ホーム > 申請・審査 > 審査について

審査について

受理

申請書類の記載内容について不備がないか、申請資格があるか等の形式審査を行います。
問題がなければ、申請を受理し、「申請書類受領書」を送付します。
問題がある等の場合は、申請書類を申請事業者の費用負担で返却させていただきます。

文書審査

受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム(PMS)などの個人情報保護の行動指針を定めた規程類の整備状況、それらの規程類に準じた体制整備状況の視点から文書審査を行います。
基本的には、「付与の対象・単位」としての条件を満たしていることが必要ですが、特に下記の事項については重要な条件となります。

  1. 個人情報の管理者が指名され、個人情報保護についての社内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
  2. 申請までに年1回以上、PMSの周知徹底の措置(教育、研修等)を実施していること。
  3. 申請までに1回以上、事業者内部の個人情報の保護の状況を監査し、代表者による必要な見直しが実施されていること。
  4. 当該者に係る個人情報保護に関する相談窓口が常設され、かつそれが消費者に明示されていること。
  5. 当該者が有する個人情報について、外部からの侵入 または内部からの漏えいが発生しないよう適正な安全措置を講じていること。
  6. 企業外部への個人情報の提供、取扱いの委託を行う際には、責任分担や守秘に係る契約を締結する など、個人情報について適切な保護が講じられるよう措置していること。

審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。

現地審査

書類による審査が終了すると、申請事業者に対して現地審査を実施します。
これは、書類上の審査において生じた疑義の確認、および 個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。
※現地審査終了後、審査料(料金表参照)、現地審査に係る交通費、宿泊費をご請求いたします。

現地審査では、概ね以下のようなことを行います。

  1. 代表者へのインタビュー
    ・個人情報に関する事故の有無確認
    ・事業内容/経営方針
    ・プライバシーマーク申請のきっかけ
    ・個人情報保護方針とその周知方法
    ・個人情報保護管理者・監査責任者の任命
    ・マネジメントレビュー
  2. 運用状況の確認
    申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
    ・個人情報を取り扱う業務の確認
    ・特定の手順
    ・教育・訓練
    ・監査
    ・委託契約・選定基準
    ・リスクの認識と処理
    輸送/オンサイト委託/ネットワーク
    不正アプリケーション/ウィルス/リモートアクセス
    ・電話帳データ等情報主体の同意を取れてないものの利用・提供の有無
    ・情報主体からの要求に対する対応
  3. 現場での実施状況の確認
    ・個人情報保護方針の周知状況
    ・物理的アクセス制御
     -入口・マシン室・倉庫・書庫・金庫・引出し
     -鍵管理
    ・論理的アクセス制御
     -クライアント/サーバ
     -暗号化
     -暗号鍵管理
    ・バックアップ
     -記録媒体の管理
    ・記録
     -授受、破棄等の確認書類
     -入退室、アクセスログ
     -管理台帳
    ・オンライン特有の処置
     -個人情報保護方針の掲載
     -収集時の SSL の使用
     -サービス、業務毎の“同意文言”
     -Cookie などのウェブバグの利用の有無
     -クロスサイトスクリプティング(XSS)などのセキュリティ対策
  4. 総括
    ・指摘事項等

申請・審査

このページの先頭へ