ご挨拶
特定非営利活動法人中四国マネジメントシステム推進機構内の中四国プライバシーマーク審査センター(PMACS:Privacy Mark Assessment center in Chugoku and Shikoku)は2009年10月21日に一般財団法人日本情報経済社会推進協会(Japan Institute for Promotion of Digital Economy and Community)より、中国・四国地域を担当するプライバシーマーク指定審査機関(以下、「指定審査機関」という)指定を受けました。
プライバシーマーク付与適格決定は、法律の規定を包含するJIS Q 15001に基づいて第三者が客観的に評価する制度であることから、事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールする有効なツールとして活用することができます。
制度について
プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に準拠し、且つ、個人情報保護マネジメントシステム(以下「PMS」という)に基づいた体制の整備・運用が行われているかを審査し、付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)が審査・付与する制度です。
付与適格決定を受けた事業者は、JIPDECからプライバシーマークの付与が行われ、事業活動に関してプライバシーマークの使用が認められます。
プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを審査・付与適格決定し、その証として”プライバシーマーク”の使用を認める制度で、次の目的を持っています。
- 消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
- 適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること
審査・付与適格決定のしくみ
PMACS(中四国プライバシーマーク審査センター)では、以下の体制でプライバシーマーク制度が運営されます。
付与の対象・単位
PMACSの審査・付与適格性審査の対象は、中国・四国地域(鳥取県、島根県、岡山県、広島県、山口県、香川県、徳島県、愛媛県、高知県)に本社(本拠地)が所在する事業者です。また、プライバシーマーク付与は、法人単位となります。
その上、少なくとも次の条件を満たしている事業者であって、実際の事業活動の場で個人情報の保護を推進している必要があります。
- JIS Q 15001「個人情報保護マネジメントシステム-要求事項(注1)」に基づいた「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に即し、個人情報保護マネジメントシステム(以下「PMS」(※)という。)を定めていること。
※PMS:Personal information protection Management System - PMSに基づき実施可能な体制が整備されており、且つ、個人情報の適切な取扱いが実施されていること。
- 「プライバシーマーク付与に関する規約(PMK500)」に定める欠格事項に該当しない事業者であること。
なお、上記に該当するか否かについては、事業者自身による申請書での宣誓と、現地審査時に確認します。
-
- 注1:
- PMSは、JIS Q 15001では、「事業者が,自らの事業の用に供する個人情報について,その有用性に配慮しつつ,個人の権利利益を保護するための方針,体制,計画,実施,点検及び見直しを含むマネジメントシステム。」と定義しています。したがって、PMSは、社員等に周知されていることが必要で、その上、実行可能なものであることが求められます。
有効期間
プライバシーマーク付与の有効期間は、2年間です。以降は、2年ごとに更新を行うことができます。
なお、更新申請は、有効期間の終了する8ヶ月前から4ヶ月前までの間に行わなければなりません。
プライバシーマーク審査・付与適格決定に係る費用
(1)プライバシーマーク審査にかかる料金と審査時間
-
- 備考1:
- 申請料等の振込後、審査を開始します。振込後、申請事業者の都合により審査前に申請を取り下げる場合であっても申請料等は返却いたしません。
- 備考2:
- 審査料には、審査関係事務、書類審査、現地審査、報告書作成の各費用を含みます。
- 備考3:
- 現地審査に要する標準時間の目安は、5時間から8時間です。ただし、事業所が分散している事業者、取扱う個人情報の種類が多い事業者等の場合には標準時間を超えることがありますので、事前に協議して現地審査時間と現地審査料を決定します。下記の表に示す時間を超えた場合は、1時間当たり20,952円(消費税10%込)を追加請求できるものとします。
- 備考4:
- 尚、上記金額以外、現地審査にかかる交通費、宿泊費等はPMACS旅費規程により、現地審査後に合わせて別途請求いたします。
事業者の区分(小規模、中規模、大規模)は、次の3項目を基準として一律に判定し、次のページのように分類します。
- 登記された資本金の額または出資の総額
- 従業者数
- 業種
