• 
• 
• 

受理

受付した申請書類の記載内容について確認します（形式審査）。
形式審査完了後、「プライバシーマーク付与適格性審査に係る申請書類受領書」を送付します。

文書審査

受理した申請書類のうち、個人情報保護マネジメントシステム(PMS）文書（内部規程・様式）がプライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針に適合しているか、主に以下の2つの観点で審査します。

• 内部規程がプライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針に適合しているか
• 全従業者が内部規程を遵守するために、具体的な手順や手段等が内部規程に定められているか

※【申請様式6】個人情報保護マネジメントシステム文書の一覧、【申請様式7】「個人情報保護マネジメントシステム構築・運用指針」との対応表を参考にします。
※文書審査結果は、原則として現地審査実施日の3週間前を目安にプライバシーマーク会員マイページへアップロードされます。（紙の申請書類で受付し、紙で審査が進行している場合は郵送となります。）
※文書審査にて不備があると判断された事項については、現地審査までに改善をお願いします。（改善状況は現地審査で確認します）

現地審査

書類による審査が終了すると、申請事業者に対して現地審査を実施します。
これは、書類上の審査において生じた疑義の確認、および 個人情報保護マネジメントシステム（PMS）の通りに体制が整備され、運用しているか等について確認するために行うものです。
※現地審査終了後、審査料（料金表参照）、現地審査に係る交通費、宿泊費をご請求いたします。

現地審査では、概ね以下のようなことを行います。

1. 代表者へのインタビュー
   ・個人情報に関する事故の有無確認
   ・事業内容/経営方針
   ・プライバシーマーク申請のきっかけ
   ・個人情報保護方針とその周知方法
   ・個人情報保護管理者・監査責任者の任命
   ・マネジメントレビュー
2. 運用状況の確認
   申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
   ・個人情報を取り扱う業務の確認
   ・特定の手順
   ・教育・訓練
   ・監査
   ・委託契約・選定基準
   ・リスクの認識と処理
   輸送／オンサイト委託／ネットワーク
   不正アプリケーション／ウィルス／リモートアクセス
   ・電話帳データ等情報主体の同意を取れてないものの利用・提供の有無
   ・情報主体からの要求に対する対応
3. 現場での実施状況の確認
   ・個人情報保護方針の周知状況
   ・物理的アクセス制御
   　-入口・マシン室・倉庫・書庫・金庫・引出し
   　-鍵管理
   ・論理的アクセス制御
   　-クライアント／サーバ
   　-暗号化
   　-暗号鍵管理
   ・バックアップ
   　-記録媒体の管理
   ・記録
   　-授受、破棄等の確認書類
   　-入退室、アクセスログ
   　-管理台帳
   ・オンライン特有の処置
   　-個人情報保護方針の掲載
   　-収集時の SSL の使用
   　-サービス、業務毎の“同意文言”
   　-Cookie などのウェブバグの利用の有無
   　-クロスサイトスクリプティング(XSS)などのセキュリティ対策
4. 総括
   ・指摘事項等

• 審査方針
• 申請から付与までの流れ
  • - 電子化の概要
  • - 申請の流れ
  • - 審査について
  • - 付与適格決定
• 新規申請の手続き
• 更新申請の手続き
• 申請事項の変更
• 合併・分社等による組織変更
• 個人情報の取扱いに関する事故報告