ホーム > 申請・審査 > 審査について

審査について

受理

受付した申請書類の記載内容について確認します(形式審査)。
形式審査完了後、「プライバシーマーク付与適格性審査に係る申請書類受領書」を送付します。

文書審査

受理した申請書類のうち、個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)がプライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針に適合しているか、主に以下の2つの観点で審査します。

※【申請様式6】個人情報保護マネジメントシステム文書の一覧、【申請様式7】「個人情報保護マネジメントシステム構築・運用指針」との対応表を参考にします。
※文書審査結果は、原則として現地審査実施日の3週間前を目安にプライバシーマーク会員マイページへアップロードされます。(紙の申請書類で受付し、紙で審査が進行している場合は郵送となります。)
※文書審査にて不備があると判断された事項については、現地審査までに改善をお願いします。(改善状況は現地審査で確認します)

現地審査

書類による審査が終了すると、申請事業者に対して現地審査を実施します。
これは、書類上の審査において生じた疑義の確認、および 個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。
※現地審査終了後、審査料(料金表参照)、現地審査に係る交通費、宿泊費をご請求いたします。

現地審査では、概ね以下のようなことを行います。

  1. 代表者へのインタビュー
    ・個人情報に関する事故の有無確認
    ・事業内容/経営方針
    ・プライバシーマーク申請のきっかけ
    ・個人情報保護方針とその周知方法
    ・個人情報保護管理者・監査責任者の任命
    ・マネジメントレビュー
  2. 運用状況の確認
    申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
    ・個人情報を取り扱う業務の確認
    ・特定の手順
    ・教育・訓練
    ・監査
    ・委託契約・選定基準
    ・リスクの認識と処理
    輸送/オンサイト委託/ネットワーク
    不正アプリケーション/ウィルス/リモートアクセス
    ・電話帳データ等情報主体の同意を取れてないものの利用・提供の有無
    ・情報主体からの要求に対する対応
  3. 現場での実施状況の確認
    ・個人情報保護方針の周知状況
    ・物理的アクセス制御
     -入口・マシン室・倉庫・書庫・金庫・引出し
     -鍵管理
    ・論理的アクセス制御
     -クライアント/サーバ
     -暗号化
     -暗号鍵管理
    ・バックアップ
     -記録媒体の管理
    ・記録
     -授受、破棄等の確認書類
     -入退室、アクセスログ
     -管理台帳
    ・オンライン特有の処置
     -個人情報保護方針の掲載
     -収集時の SSL の使用
     -サービス、業務毎の“同意文言”
     -Cookie などのウェブバグの利用の有無
     -クロスサイトスクリプティング(XSS)などのセキュリティ対策
  4. 総括
    ・指摘事項等

申請・審査

このページの先頭へ