プライバシーマーク付与適格性審査手続き

審査手続きは、以下の手順でおこないます。(下図参照)

プライバシーマーク付与申請手続き

(1)申請書類の送付

 PMACSに申請しようとする事業者は、申請書類の様式に従い、プライバシーマーク付与適格性審査申請書を作成し、必要書類と一緒にPMACS宛に送付します。

  1. 新規申請の場合

    個人情報保護マネジメントシステム(PMS)が申請までに少なくともPDCAサイクルを1回転以上運用されていることが必要です。従って、教育実施サマリー、監査実施サマリーなどの諸記録については、その期間内に作成したものを提出します。

  2. 更新申請の場合

    プライバシーマーク付与の有効期間の満了を迎える事業者が更新申請をする場合は、プライバシーマーク付与の有効期間の満了前、8ケ月前から4ケ月前までの間とします。
     

  3. プライバシーマーク付与適格性審査申請書類一式

    新規申請及び更新申請には、「申請書類・申請方法」の申請書類一覧のそれぞれの申請書類を用意します。

(2)申請の受取・書類審査(欠格事項の確認を含む)・審査料等の請求

 申請受付窓口及び郵送等で受け取った申請書類については、まず申請書類の不足及び記載漏れの確認、申請資格があるか等の審査をいたします。
 申請書類が全て揃っている場合は書類を預かり、「プライバシーマーク付与適格性審査申請に係る申請書」 及び「審査料等請求書」を送付いたしますので、指定の口座に速やかに振り込んでください。
 申請書類が全て揃っていない場合は、申請事業者の費用負担で返却させていただきます。

(3)申請受理

 審査料等の入金確認後、上記の書類審査に問題がない場合は、文書審査に移行します。

(4)文書審査

 受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム(PMS)等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程類に準じた体制整備状況の視点から審査を行います。
 基本的には、先に示した「プライバシーマークの付与適格性審査を申請できる事業者」としての2つの条件を満たしていることが必要ですが、特に下記の事項については重要な条件となります。

  1. 個人情報の管理者が指名され、個人情報保護についての社内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
  2. 申請までに年1回以上、個人情報保護マネジメントシステム(PMS)の周知徹底の措置(教育、研修等)を実施していること。
  3. 申請までに1回以上、事業者内部の個人情報の保護の状況を監査していること。
  4. 当該者に係る個人情報保護に関する相談窓口が常設され、かつそれが消費者に明示されていること。
  5. 当該者が有する個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じていること。
  6. 企業外部への個人情報の提供、取扱いの委託を行う際には、 責任分担や守秘に係る契約を締結する等、個人情報について適切な保護が講じられるよう措置していること。
 審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。

(5)現地審査

 文書による審査が終了すると、申請事業者に対して現地審査を実施します。
 これは、文書上の審査において生じた疑義の確認、および個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。

  1. 代表者へのインタビュー
    • 個人情報に関する事故の有無確認
    • 事業内容/経営方針
    • プライバシーマーク申請のきっかけ
    • 個人情報保護方針とその周知方法
    • 個人情報保護管理者・監査責任者の任命
    • マネジメントレビュー
  2. 運用状況の確認
     申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
    • 個人情報を取り扱う業務の確認
    • 特定の手順
    • 教育・訓練
    • 監査
    • 委託契約・選定基準
    • リスクの認識と処理
        輸送/オンサイト委託/ネットワーク
        不正アプリケーション/ウィルス/リモートアクセス
    • 電話帳データ等本人の同意を取れてないものの利用・提供の有無
    • 本人からの要求に対する対応
  3. 現場での実施状況の確認
    • 個人情報保護方針の周知状況
    • 物理的アクセス制御
        入口・マシン室・倉庫・書庫・金庫・引出し
        鍵管理
    • 論理的アクセス制御
        クライアント/サーバ
        暗号化
      •   暗号鍵管理
    • バックアップ
        記録媒体の管理
    • 記録
        授受、破棄等の確認書類
        入退室、アクセスログ
        管理台帳
    • オンライン特有の処置
        個人情報保護方針の掲載
        個人情報取得時のSSLの使用
        業務毎の“同意文言”
        Cookieなど利用有無
        クロスサイトスクリプティング(XSS)、
      SQLインジェクションなどのセキュリティ対策
  4. 総括
     講評・指摘事項等の説明

