一般財団法人関西情報センター(KIIS)プライバシーマーク審査グループ

　　

プライバシーマークの審査業務は、「プライバシーマーク付与適格性審査に関する標準約款」に則り実施いたします。

Ⅰ．【申請から付与までの流れ】

１．申請の受付

受け取った申請書類については、申請書類の不足及び記載漏れを確認します。
申請書類に不備がない場合は、請求書を送付しますので、プライバシーマーク申請料を指定口座に速やかに振り込んで下さい。
記載内容に不備がある等の場合は、申請事業者の費用負担で申請書類を返却させていただきます。

なお、更新申請の手続きの場合は、申請書類を指定審査機関に提出し、更新のための審査が必要です。

２．申請受理

申請料の入金を確認した後、記載内容に不備がないか、申請資格があるか等の形式審査を行います。
申請書類の記載内容に不備がある等の場合、申請事業者の費用負担で再提出いただく場合があります。
不備がない場合は、申請を受理し、プライバシーマーク付与適格性に係る申請書類の「受領書」を送付し、審査を開始いたします。

３．文書審査

受理後の申請書類のうち、個人情報保護マネジメントシステム（ＰＭＳ）文書（内部規程・様式）の審査を行います。文書審査では、以下の２つの観点から審査を実施します。

　

①　内部規程のJIS Q 15001への適合状況

②　すべての従業者がJIS Q 15001に適合した内部規程を遵守し、個人情報の保護を実現するための、具体的な手順、手段等の規定状況。

• 最低限、以下に関する具体的な手順、手段等を内部規程に定めることが必要です。
• ●個人情報を特定する手順に関する規定
• ●法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
• ●個人情報に関するリスクの認識、分析及び対策の手順に関する規定
• ●事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
• ●緊急事態（個人情報が漏えい、滅失又はき損をした場合）への準備及び対応に関する規定
• ●個人情報の取得、利用及び提供に関する規定
• ●個人情報の適正管理に関する規定
• ●本人からの開示等の求めへの対応に関する規定
• ●教育に関する規定
• ●個人情報保護マネジメントシステム文書の管理に関する規定
• ●苦情及び相談への対応に関する規定
• ●点検に関する規定
• ●是正処置及び予防処置に関する規定
• ●代表者による見直しに関する規定
• ●内部規程の違反に関する罰則の規定

※内部規程の構成、名称等は事業の実態を踏まえて作成されるものであり、上記通りの構成とする必要はありません。

　　　

※内部規程の構成を確認するため、申請時に提出された「個人情報保護マネジメントシステム（PMS）文書（内部規程・様式）の一覧」、「JIS Q 15001要求事項との対応表」を参考にする場合があります。

　　　

※文書審査結果は、審査後、現地審査実施までに送付します。文書審査における指摘に対して、現地審査までに内部規程・様式の改善をお願いします。現地審査時に改善状況を確認します。尚、文書審査の結果によっては、現地審査の実施（時期および可否等）につき、別途、ご相談をする場合があります。

４．現地審査

＜概要＞

文書審査が終了すると、現地審査を実施します。
これは、文書審査において生じた疑義の確認とともに、個人情報保護マネジメントシステム（ＰＭＳ）の体制の整備と運用等について確認するために行うものです。
審査時間に関しては、プライバシーマーク制度の概要［現地審査時間］を参照ください。（移動が必要な場合は複数日になる場合もあります）
現地審査では、概ね次のことを行います。

＜代表者へのインタビュー＞

• ●個人情報に関する事故の有無確認
• ●事業内容/経営方針
• ●プライバシーマーク申請のきっかけ
• ●個人情報保護方針とその周知方法
• ●個人情報保護管理者・個人情報保護監査責任者の任命
• ●代表者として認識しているリスク
• ●事業者の代表者による見直し（マネジメントレビュー）

＜運用状況の確認＞

申請担当者、個人情報保護管理者、個人情報保護監査責任者等へのヒアリング

• ●事業の概要
• ●個人情報を取り扱う業務の確認
• ●個人情報を特定する手順
• ●リスクの認識、分析、対策
• ●個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
• ●委託時の措置（委託先選定基準、委託契約）
• ●本人からの要求に対する対応
• ●教育
• ●運用の確認、監査
• ●是正及び予防措置
• ●事業者の代表者による見直し

＜実施状況の現場での確認＞

• ●個人情報保護方針の周知状況
• ●物理的安全管理措置
  • ○建物、室、サーバー室等の入退館（室）管理
  • ○盗難等の防止
  • ○機器・装置の物理的な保護
• ●技術的安全管理措置
  • ○アクセス時の識別と認証（アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更新・廃棄
  • ○アクセス制御、アクセス権限の管理、アクセスの記録
  • ○不正ソフトウェア対策（ウィルス対策ソフトウェア、セキュリティパッチ等）
  • ○移送・通信時の対策（授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングやSQLインジェクションなどへの対策
  • ○情報システムの動作確認時の対策