資本金の額または出資の総額が登記されていない無限責任の事業者(合名会社、合資会社等)の場合は、従業者数と業種のみで判定します。同様に、資本金の額または出資の総額が登記されていない一般社団法人や一般財団法人等も、従業者と業種のみで判定します。 なお、事業者が複数の事業を行っている場合は、プライバシーマーク付与適格性審査申請時にご提出された書類(※注)に基づき、売上高の一番高い事業を当該事業者の業種とします。 ※注:【申請様式2】の「事業の概要」欄には、売上高の高い順に事業を記入いただくことになっています。
①資本金の額または出資の総額の登記がある事業者
株式会社(特例有限会社含む)、合同会社、事業協同組合など、資本金の額または出資の総額が登記されている事業者は、以下の規模分類に従います。
②資本金の額または出資の総額の登記がない事業者
一般社団法人、一般財団法人、公益社団法人、公益財団法人、特定非営利活動法人、学校法人、社会福祉法人、弁護士法人などの「士」業法人、合名会社、合資会社、民法上の組合、個人事業主など、資本金の額または出資の総額が登記されていない事業者は、以下のように従業者数と業種のみで判断します。
-
- 備考1:
- 資本金の額または出資の総額の区切りおよび従業者数の区切りは中小企業基本法に基づいています。 従業者数は、JIS Q 15001および「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)で定める「従業者」の数であり(「従業者」については下記備考3. を参照。)、中小企業基本法でいう「従業員」とは異なります。 業種分類は、「日本標準産業分類(総務省)」に基づいたプライバシーマーク独自の分類です。 このように、この規模分類は、各種基準を組み合わせたプライバシーマーク制度独自の分類です。
- 備考2:
- 「製造業・その他」の業種には、卸売業、小売業(飲食店を含む)およびサービス業を除くすべての業種が含まれます。製造業の他に、例えば、鉱業、建設業、電気・ガス・熱供給・水道業、運輸・通信業、金融・保険業、不動産業などの業種もこの分類に含まれます。
- 備考3:
- 従業者とは、JIS Q 15001および「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)に基づき、申請事業者の組織内で直接間接に事業者の指揮監督を受けて業務に従事している者をいい、雇用関係にある者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)だけでなく、取締役、執行役、理事、監査役、監事、派遣社員等も含みます。なお、役員は常勤/非常勤にかかわらず登記簿記載の全員が対象となります。
- 備考4:
- 資本金の額または出資の総額の確定は、プライバシーマーク付与適格性審査申請時にご提出された書類(※注)に基づき行います。
- 備考5:
- 従業者数の確定は、現地審査時点での人数で行います。
- 備考6:
- 労働者派遣事業者のうち、いわゆる「登録型派遣」を行っている事業者の場合、派遣している実働スタッフも従業者に該当します(個人情報保護マネジメントシステムの適用対象です)が、事業者の規模の判定においては、「登録型派遣」の要員は従業者の数に含めません。
- 備考7:
- プライバシーマーク制度では、同一人が個人情報保護管理者と個人情報保護監査責任者を兼務することを認めていないため、従業者(上記のとおり従業者には役員を含む。)が一人しかいない事業者の場合は、プライバシーマーク付与の対象となりません。
プライバシーマークのマーク付与登録にかかる料金は次の通りです。
-
- 備考:
- マーク付与登録料は2年間の料金です。PMACS付与適格決定後、JIPDECより請求されますので付与契約時に一括して納めて下さい。
現地審査後ならびに付与適格決定後、事業又は体制の著しい変更等が生じた場合は、必要に応じて現地審査を再度実施し、以下の料金表に基づき費用を請求します。
-
- 備考:
- 宿泊費、旅費、移動時間に係る費用は、PMACS旅費規程により、再現地審査終了後に別途請求します。
プライバシーマーク付与適格決定後、個人情報の漏えい事故の発生やプライバシーマークの不正使用が発見された場合など、PMACSが調査の必要があると認めるときは、付与事業者と協議の上、現地調査を実施し、以下の料金表に基づき費用を請求します。
事故等の報告
▼事故報告書の様式
- 詳しい内容は個人情報の取扱いに関する事故の報告について(JIPDECのWebサイト)をご覧ください。
- 事故報告の期限(速報・確報)については事故報告の期限(速報・確報)(JIPDECのWebサイト)をご覧ください。
- 個人情報の取扱いに関する事故等の報告書(JIPDECのWebサイト)からPDFをダウンロードし、宛先を中四国MS機構にしてください。
ダウンロードしたPDFは、原則、電子メールに添付して中四国MS機構(E-mail: info@ms-kikoh.or.jp)にお送りください。
各項目についてはチェック漏れ、記入漏れの無いように記載してください。
報告書の取扱い
当該報告書は、報告頂いた個人情報の取扱いにおける事故等の欠格性を判断するためにPMACSで利用します。また、 事故等の内容によっては、プライバシーマーク審査会での審議を経て決定する必要があることから、その場合には報告書の複写を審査会に提出することもあります。
また、認定個人情報保護団体である一般財団法人日本情報経済社会推進協会の対象事業者の場合には、一般財団法人日本情報経済社会推進協会を通じて、個人情報保護委員会への報告に 利用いたします。
なお、本報告書(原本)は、 PMACSで保管・管理いたします。