新規申請－申請に必要な書類

■ 受理（チェック）

郵送等で受領した申請書類については、申請書類の不足及び記載漏れを確認した後、受理するか否かを決定します。
基本的には、「プライバシーマークの付与適格性審査を申請できる事業者」としての条件を満たしていることが必要ですが、特に以下の事項については重要な条件となります。

1. 個人情報保護管理者が指名され、個人情報保護についての組織内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
2. 申請までに年1回以上、個人情報保護マネジメントシステム(PMS)の周知徹底の措置（教育、研修等）を実施していること。
3. 申請までに1回以上、事業者内部の個人情報保護の状況を監査し必要な見直しが実施されていること。
4. 個人情報保護に関する相談窓口が常設され、かつそれが対外的に明示されていること。
5. 事業の用に供している個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全管理措置を講じていること。
6. 外部への個人情報の提供、取扱いの委託を行う際には、責任分担や守秘に係わる契約を締結する等、個人情報について適切な保護措置を講じていること。

審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。 受理後、「プライバシーマーク申請・審査料請求書」を送付しますので、申請・審査料を指定の口座に速やかに振り込んでください。

■ 文書審査

申請・審査料の振込みを確認した後、審査を開始します。
受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム(PMS)等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程に準じた体制整備状況の視点から審査を行います。

【現地審査の流れ】

現地審査は基本的に以下の流れで行われます。
審査時間は申請者の規模に応じて異なりますが、概ね１日です。

1. トップインタビュー
   トップインタビューは20分～30分程度です。インタビュー内容は以下の通りです。
   1) 申請日から現地審査日までの事故の有無
   2) 事業概要と個人情報の関わり
   • 主要な事業と扱う個人情報
   3) 開始時期、期間
   • PMS作成開始時期：20XX年MM月 開始
   • 個人情報保護方針作成時期：20XX年MM月 HPに公表
   • 運用期間：20XX年MM月 開始～20XX年MM月 完了
   4) 個人情報保護の目的、個人情報保護方針
   • 個人情報保護の目的・Pマーク申請の動機について
   • 社内向け、社外向け公表内容、公表方法について
   5) 共同利用、外国の第三者提供等、匿名加工情報、GDPR「補完的ルール」について
   • 共同利用による個人情報の取扱い
   • 外国にある第三者への提供の制限
   • 第三者提供に係る記録の作成（委託を除く）
   • 第三者提供を受ける際の確認（受託を除く）
   • 匿名加工情報の取扱い
   • GDPR第45条に基づく「補完的ルール」の取扱い
   • 個人関連情報の第三者提供の制限
   • 仮名加工情報の取扱い
   • 学術研究目的での個人情報等の取扱い
   6) 個人情報保護のための人的資源（個人情報保護体制、委員会等）
   トップマネジメントが個人情報保護管理者及び個人情報監査責任者を選任するに当たり、考慮したこと
   7) 貴社における最も心配な点
   • 最もリスクがあると感じている点および対策
   • 事故には至っていないが、ちょっと間違えば事故になっていたこと（ヒヤリ・ハットしたこと）の有無。 あればその概要と対策
   8) マネジメントレビューを最も直近に実施した日及び経営的観点などから指示した事項
   9) 現在の従業員数　申請時との差の有無
   10) 申請書の「事業の概要」に記述した事業の売上比率（概数：○割程度）
   11) 申請書の「事業の概要」に記述した事業で、個人情報を扱う量の多い事業


2. 現地審査とご用意いただきたい資料等
   1) 最新のPMS規定文書一式
   現地審査では、最新のPMS規定文書を確認します。審査会場に、PMS一式(コピーも可)をご用意ください。
   ※規定類を電子システムで運用するため印刷物が無い場合は、スケジュール通知の審査担当者欄に記す 審査リーダーにご相談ください。
   • 審査申請時に資料提出した後に、文書審査結果を反映するなど、PMS規定文書の改善を実施された場合は、 変更箇所が明確になるようにしてください。
   • 現地審査の場で、文書審査結果(当協会よりPDF形式でお送りしています)を使用しますので、自社メンバー用に ご用意ください。なお、当協会審査員は各自持参いたします。
   2) 記録類
   現地審査では、各種運用記録を確認します。審査会場に、各種記録をご用意ください。
   新規審査の場合には、運用した記録(PDCAサイクル1回以上)をご用意ください。
   ※極力原本をご提示ください。なお、記録を電子化されている場合は、審査会場で確認するために必要な機器等をご用意ください。
   • 特定した個人情報、リスク分析、法令等参照する規範、緊急事態に関する記録
     ①「個人情報管理台帳」など、特定した個人情報を示した帳票
     ②個人情報を取扱う際のリスクを認識し、分析、対策を講じた記録など
     ③「法規制管理台帳」など、法令、国が定める指針、その他規範を特定したリスト
     ④緊急事態に備えた連絡体制、また事故発生のある場合にはその記録
   
