ホーム > 申請・審査 > 報告が必要な事項

報告が必要な事項

申請事項の変更

プライバシーマークの付与適格性審査をご申請いただいてから、付与登録期間中に、以下の事項に変更が生じた場合には、審査機関への報告が必要です。
「変更報告書」を作成の上、下記「報告先」にお送りください。

*封筒の表に「変更報告書在中」とご記入ください。
*代表者印の押印、消費者相談窓口担当者の変更報告は不要です。

「プライバシーマーク付与に係る変更報告書」の提出について

No. 変更事項 報告義務 提出書類
1 事業者名 変更の都度 プライバシーマーク付与に係る変更報告書
2 登記上の本店所在地 変更の都度 プライバシーマーク付与に係る変更報告書
3 代表者名 審査中
(更新申請時、更新申請から
付与契約締結までの間)(※1)
プライバシーマーク付与に係る変更報告書
および謄本の写し(※2)
4 申請担当者/連絡先 変更の都度 プライバシーマーク付与に係る変更報告書
5 個人情報保護管理者 変更の都度 プライバシーマーク付与に係る変更報告書
6 個人情報保護監査責任者 不要

※1:新規申請中の事業者においても、審査中に変更があった場合、変更報告書の提出が都度必要です。
※2:代表者の表記とその氏名が確認できるページの写しを提出ください。

必要書類はこちらよりダウンロードください。

個人情報の取扱いに関する事故

2022年4月1日より事故対応および報告様式等が一部変更になりました。
・事故対応のポイント解説動画をJIPDECより公開されています。
「構築・運用指針の解説動画」ページからご覧ください。
 動画「プライバシーマーク制度における事故対応について」
※(出典)JIPDEC https://privacymark.jp/system/guideline/guideline_movie.html
・報告様式は「書類ダウンロード」のページをご覧ください。

一般財団法人日本情報経済社会推進協会(JIPDEC)の「プライバシーマーク 付与に関する規約」第11条により、事業者からの事故報告が義務付けられております。

プライバシーマーク付与事業者、申請中の事業者および申請検討中事業者は、個人情報に関わる事故等が発生した場合、下記の要領に基づき、ご報告をお願いいたします。個人情報の取扱いにおける事故等の報告を受けて、「プライバシーマーク制度における欠格事項及び判断基準」に基づく判断・対応を行います。

プライバシーマーク制度における事故等の定義

プライバシーマーク制度における事故等とは、「プライバシーマーク付与に関する規約(PMK500)」により『個人情報の外部への漏えいその他本人の権利利益の侵害(以下「事故等」という)』と位置付けており、具体的には、同規約で示している次の事象のことをいいます。

①漏えい、 ②紛失、 ③滅失・き損、 ④改ざん、正確性の未確保、 ⑤不正・不適正取得、 ⑥目的外利用・提供、⑦不正利用、 ⑧開示等の求め等の拒否、 ⑨上記①~⑧のおそれ

※付与事業者の皆様におかれましては、2022年4月1日施行の「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」内「J.4.4.2 緊急事態への準備」への対応のため、上記「事故等の定義」に則り、「漏えい、滅失、き損」の他、「改ざん、正確性の未確保」「不正・不適正取得」「目的外利用・提供」「不正利用」「開示等の求め等の拒否」(いずれも、おそれを含む)を事故報告の対象とし、文書化をおこなってください。また、同様に「報告の対象」「提出までの目安の日数」「報告先」等も含める必要があります。

報告対象事業者

  1. 当協会のプライバシーマーク付与事業者
  2. 当協会にプライバシーマーク付与適格性審査の申請をしている事業者
  3. 当協会にプライバシーマーク付与適格性審査の申請することを検討している事業者

事故報告について

報告対象事業者において事故等が発生した場合は、発覚した日から原則として30日(以下の3.の場合は60日)以内に、審査機関へ事故報告を行ってください。

また、次の事故等に該当する場合は、上記の報告に加え、「速報」として概ね発覚した日から3~5日以内に審査機関へ報告を行ってください。(速報の場合、全てをご記入いただく必要はありません。わかる範囲でご記入ください。)

  1. 要配慮個人情報が含まれる事故等が発生し、又は発生したおそれがある事態
  2. 不正に利用されることにより財産的被害が生じるおそれがある事故等が発生し、又は発生したおそれがある事態
  3. 不正の目的をもって行われたおそれがある事故等が発生し、又は発生したおそれがある事態
  4. 個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態
  5. その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態

事故の報告先

報告する場合は、報告書の様式をダウンロードのうえ必要事項を入力いただき、メール添付にて提出してください。
≫事故報告書の様式は「書類ダウンロード」ページよりダウンロードしてください。

【事故報告書の提出方法について】
報告書の提出は下記メールアドレスまでお送りください。
・報告書(PDF)名称:【事故報告書】●●●株式会社 (事業者名を記入) としてください
・メールの件名 「速報」の場合:【事故速報提出】●●●株式会社
        「確報」の場合:【事故報告書提出】●●●株式会社
・パスワード付きメール添付とし、パスワードは別送ください。

事故報告に関するお問い合わせについてもご連絡ください。
・発生した事象が事故に該当するかどうかのご確認
・事故報告書提出にあたってのご質問等(記載方法など)
JUAS事故担当:sec-icdt@juas.or.jp (@を半角に変更してください。)

審議結果の通知(報告書提出後)

報告された事故等については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルの判定を行い、外部有識者を交えた委員会の審議を経て措置を決定し、事業者には文書にてその結果を通知します。

個人情報保護委員会への報告について

2022年4月1日施行の改正個人情報保護法により、漏えい等が発生し個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告が義務化されました。以下の個人情報保護委員会規則で定められた漏えい等が発生した場合は、個人情報保護委員会に「速報」及び「確報」として報告を行ってください。

  1. 要配慮個人情報が含まれる事故等が発生し、又は発生したおそれがある事態
  2. 不正に利用されることにより財産的被害が生じるおそれがある事故等が発生し、又は発生したおそれがある事態
  3. 不正の目的をもって行われたおそれがある事故等が発生し、又は発生したおそれがある事態
  4. 個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態

報告書の取扱い

当該報告書は、報告いただいた個人情報の取扱いにおける事故等の欠格性を判断するために、JUAS セキュリティセンターで利用します。また、付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)への報告にも利用します。なお、本報告書は、JUAS セキュリティセンターで保管・管理します。
JUAS認定個人情報保護団体対象事業者の場合には、認定個人情報保護団体事務局へ共有します。

合併・分社等による組織変更

合併・分社化については、その形態や、組織変更の時期{ 付与適格決定後、申請中(現地審査実施前、現地審査実施後)}によって手続、必要書類が異なります。
合併等による組織変更報告様式(類型3.5)、(類型4)書類をご提出ください。

お手数ですが、合併分社等による事業承継や新たに事業を立ち上げることが明らかになった時点で、「合併・分社等に伴うプライバシーマーク付与の地位の継続に関する手順」[JIPDEC HP]をご確認の上、JUASセキュリティセンターまでご相談ください。
なお、合併・分社等による組織変更報告の届出先は、 付与適格決定を受けた指定機関となります。

報告先

一般社団法人日本情報システム・ユーザー協会(JUAS)
セキュリティセンター
〒103-0012
東京都中央区日本橋堀留町2-4-3 日本橋堀留町2丁目ビル8階地図
TEL:03-3249-4103
E-mail:sec@juas.or.jp(@を半角に変更してください。)
受付時間 10:00~17:00(土、日、祝日休み)

申請・審査

このページの先頭へ