新規申請-申請に必要な書類

新規申請の場合、主要な個人情報取扱いの事業実績期間が原則として1年以上あり、個人情報保護マネジメントシステム (PMS)が申請までに少なくとも1ヶ月以上実際に運用されていることが必要です。

新規申請に必要な申請書類は、下記の通りです。
新規申請様式一式ダウンロード (Word:342KB)【申請様式】
  【記入見本 (PDF:1011KB)】

必須でご提出いただく書類
No. 申請書類
0 【申請様式0新規】 プライバシーマーク付与適格性審査申請チェック表
1 【申請様式1新規】 プライバシーマーク付与適格性審査申請書(代表者印の捺印必須)
2 【申請様式2新規】 事業者概要
3 【申請様式3新規】 個人情報を取扱う業務の概要
4 【申請様式4新規】 すべての事業所の所在地及び業務内容
5 【申請様式5新規】 個人情報保護体制
6 【申請様式6新規】 個人情報保護マネジメントシステム文書の一覧または代用資料
7 【申請様式7新規】 JIS Q 15001との対応表または代用資料
8 【申請様式8新規】
  • 全ての従業者に実施した教育実施資料:教育を実施したことが確認可能な記録一式
     「教育計画書」「教育実施報告書」等の運用記録や教材の写し
  • または様式8による「教育実施サマリー」
9 【申請様式9新規】
  • 全ての部門に実施した内部監査実施資料:内部監査を実施したことが確認可能な記録一式
     「内部監査計画書」「内部監査実施報告書」等の運用記録の写し
  • または様式9による「内部監査実施サマリー」
10 【申請様式10新規】
  • 事業者の代表者による見直し実施資料:代表者による見直しを実施したことが確認可能な記録一式
     「マネジメントレビュー議事録」の写し
  • または様式10による「マネジメントレビュー(事業者の代表者による見直し)実施サマリー」
11 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を 証す公的文書(申請の日前3か月以内の発行文書。)
12 定款、その他これに準ずる規程類の写し
13 最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6新規】、及び【申請様式7新規】に 記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。)
14 参照すべき法令、国が定める指針その他の規範の特定一覧表、いわゆる「法規制管理台帳」の写し
15 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し
16 上記15に対応する、いわゆる「リスク分析結果」の写し
該当する場合にご提出いただく書類
No. 申請書類
17 探偵業に係る誓約書(「探偵業」を事業として行う場合にはJIS Q 15001要求事項に 適合した個人情報の取扱いを行う旨の誓約書の提出が必須)
任意でご提出いただく書類
No. 申請書類
18 教材の写し、「理解度テスト」等の雛形 ※注1
19 「内部監査チェックリスト」等の写し ※注1
20 会社パンフレット等
    ※注1:これらの書類を事前に提出していただいた場合、現地審査当日の審査がより効率・効果的なものとなり、 審査の所要時間の短縮化につながります。

【提出に関する注意】

  1. 一旦受領した申請書類は原則、返却いたしませんので、記録類は原本ではなくコピーを提出してください。
  2. 原則、電子媒体(CD-R,DVD-R)で提出してください。紙媒体で提出する場合、印刷はA4サイズ縦の用紙を使用し、 【申請様式0更新】以降のページを印刷してください。印刷は片面印刷・両面印刷のいずれでも問題ありません。 格納する形式は、PDF形式、Word形式またはEXCEL形式を用いてください。電子メールの添付ファイルによる提出は不可とします。
  3. 申請後、申請書類の内容に変更があった場合は、「申請事項の変更手続き」に基づいて報告してください。
     >申請事項の変更手続き
  4. 教育、監査、事業の代表者による見直し実施を示す書類については、日頃の個人情報保護活動の中で作成された、 計画書、報告書、議事録等の写しを提出いただければ結構です。なお、教育受講者の一覧、名簿等、従業者の 個人情報に類する資料を提出することの無いよう、ご注意願います。また、例えば資料の量が多い等、写しを 提出することが不適切な場合には、上記申請様式8~10のサマリーに、各実施概要を記入のうえ、ご提出ください。
  5. 「プライバシーマーク付与適格性審査に関する約款」を確認のうえ、下記宛先へ送付してください(送付の際は 配達記録が残るもの(書留、宅配便等)を利用してください)。 平日9時~12時、13時~17時の時間帯に持参でも受け付けますが、送付された事業者様との差異を生じさせないため、 書類受取りのみとさせていただきます。
    プライバシーマーク付与適格性審査に関する約款

申請書類の送付先

    〒170-8585 東京都豊島区巣鴨 2-11-1 巣鴨室町ビル7階
    一般財団法人 日本データ通信協会(JADAC)  Pマーク審査部 宛
    TEL :03-5907-3809

