2　監査責任者及び監査担当者は，独立して公正な監査を行うため，監査を受ける部局等(以下「被監査部門」という。)における業務との関連性を考慮の上，委員長が選考し，指名する。

2　委員長は，情報セキュリティの状況の変化に応じて必要と判断した場合は，監査責任者に対して，監査計画で計画された事項以外の監査の実施を指示する。

2　監査実施チームは，被監査部門に対して，監査実施上必要なもの一切の提出を求めるとともに，監査に必要な説明を求めることができる。

3　被監査部門は，前項の要求を正当な理由なく拒むことができない。

4　第2項の要求を拒む場合，被監査部門は，その理由を記載した書面を委員長に提出し，承認を得なければならない。

5　第1項の監査にあたっては，委員会は点検事項を作成し，各部局等へ事前の点検を行うよう通知するものとする。

6　監査実施チームは，監査を実施したときは，当該監査の記録を取りまとめた監査調書を作成するものとする。

7　監査実施チームは，監査を実施するにあたり，被監査部門の日常業務を著しく妨げることのないように配慮しなければならない。

8　監査実施チームは，監査終了後，その結果について被監査部門に説明，提示を行い，認識合せを行う。

9　監査実施上知り得た事項を，正当な理由なく他に漏らし，又は自己のために窃用してはならない。

10　監査責任者は，監査調書に基づき監査実施報告書を作成し，委員長へ提出する。

2　委員長は，前項の規定により，監査実施報告書を承認したときは，監査報告書を作成し，CISOへ提出するものとする。なお，監査報告書には，委員長は，委員会における監査結果への指摘事項その他の意見を取りまとめた総評を付すものとする。

3　CISOは，監査報告書に基づき，情報セキュリティ規則の実施状況が不十分であると判断した場合は，当該部局等に対し改善命令を出すものとする。

4　委員会は，監査の結果を踏まえ，当該被監査部門以外の部局等においても同種の課題及び問題点がある可能性が高く，かつ，緊急に当該課題等の確認が必要と判断した場合には，CISOの承認を得て，情報セキュリティ管理委員会に対し，当該課題等への対応，規則の見直し等の必要性について審議するよう，勧告するものとする。

5　部局等情報セキュリティ最高責任者は，監査報告書に基づいてCISOから改善を指示された事案について，対応計画を作成し，報告する。

6　監査責任者は，委員長の承認の下，監査の指摘事項に対する改善状況を確認するため，被監査部門と実施時期を調整の上，フォローアップ監査を実施する。

この規程は，令和3年6月18日から施行する。