での遵守状況に関し内部監査を行うことが重要になっています。内部監査にあたっては、国内外を問わず規制の適用を受ける組織を特定して、その組織での個人データの流れを把握しながら、規制の内容を踏まえた監査手続をもとに監査を進めることが望まれます。

目次

デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。

内部監査の新潮流シリーズ一覧へ

個人情報保護に関する規制と内部監査の重要性

個人情報の保護にかかわる規制については、日本の個人情報保護法を始め、EUの欧州一般データ保護規則(General Data Protection Regulation: GDPR)や米国カリフォルニア州の消費者プライバシー法(California Consumer Privacy Act: CCPA)等様々な国・地域でその導入が進んでいます。こうした規制は、それぞれ固有の取扱いルールを有しているほか、特定の状況がある場合には現地拠点だけでなく日本を含む国外の拠点への域外適用の可能性があります。また、自国の外に個人データを移転する際には、一定の制約が設けられていることも多く見られます。これら国内外の規制に適切に対応するため、自社またはグループ企業、委託先等での遵守状況について内部監査を行い、グローバルな観点で、サプライチェーンを踏まえガバナンスを強化することがより重要になってきています。

【図1】様々な国・地域での個人データの保護に関する規制(例)
※画像をクリックすると拡大表示します

個人情報保護に関する監査の実務的な進め方

個人情報保護に関する監査は、一般的な内部監査の進め方(事前準備、予備調査、本調査、報告の4つのステップ)に沿って、個人情報の保護にかかわる規制の適用を受ける組織を対象に、規制への遵守状況の調査を行います。昨今、委託先から個人データが漏えいするといった事故が発生していることもあり、監査対象は自社だけではなくグループ企業や委託先等を含めることが重要です。また、個人に関わるデータの利活用を積極的に行っている場合、データの不適切な利用により消費者が不利益を被る、またはプライバシーを侵害されるといったケースも多く見られるようになったことから、法令遵守だけでなく様々な利活用の中で個人の権利をどのように保護しているか調査することも重要となってきています。

【図2】個人情報保護に関する監査の実務的な進め方(例)
※画像をクリックすると拡大表示します

これらの内容につきまして、詳しくは「内部監査実務ハンドブック」をご覧ください。

 

また、トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。

 

内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。

≫ お問合せフォーム ≪

目次

お役に立ちましたか?
内部監査

内部監査実務ハンドブック(第3版)