受理
受付した申請書類の記載内容について確認します(形式審査)。
形式審査完了後、「プライバシーマーク付与適格性審査に係る申請書類受領書」を送付します。
文書審査
受理した申請書類のうち、個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)がプライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針に適合しているか、主に以下の2つの観点で審査します。
- 内部規程がプライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針に適合しているか
- 全従業者が内部規程を遵守するために、具体的な手順や手段等が内部規程に定められているか
※【申請様式6】個人情報保護マネジメントシステム文書の一覧、【申請様式7】「個人情報保護マネジメントシステム構築・運用指針」との対応表を参考にします。
※文書審査結果は、原則として現地審査実施日の3週間前を目安にお送りしております。
※文書審査にて不備があると判断された事項については、現地審査までに改善をお願いします。(改善状況は現地審査で確認します)
現地審査
書類による審査が終了すると、申請事業者に対して現地審査を実施します。
これは、書類上の審査において生じた疑義の確認、および 個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。
※現地審査終了後、審査料(料金表参照)、現地審査に係る交通費、宿泊費をご請求いたします。
現地審査では、概ね以下のようなことを行います。
- 代表者へのインタビュー
・個人情報に関する事故の有無確認
・事業内容/経営方針
・プライバシーマーク申請のきっかけ
・個人情報保護方針とその周知方法
・個人情報保護管理者・監査責任者の任命
・マネジメントレビュー - 運用状況の確認
申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
・個人情報を取り扱う業務の確認
・特定の手順
・教育・訓練
・監査
・委託契約・選定基準
・リスクの認識と処理
輸送/オンサイト委託/ネットワーク
不正アプリケーション/ウィルス/リモートアクセス
・電話帳データ等情報主体の同意を取れてないものの利用・提供の有無
・情報主体からの要求に対する対応 - 現場での実施状況の確認
・個人情報保護方針の周知状況
・物理的アクセス制御
-入口・マシン室・倉庫・書庫・金庫・引出し
-鍵管理
・論理的アクセス制御
-クライアント/サーバ
-暗号化
-暗号鍵管理
・バックアップ
-記録媒体の管理
・記録
-授受、破棄等の確認書類
-入退室、アクセスログ
-管理台帳
・オンライン特有の処置
-個人情報保護方針の掲載
-収集時の SSL の使用
-サービス、業務毎の“同意文言”
-Cookie などのウェブバグの利用の有無
-クロスサイトスクリプティング(XSS)などのセキュリティ対策 - 総括
・指摘事項等