   
   • 個人情報の取得に関する記録
     規格A.3.4.2.5(直接書面)により取得した際に、明示し、同意を得た記録申込書、Web申込時の通知文 (画面のハードコピー等)、採用時の通知同意書、従業員への通知同意書
   
   
   • 外部委託に関する記録
     ①委託先の一覧表
     ②委託先を評価選定した記録(再評価を含みます)
     ③委託先との契約書、覚書等(全社分)
   
   
   • 開示等に関する記録
     ①開示等の要求に対応した記録
   
   
   • 教育(認識)に関する記録
     ①教育計画書
     ②教育実施記録(受講者一覧を含む)
     ③教育で使用した教材
     ④受講者の理解度確認資料(アンケート、テスト内容や、実施者の記録)
   
   
   • 運用の確認に関する記録
     ①日常的な運用確認の記録(日次、月次など)
   
   
   • 内部監査に関する記録
     ①内部監査計画書
     ②内部監査の実施記録
     ③内部監査で使用したチェックリスト等
     ④代表者への内部監査結果報告書(指摘事項を記した書類)
   
   
   • 是正処置に関する記録
     ①「是正処置記録票」など、不適合事項が是正された記録
   
   
   • マネジメントレビューに関する記録
     ①マネジメントレビューの際に、見直し検討のために使用した各種資料
     ②議事録や報告書など、マネジメントレビューの実施や、改善指示などを確認できる記録
     ③マネジメントレビューの結果として、検討した計画や実施施策等の資料
   
   
   • 安全管理に関する記録
     ①入退室記録（記録簿、ログ、最終退出時の施錠確認記録など）
     ②書類や電子媒体の送受信管理記録(授受管理簿など)
     ③個人情報を発送する際の記録(送信記録、宅配伝票など)
   
   
   3) その他
   ①組織体制図（概要で結構です。部門毎の概算人数もわかるように願います）
   ②個人情報の取扱い手順を説明する資料(業務フロー図など)
   ③ネットワーク構成を説明する資料(模式的な資料で結構です)
   ④フロアレイアウト
   ⑤個人情報を扱う情報システムを構築・運用されている場合には、CTOやCISO、あるいは該当システムを ご紹介いただける方にヒアリングをいたします。
   


3. 現場審査（社内審査） （個人情報の取扱いを行っているエリアを中心に審査します。）
   1) 個人情報の取扱い状況、個人情報保護方針の周知状況等
   2) 物理的安全管理措置
   • 建物、室、サーバー室等の入退館（室）管理
   • 盗難等の防止
   • 機器・装置の物理的な保護
   3) 技術的安全管理措置
   • アクセス時の識別と認証（アクセス認証、ID、パスワード等の発行・更新・廃棄）
   • アクセス制御、アクセス権限の管理、アクセスの記録
   • 不正ソフトウェア対策（ウィルス対策ソフトウェア、セキュリティパッチ等）
   • 移送・通信時の対策（授受確認、取得時・移送時の暗号化、クロスサイトスクリプティング攻撃や SQLインジェクション攻撃などへの対策）
4. 文書審査についての是正状況の確認
文書審査の結果で、「×」或いは「△」等と判定された項番に対する是正状況の確認該当項番に関する、改訂後の規程、 様式他をご用意ください。
5. 総括
• 審査の総括、指摘事項（不適合）の候補事項等の説明
  正式な審査結果については別途、個人情報保護管理者宛にメールにて、送付します。
• 是正処置結果に必要な資料の説明
• 今後の進め方（スケジュール）