新規申請-申請書類の受理と文書審査

■ 受理(チェック)

郵送等で受領した申請書類については、申請書類の不足及び記載漏れを確認した後、受理するか否かを決定します。
基本的には、「プライバシーマークの付与適格性審査を申請できる事業者」としての条件を満たしていることが必要ですが、特に以下の事項については重要な条件となります。

  1. 個人情報保護管理者が指名され、個人情報保護についての組織内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
  2. 申請までに年1回以上、個人情報保護マネジメントシステム(PMS)の周知徹底の措置(教育、研修等)を実施していること。
  3. 申請までに1回以上、事業者内部の個人情報保護の状況を監査し必要な見直しが実施されていること。
  4. 個人情報保護に関する相談窓口が常設され、かつそれが対外的に明示されていること。
  5. 事業の用に供している個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全管理措置を講じていること。
  6. 外部への個人情報の提供、取扱いの委託を行う際には、責任分担や守秘に係わる契約を締結する等、個人情報について適切な保護措置を講じていること。

審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。 受理後、「プライバシーマーク申請・審査料請求書」を送付しますので、申請・審査料を指定の口座に速やかに振り込んでください。

■ 文書審査

申請・審査料の振込みを確認した後、審査を開始します。
受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム(PMS)等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程に準じた体制整備状況の視点から審査を行います。

新規申請-現地審査

書類上の審査が終了すると、申請事業者に対して現地審査を実施します。
これは、書類上の審査において生じた疑義の確認及び個人情報保護マネジメントシステム(PMS)のとおりに体制が整備され、運用しているか等について確認するために行うものです。
現地審査は、原則として2名の審査員で伺います。従って、現地審査に係わる交通費、宿泊費等は二人分をご請求します。
交通費、宿泊費、日当については、「現地審査の費用に関する規程 (PDF:130KB)(新しいタブで開きます)」を適用します。

【現地審査の流れ】

現地審査は基本的に以下の流れで行われます。
審査時間は申請者の規模に応じて異なりますが、概ね1日です。

  1. トップインタビュー
    トップインタビューは20分~30分程度です。インタビュー内容は以下の通りです。
    1) 申請日から現地審査日までの事故の有無
    2) 事業概要と個人情報の関わり
    • 主要な事業と扱う個人情報
    3) 開始時期、期間
    • PMS作成開始時期:20XX年MM月 開始
    • 個人情報保護方針作成時期:20XX年MM月 HPに公表
    • 運用期間:20XX年MM月 開始~20XX年MM月 完了
    4) 個人情報保護の目的、個人情報保護方針
    • 個人情報保護の目的・Pマーク申請の動機について
    • 社内向け、社外向け公表内容、公表方法について
    5) 共同利用、外国の第三者提供等、匿名加工情報、GDPR「補完的ルール」について
    • 共同利用による個人情報の取扱い
    •   
    • 外国にある第三者への提供の制限
    •   
    • 第三者提供に係る記録の作成(委託を除く)
    •   
    • 第三者提供を受ける際の確認(受託を除く)
    •  
    • 匿名加工情報の取扱い
    • GDPR第45条に基づく「補完的ルール」の取扱い
    6) 個人情報保護のための人的資源(個人情報保護体制、委員会等)
      トップマネジメントが個人情報保護管理者及び個人情報監査責任者を選任するに当たり、考慮したこと
    7) 貴社における最も心配な点
    • 最もリスクがあると感じている点および対策
    • 事故には至っていないが、ちょっと間違えば事故になっていたこと(ヒヤリ・ハットしたこと)の有無。 あればその概要と対策
    8) マネジメントレビューを最も直近に実施した日及び経営的観点などから指示した事項
    9) 現在の従業員数 申請時との差の有無
    10) 申請書の「事業の概要」に記述した事業の売上比率(概数:○割程度)
    11) 申請書の「事業の概要」に記述した事業で、個人情報を扱う量の多い事業

  2. 現地審査とご用意いただきたい資料等
    1) 最新のPMS規定文書一式
    現地審査では、最新のPMS規定文書を確認します。審査会場に、PMS一式(コピーも可)をご用意ください。
    ※規定類を電子システムで運用するため印刷物が無い場合は、スケジュール通知の審査担当者欄に記す 審査リーダーにご相談ください。
    • 審査申請時に資料提出した後に、文書審査結果を反映するなど、PMS規定文書の改善を実施された場合は、 変更箇所が明確になるようにしてください。
    • 現地審査の場で、文書審査結果(当協会よりPDF形式でお送りしています)を使用しますので、自社メンバー用に ご用意ください。なお、当協会審査員は各自持参いたします。
    2) 記録類
    現地審査では、各種運用記録を確認します。審査会場に、各種記録をご用意ください。
    新規審査の場合には、運用した記録(PDCAサイクル1回以上)をご用意ください。
    ※極力原本をご提示ください。なお、記録を電子化されている場合は、審査会場で確認するために必要な機器等をご用意ください。
    • 特定した個人情報、リスク分析、法令等参照する規範、緊急事態に関する記録
      ①「個人情報管理台帳」など、特定した個人情報を示した帳票
      ②個人情報を取扱う際のリスクを認識し、分析、対策を講じた記録など
      ③「法規制管理台帳」など、法令、国が定める指針、その他規範を特定したリスト
      ④緊急事態に備えた連絡体制、また事故発生のある場合にはその記録

