概　要

国家インターネット情報弁公室は8月3日、『個人情報保護コンプライアンス監査管理弁法（意見募集稿）』（以下、「意見募集稿」）およびこれに付随する『付属文書：個人情報保護コンプライアンス監査参考要点』（以下、「要点」という）を公表した。意見募集稿は、『個人情報保護法』第54条及び第64条の実施に関する規定を具体化したものである。要点は、『個人情報保護法』の各事情に応じたコンプライアンス監査の実施ポイントを直接的に示し、企業が個人情報保護のコンプライアンス義務をより一層履行するための明確な要求事項および実務指針を提供するものである。意見募集稿の主な内容は以下の通りである。

1、個人情報保護コンプライアンス監査の頻度と期間を規定

意見募集稿では、自主監査（定期監査）と監督機関による強制監査を区別している。 自主監査については、企業は内部監査プロセスおよび基準の策定を参照することができる。監督管理部門が開始する強制監査については、定期監査プロセスの一部ではないことを考慮する必要があり、この場合、企業は外部の専門機関に委託することにより、指定された期間（原則90営業日）内に監査を完了しなければならない。

2、コンプライアンス審査における外部専門機関の権限と資格の具体化

意見募集稿は、個人情報保護コンプライアンス審査における専門機関が備える権限と資格を明確化した。監督管理部門が要求する強制監査において、個人情報取扱者は独立し客観的な専門機関を選択し、規定に基づき専門機関に相応の権限を提供しなければならない。同時に、国家インターネット情報部門は、個人情報保護コンプライアンス監査の専門機関の推薦目録を発行し、個人情報取扱者に、より明確で効率的な機関の選択を提供する。

3、『個人情報保護法』遵守要求を全面的に実施するための監査内容

要点を見ると、『個人情報保護法』における個人情報取扱者の遵守事項のほぼ全てを監査範囲としている。このため、コンプライアンス体制を構築してはいるものの、それを日常業務で実践できていない企業は、コンプライアンス要件を満たすことが困難となる。また、個人情報取扱者は、構築したコンプライアンス体制に基づき、管理措置や技術的措置を講じるとともに、監査のために日常業務の証跡を残すよう留意することが求められており、企業のコンプライアンス義務が一層強化されている。