(6)旅費請求・改善確認

 現地審査に係る交通費、宿泊費(PMACSで定めた旅費規程を適用)については、現地審査終了後請求書を送付しますので、速やかに指定の口座に振り込んで下さい。振り込みのない間、審査を中止することが出来るものとします。
 文書審査及び現地審査においては、審査の過程でPMS(個人情報保護マネジメントシステム)の不備があった場合、その補正や運用状況の改善などの指摘をすることがあります。指摘を受けたときには、指摘にしたがって速やかに改善を行う必要があります。

(7)審査判定委員会・付与適格決定の通知

 プライバシーマーク付与適格性の認否を行う審査判定委員会(外部有識者で構成)は、定例で月1回程度開催します。
 付与適格決定後、 PMACSは「付与適格決定通知書」を申請事業者に送付します。なお、否認決定が行われた場合は、否認となった理由を付記の上、「否認決定通知書」を申請事業者に送付します。
※機密保持等
 審査判定委員会の委員、審査員、職員は機密保持の誓約書等を提出し、審査の課程で知り得た情報の機密を保持し、法令に定める場合を除いて第三者に対して開示いたしません。

(8)プライバシーマーク付与登録料の請求

 プライバシーマーク付与適格決定の通知を受けた申請者は、指定の期日までにプライバシーマーク付与登録料として、付与の有効期間2年間分に相当する金額を「プライバシーマーク付与登録料請求書」に基づき一括して付与機関であるJIPDEC(一般財団法人日本情報経済社会推進協会)に振 り込んでください。
 ※プライバシーマーク付与登録料の詳細につきましては、4.プライバシーマーク制度における料金をご覧下さい。

(9)プライバシーマーク付与契約書と登録証の交付

 付与機関であるJIPDEC(一般財団法人日本情報経済社会推進協会)は、付与登録料の振込を確認後、当該事業者に対してプライバシーマーク付与契約書と登録証を交付します。プライバシーマーク付与契約書は、プライバシーマーク使用に関する事項を定めたもので、契約期間は2年間とします。(更新の手続きをとって使用の更新を行うことができます。)

(10)付与事業者の公表・WEB公開

 JIPDECと付与事業者とのプライバシーマークの付与契約の完了を受け、JIPDECとPMACSのWEB上に公表します。

申請事項の変更

 申請書類の提出後及び付与適格決定後に、申請された事項に変更があった場合には、すみやかにPMACSに報告が必要です。報告は以下の事項に従って作成し、PMACS宛に送付して下さい。

〔変更報告が必要な事項〕

  1. 事業者名
  2. 登記上の本店所在地
  3. 代表者(審査申請から付与付与契約締結までの間に変更があった場合のみ)
  4. 個人情報保護管理者
  5. 申請担当者
  6. 申請担当者の連絡先(勤務地、電話番号、E-Mailアドレス等)

※1: 事業者名、本店所在地が変更になる場合、法人番号を必ず記入してください。
※2 :代表者変更の場合、登記事項証明書の代表者氏名が確認できるページのコピーを添付してください。
※3: メール添付の提出も可能です。(HP上部に記載のアドレスinfo@~宛)

送付先
〒732-0821広島県広島市南区大須賀町17-5
シャンボール広交204号室
NPO法人中四国マネジメントシステム推進機構
中四国プライバシーマーク審査センター宛
様式:「プライバシーマーク付与に係る変更報告書」
※1ページ目に記入要領がございます。