    • 個人情報の取得に関する記録
      規格A.3.4.2.5(直接書面)により取得した際に、明示し、同意を得た記録申込書、Web申込時の通知文 (画面のハードコピー等)、採用時の通知同意書、従業員への通知同意書

    • 外部委託に関する記録
      ①委託先の一覧表
      ②委託先を評価選定した記録(再評価を含みます)
      ③委託先との契約書、覚書等(全社分)

    • 開示等に関する記録
      ①開示等の要求に対応した記録

    • 教育(認識)に関する記録
      ①教育計画書
      ②教育実施記録(受講者一覧を含む)
      ③教育で使用した教材
      ④受講者の理解度確認資料(アンケート、テスト内容や、実施者の記録)

    • 運用の確認に関する記録
      ①日常的な運用確認の記録(日次、月次など)

    • 内部監査に関する記録
      ①内部監査計画書
      ②内部監査の実施記録
      ③内部監査で使用したチェックリスト等
      ④代表者への内部監査結果報告書(指摘事項を記した書類)

    • 是正処置に関する記録
      ①「是正処置記録票」など、不適合事項が是正された記録

    • マネジメントレビューに関する記録
      ①マネジメントレビューの際に、見直し検討のために使用した各種資料
      ②議事録や報告書など、マネジメントレビューの実施や、改善指示などを確認できる記録
      ③マネジメントレビューの結果として、検討した計画や実施施策等の資料

    • 安全管理に関する記録
      ①入退室記録(記録簿、ログ、最終退出時の施錠確認記録など)
      ②書類や電子媒体の送受信管理記録(授受管理簿など)
      ③個人情報を発送する際の記録(送信記録、宅配伝票など)

    3) その他
      ①組織体制図(概要で結構です。部門毎の概算人数もわかるように願います)
      ②個人情報の取扱い手順を説明する資料(業務フロー図など)
      ③ネットワーク構成を説明する資料(模式的な資料で結構です)
      ④フロアレイアウト
      ⑤個人情報を扱う情報システムを構築・運用されている場合には、CTOやCISO、あるいは該当システムを ご紹介いただける方にヒアリングをいたします。

  3. 現場審査(社内審査) (個人情報の取扱いを行っているエリアを中心に審査します。)
      1) 個人情報の取扱い状況、個人情報保護方針の周知状況等
      2) 物理的安全管理措置
      • 建物、室、サーバー室等の入退館(室)管理
      • 盗難等の防止
      • 機器・装置の物理的な保護
      3) 技術的安全管理措置
      • アクセス時の識別と認証(アクセス認証、ID、パスワード等の発行・更新・廃棄)
      • アクセス制御、アクセス権限の管理、アクセスの記録
      • 不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)
      • 移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティング攻撃や SQLインジェクション攻撃などへの対策)
  4. 文書審査についての是正状況の確認
    • 文書審査の結果で、「×」或いは「現地」等と判定された項番に対する是正状況の確認該当項番に関する、改訂後の規程、 様式他をご用意ください。
  5. 総括
    • 審査の総括、指摘事項(不適合)の候補事項等の説明
      正式な審査結果については別途、個人情報保護管理者宛にメールにて、送付します。
    • 是正処置結果に必要な資料の説明
    • 今後の進め方(スケジュール)

新規申請-付与適格性可否の決定と通知

書類上の審査及び現地調査の結果に基づき、プライバシーマーク付与適格性の可否を決定します。決定結果は申請者に対してプライバシーマーク付与適格性審査通知の送付によって行います。
審査の結果、指摘事項等がある場合は、文書でその旨を通知しますので指摘事項の改善確認後、合格となります。

認定事業者ログイン

お問合せ先

一般財団法人 日本データ通信協会
Pマーク審査部

電話番号 03-5907-3809

お電話による受付時間
 平日 09:00~17:00

〒170-8585
東京都豊島区巣鴨2-11-1
巣鴨室町ビル7階

お問合せフォーム

PMS・構築相談

ページの最初へ移動