申請書の受理と書類審査・現地審査・決定と通知
申請書の受理と書類審査
受理(チェック)
郵送等で受領した申請書類については、申請書類の不足及び記載漏れを確認した後、受理するか否かを決定します。受理後、「プライバシーマーク申請・審査料請求書」を送付しますので、申請・審査料を指定の口座に速やかに振り込んでください。
書類審査
申請・審査料の振込みを確認した後、審査を開始します。受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム(PMS)等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程に準じた体制整備状況の視点から審査を行います。基本的には、「プライバシーマークの付与を申請できる事業者」としての条件を満たしていることが必要ですが、特に以下の事項については重要な条件となります。
・個人情報の管理者が指名され、個人情報保護についての組織内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
・申請までに年1回以上、個人情報保護マネジメントシステム(PMS)の周知徹底の措置(教育、研修等)を実施していること。
・申請までに1回以上、事業者内部の個人情報保護の状況を監査し必要な見直しが実施されていること。
・当該者に係わる個人情報保護に関する相談窓口が常設され、かつそれが明示されていること。
・当該者が有する個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じていること。
・企業外部への個人情報の提供、取扱いの委託を行う際には、責任分担や守秘に係わる契約を締結する等、個人情報について適切な保護を講じていること。
審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。
現地審査の流れ
書類審査が終了すると、申請事業者に対して現地審査を実施します。これは、書類上の審査において生じた疑義の確認及び個人情報保護マネジメントシステム(PMS)のとおりに体制が整備され、運用しているか等について確認するために行うものです。現地審査は、原則として2名の審査員で伺います。従って、現地審査に係わる交通費、宿泊費等は二人分をご請求します。交通費、宿泊費、日当についてはプライバシーマーク現地調査の費用に関する規程を適用します。
現地審査は基本的に以下の流れで行われます。調査時間は申請者の規模に応じて異なりますが概ね半日~1日です。
(1)代表者へのインタビュー
個人情報保護への取り組み、個人情報保護の体制、マネジメントレビュー 他
(2)個人情報保護の取り組み状況確認・質疑
事業内容、取扱う個人情報の流れ(収集・利用・保管・外部委託・廃棄・返却等)
(3)現地審査(社内審査)
CPに基づく運用が行われているか記録類の確認と合わせ運用状況(特に安全対策等)
(4)書類審査についての確認
(5)総評
認定可否の決定と通知
書類審査及び現地調査の結果に基づき、プライバシーマーク付与認定の可否を決定します。決定結果は申請者に対してプライバシーマーク付与申請結果の通知によって行います。審査の結果、改善要望事項がある場合は、文書でその旨を通知しますので指摘事項の改善確認後、合格となります。