＜総評＞

　　●指摘事項等の説明

５．審査会

不備事項の改善が終了した事業者については、プライバシーマーク付与認定の可否を当財団の審査会で決定します。
決定結果は、申請者に対して「プライバシーマーク付与適格性審査の結果について（通知）」の送付によって行います。

６．プライバシーマーク付与契約～登録証交付

プライバシーマーク付与契約～登録書交付は、申請事業者と一般財団法人日本情報経済社会推進協会（JIPDEC）との間で行います。

７．結果の公表

プライバシーマーク付与適格決定後、付与機関（JIPDEC）の「プライバシーマーク付与事業者一覧」で公表されます。

Ⅱ．【申請書類】

審査に必要な「新規申請」の書類 およびは「更新申請」の書類は、以下の通りです。

＊審査に必要な「添付書類」は、以下の通りです。

1. １．登記事項証明書（「履歴事項全部証明書」あるいは「現在事項全部証明書」）等、申請事業者の実在を証する
2. 　　公的書類（申請の日前３ヶ月以内に発行のもの。コピー不可）
3. ２．定款、その他これに準ずる規程類
4. ３．会社パンフレット（ある場合）
5. ４．個人情報保護マネジメントシステム（PMS）文書一式
   （様式2006-6、様式2006-7に記載の内部規程・様式全て。様式類は記入されていない空欄の見本）　
6. ５．可能であれば、個人情報管理台帳 / リスク分析結果 の記録された見本 各１ページ分のコピー 提出（任意）

Ⅲ．【申請方法】

プライバシーマーク付与の認定を受けようとする事業者は、申請書類を下記宛て提出願います。
送付の場合は、配達記録が残る方法でお願いいたします。

＜ご注意＞

1. １．各様式の【記載上の注意】は、削除して下さい。
2. ２．教育の実施記録(サマリー）は、全従業者を対象とした分を提出して下さい。
3. ３．監査の実施記録（サマリー）（監査報告書）は、全部門のものを提出して下さい。
   

＜お願い＞

申請書をはじめ、申請に必要な書類は、２つ穴でファイル等に綴じ込んでご提出下さい。
添付書類がＡ３用紙のものは、Ａ４サイズに折って添付して下さい。
また、各文書には、名称を記載した見出し（インデックス）を必ず貼付して下さい。
インデックスの様式・種類等は問いません。

Ⅳ．【申請事項の変更】

申請書類提出後及び認定後に申請された事項に変更がある場合は、速やかに報告が必要です。
報告は、以下のとおり、様式を作成の上、下記宛て提出して下さい。

＜変更報告が必要な事項＞

1. １．事業者名
2. ２．登記上の本店所在地
3. ３．代表者名
4. ４．申請担当者および連絡先（郵便番号、勤務先所在地、電話番号、ＦＡＸ番号、メールアドレス）
5. ５．個人情報保護管理者
6. ６．個人情報保護監査責任者

なお、１～３の事項については、登記事項証明書を添付の上提出して下さい。

＜様式「プライバシーマーク付与に係る変更報告書」＞　 ⇒　　※記載例はこちら　⇒　

■提出先（申請事項の変更）
〒５３０－０００１
大阪市北区梅田１丁目３番１－１１００　大阪駅前第１ビル　１１階
一般財団法人　関西情報センター
プライバシーマーク審査グループ　宛
「変更報告書在中」と明記して下さい。
ＴＥＬ　０６－６３４６－２５４５

受付時間　９：００～１７：００（但し、１２：００～１３：００を除く）
＜土・日・祝日・創立記念日（５月２９日）等を除く＞

Ⅴ．【個人情報の取扱いにおける事故等の報告】

　プライバシーマーク付与事業者の、個人情報の取扱いにおける事故等の報告については、「プライバシーマーク付与に関する規約（PMK500）」において、事業者からの事故報告を義務づけ、「プライバシーマーク制度における欠格事項及び判断基準（PMK510）」に基づいて判断し、プライバシーマーク審査委員会の審議を踏まえて、最終的な措置を行っています。

　また、申請中及び申請検討中事業者からの事故報告についても、「プライバシーマーク制度における欠格事項及び判断基準（PMK510）」に基づき運用しています。

なお、機微にわたる個人データ、信用情報やクレジットカード情報等を含む個人データが漏えいし、二次被害が発生する可能性が高い場合等は、主務大臣に逐次速やかに報告することが、当該ガイドラインに定められておりますので、上記のような場合には、事業者より直接主務大臣に報告を行なって下さい。

