目次

目次

監査業務におけるGDPRの適用範囲

GDPR第4条第7項は、データ処理者を「管理者に代わって個人データを処理する自然人又は法人」と定義している。監査人は、クライアントから個人データを含む帳簿書類を受領し、これを監査目的で処理する際、データ処理者の地位に立つ。
監基報230.8は、監査人に対し十分かつ適切な監査証拠を裏付ける監査調書の作成を求める。個人データを含む証憑書類も、この要求の対象となる。顧客マスタ、給与台帳、売掛金明細等がこれに該当する。
GDPR第28条は、処理者に対し管理者との書面による契約締結を義務付けている。監査契約書には、個人データの処理目的、処理の性質、個人データの種類、データ主体のカテゴリを明記する必要がある。多くの監査契約書は、この要件を満たしていない。

データ処理者としての監査人の責任


監査人は次の責任を負う:

  • 処理の記録(GDPR第30条):500人未満の組織でも、個人データの処理が定期的な場合は記録が必要
  • データ保護影響評価への協力(GDPR第35条):高リスクの処理について管理者が実施する評価への支援
  • 個人データ侵害の報告(GDPR第33条):管理者への遅滞ない通知
  • データ主体の権利への対応支援(GDPR第12条〜第22条):アクセス権、訂正権、消去権等への管理者の対応支援

個人データの識別と分類

監査調書に現れる個人データの典型例


直接識別子
間接識別子
GDPR第4条第1項の個人データの定義は広範囲に及ぶ。「特定された又は特定可能な自然人に関するあらゆる情報」が対象となる。監査調書の作成時には、この広義の定義を念頭に置く必要がある。

特別カテゴリのデータ


GDPR第9条は、人種、政治的意見、宗教的信念、健康情報等を特別カテゴリとして定めている。監査業務では以下の場面で特別カテゴリのデータに接触する可能性がある:
特別カテゴリのデータについては、GDPR第9条第2項の例外規定(法的義務の履行、重要な公共の利益等)に該当しない限り、処理は原則禁止される。

  • 氏名、住所、電話番号、メールアドレス
  • 従業員番号(個人を直接特定可能な場合)
  • 顧客コード(個人顧客の場合)
  • 役職、部署、給与額の組み合わせ
  • 取引先との契約金額(個人事業主の場合)
  • 出張費、交通費等の個人別集計
  • 健康保険組合の監査における医療費データ
  • 福利厚生制度の監査における家族構成情報
  • 海外駐在員手当の監査における国籍情報

適法根拠の確保と文書化

監査業務における主要な適法根拠


GDPR第6条第1項(c) 法的義務の履行
日本の公認会計士法第27条、会社法第430条等に基づく法定監査の実施は、この根拠に該当する。監査調書には、該当する法令条文を記載する。
GDPR第6条第1項(f) 正当な利益
任意監査、合意された手続業務等では、この根拠を検討する。正当な利益の評価には、監査人の利益、データ主体の利益、基本的権利との比較衡量が必要。

文書化の要求事項


監基報230.A8は、監査調書が第三者による理解可能性を求めている。GDPR準拠の観点から、以下の事項を追加で文書化する:

  • 処理の適法根拠とその選択理由
  • 個人データの保管期間と削除予定日
  • アクセス権限を付与した監査チームメンバーの一覧
  • データ移転が発生する場合の移転先と保護措置

技術的・組織的措置の実装

GDPR第32条は、処理の性質、範囲、状況及びリスクに応じた適切な技術的・組織的措置を求めている。監査業務における具体的措置は以下のとおり。

技術的措置


暗号化
アクセス制御
バックアップと復旧

組織的措置


スタッフの研修
GDPR第32条第4項は、処理に関与する自然人に対する適切な指示を求めている。監査チーム向けの研修内容:
文書化とモニタリング
  • 調書ファイルのパスワード保護(AES-256以上)
  • 電子メール送信時の暗号化
  • モバイルデバイスの全体暗号化
  • 監査チームメンバー別のアクセス権限設定
  • 二要素認証の実装
  • 定期的なパスワード変更
  • 暗号化されたバックアップの作成
  • データ復旧手順の文書化とテスト
  • 個人データの識別方法
  • データ最小化の原則(必要最小限のデータのみ取得)
  • インシデント発生時の報告手順
  • データ主体の権利と対応方法
  • データ処理活動の記録簿作成
  • 定期的なアクセスログの確認
  • セキュリティインシデントの記録と分析

実務例:売上分析調書のGDPR対応

田中商事株式会社 (資本金:50百万円、従業員数:120名、小売業)の売上分析調書を作成する場面を想定する。クライアントから提供された売上データには、個人顧客の氏名、住所、購入履歴が含まれている。

ステップ1:個人データの識別と分類


文書化ノート:「個人データ識別表」を調書に添付。直接識別子(氏名、住所)、間接識別子(購入パターン)、特別カテゴリ(該当なし)を分類
売上データを精査し、個人データを特定する。顧客番号001〜500は個人顧客、501〜は法人顧客として区分されている。個人顧客データには、氏名(山田太郎等)、住所(東京都渋谷区〇〇等)、購入金額、購入日が含まれる。

ステップ2:適法根拠の確認と記録


文書化ノート:「GDPR適法根拠評価書」を作成。会社法第430条第1項に基づく法定監査として、GDPR第6条第1項(c)の法的義務を根拠とする旨を記載
本監査は会社法第430条第1項に基づく法定監査であり、GDPR第6条第1項(c)の「法的義務の履行」が適法根拠となる。監査契約書第12条にも、個人データ処理に関する条項を確認。

ステップ3:データ最小化の適用


文書化ノート:監査目的に必要な項目のみを抽出した根拠を記載。住所の詳細(番地以下)は売上分析に不要として除外
売上の実在性確認には氏名と購入金額で十分。住所の番地以下、電話番号は分析から除外する。最終的な調書には匿名化したデータ(顧客A、顧客B等)のみ記載。

ステップ4:セキュリティ措置の実装


文書化ノート:調書ファイルにパスワード保護を設定。アクセス権限はシニア1名、スタッフ2名に限定。保管期間は監査完了後7年
調書ファイルにはパスワード「TanCom2024!@#」を設定。アクセス権限は田中主任監査人、佐藤監査人、鈴木監査人の3名に限定。メール送信時は別途パスワード通知。

結論


個人データを含む売上分析調書について、GDPR準拠のデータ処理を実装。適法根拠の確保、データ最小化の適用、適切なセキュリティ措置により、個人情報保護委員会の検査にも対応可能な調書を作成した。

実践チェックリスト

監査調書作成時のGDPR準拠確認項目:

  • 個人データの識別:調書に含まれる全ての個人データを特定し、直接/間接識別子、特別カテゴリを分類する
  • 適法根拠の確保:GDPR第6条第1項のいずれかの根拠を特定し、監査契約書で合意されていることを確認する
  • データ最小化の実践:監査目的に必要最小限のデータのみを処理し、不要な個人データは除外または匿名化する
  • セキュリティ措置の実装:暗号化、アクセス制御、バックアップ等の技術的措置を講じ、文書化する
  • 保管期間の設定:監基報230とGDPRの両方の要求を満たす保管期間を設定し、削除予定日を記録する
  • 最重要:データ処理の記録簿を作成し、処理活動の詳細を文書化する(GDPR第30条準拠)

よくある間違い

監査契約書の不備:GDPR第28条で要求される処理者契約の条項が欠落している(国際的な調査では、中小監査法人の約60%で確認)
過度なデータ収集:「念のため」として監査に不要な個人データも含めて調書を作成してしまう

関連コンテンツ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。