　具体的な報告手順等について下記のとおりご案内します。

＜報告対象事業者＞

1. １． プライバシーマーク付与事業者＜一般財団法人 関西情報センターで認定の事業者＞
2. ２． 一般財団法人 関西情報センターにてプライバシーマーク付与適格性審査の審査中の事業者
3. ３． 一般財団法人 関西情報センターにプライバシーマーク付与適格性審査の申請検討中の事業者

＜報告の内容＞

1. １．下記の報告書を用い、各項目についてはチェック漏れ、記入漏れのないように記載して下さい。
   報告書の様式（様式１）　⇒　
2. ２．報告書には事業者区分別(下記）の表紙を添付してご送付下さい。
   付与事業者用の様式（様式２）　⇒　
   審査中事業者用の様式（様式３）　⇒　
   申請検討中事業者用の様式（様式４）　⇒　

■提出先（事故等の報告）
　　　　報告書は、代表者印を押印のうえ、下記にお送り下さい。
　　　　（郵送等の際は、書留等配達記録が残るものでお願いします。）
〒５３０－０００１
大阪市北区梅田１丁目３番１－１１００　大阪駅前第１ビル　１１階
一般財団法人　関西情報センター
プライバシーマーク審査グループ　宛
「事故等の報告書在中」と明記して下さい。
ＴＥＬ　０６－６３４６－２５４５

受付時間　９：００～１７：００（但し、１２：００～１３：００を除く）
＜土・日・祝日・創立記念日（５月２９日）等を除く＞

●報告書の取扱い

当該報告書は、報告いただいた個人情報の取扱いにおける事故等の欠格性を判断するために利用します。
報告を頂いた事故等の内容については、プライバシーマーク付与適格性の審査に反映するために、プライバシーマーク事務局並びに、新申請先の審査機関にて情報を共有いたします。事故等の内容によっては、プライバシーマーク審査委員会での審議をする場合があり、報告書の複写を審査委員会に提出することがあります。その場合には、審議終了後に複写分はすべて回収し廃棄処分いたします。なお、本報告書（原本）は、プライバシーマーク事務局で保管・管理します。

Ⅵ．【合併・分社等が発生した場合の手続き】

１．合併・分社等が発生した場合の手続きについて

注）以下の様式（ひな形）をご利用いただき、提出下さい。

 

Ａ）合併等による組織再編（非付与事業者）　　

 

Ｂ）合併等による組織再編（付与事業者）　　

 

Ｃ）プライバシーマーク付与契約終了届　　

 

 

 

■提出先（合併・分社等）
　　 〒５３０－０００１
大阪市北区梅田１丁目３番１－１１００　大阪駅前第１ビル　１１階
一般財団法人　関西情報センター
プライバシーマーク審査グループ　宛
「合併・分社等変更報告書在中」と明記して下さい。
ＴＥＬ　０６－６３４６－２５４５

受付時間　９：００～１７：００（但し、１２：００～１３：００を除く）
＜土・日・祝日・創立記念日（５月２９日）等を除く＞

Ⅶ．【申請取下依頼書】

申請を取下げる場合は、下記様式をご利用ください。
申請取下依頼書　 ⇒　

■提出先（申請取下）
〒５３０－０００１
大阪市北区梅田１丁目３番１－１１００　大阪駅前第１ビル　１１階
一般財団法人　関西情報センター
プライバシーマーク審査グループ　宛
「申請取下依頼書在中」と明記して下さい。
ＴＥＬ　０６－６３４６－２５４５

受付時間　９：００～１７：００（但し、１２：００～１３：００を除く）
＜土・日・祝日・創立記念日（５月２９日）等を除く＞

Ⅷ．【更新申請辞退連絡】

更新申請を辞退される場合は、下記様式をご利用ください。
更新申請辞退連絡　 ⇒　

■提出先（更新申請辞退）
〒５３０－０００１
大阪市北区梅田１丁目３番１－１１００　大阪駅前第１ビル　１１階
一般財団法人　関西情報センター
プライバシーマーク審査グループ　宛
「更新申請辞退連絡在中」と明記して下さい。
ＴＥＬ　０６－６３４６－２５４５

受付時間　９：００～１７：００（但し、１２：００～１３：００を除く）
＜土・日・祝日・創立記念日（５月２９日）等を除く＞

「個人情報保護への取り組みについて」 をご覧いただき、
問い合わせをお願いいたします。

受付時間　９：００～１７：００（但し、１２：００～１３：００は昼休み）
＜土・日・祝日・創立記念日（５月２９日）等を除く＞