更新申請-更新申請対象事業者と申請受付期間など
プライバシーマーク付与の有効期限の満了を迎える事業者(プライバシーマーク使用開始日より2年が経過しようとしている 事業者)を対象とします。
更新申請受付期間は、プライバシーマーク付与の有効期間の満了の8か月前の日から4か月前の日までです。
なお、有効期間については、お手元のプライバシーマーク登録証を確認してください。
(例-1)
- 有効期間の満了日:2025年7月1日 の場合
更新申請受付期間:2024年10月31日 ~ 2025年2月28日
ただし、上記の原則に沿って確定した更新申請受付期間の最終日が休業日(土曜日、日曜日、祝祭日等)に当たる場合、 直後の営業日まで延長して受付けます。
(例-2)
- 更新申請受付期間の最終日:2025年2月8日(土曜日)の場合
更新申請受付最終日:2025年2月10日(月曜日)
【お願い】
- 前回の審査から今回の申請の間に合併等が生じた場合、もしくは、今後合併等が予定されている場合は、
「お問い合わせ」へお知らせください。
合併、分社化、営業譲渡を受けたときの届出
更新申請-申請に必要な書類
更新申請に必要な申請書類は、下記のとおりです。
2024年10月1日より、登記事項証明書や定款の提出方法について変更致しました。法人番号を有する事業者であって、 前回の付与契約の締結後、登記事項や定款に変更がない場合は、登記事項証明書(「履歴事項全部証明書」または 「現在事項全部証明書」)、定款の提出を省略することができます。詳しくは、提出に関する注意をご確認ください。(※1)
- ※1:不明な点がある場合は、最新の登記事項証明書を提出いただくことがございます。あらかじめご了承ください。
申請様式: 更新申請様式一式
| 必須でご提出いただく資料 | ||
|---|---|---|
| No. | 申請書類 | |
| 0 | 【申請様式0更新】 | プライバシーマーク付与適格性審査申請チェック表 |
| 1 | 【申請様式1更新】 | プライバシーマーク付与適格性審査申請書①~②(代表者印の捺印必須) |
| 2 | 【申請様式2更新】 | 個人情報保護体制 |
| 3 | 【申請様式3更新】 | 事業者概要 |
| 4 | 【申請様式4更新】 | 個人情報を取扱う業務の概要 |
| 5 | 【申請様式5更新】 | すべての事業所の所在地及び業務内容 |
| 6 | 【申請様式6更新】 | 個人情報保護マネジメントシステム文書の一覧 |
| 7 | 【申請様式7更新】 | 教育・内部監査・マネジメントレビュー実施サマリー(教育・内部監査・マネジメントレビューの実施状況) |
| 8 | 【申請様式8更新】 | 前回付与適格決定時から変更のあった事業の報告 |
| 9 | 最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6更新】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。) | |
| 10 | 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し | |
| 11 | 上記10に対応する、いわゆる「リスク分析結果」の写し | |
| 該当する場合にご提出いただく資料 | ||
| No. | 申請書類 | |
| 12 | 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を証す公的文書(申請の日前3か月以内の発行文書)の写し | |
| 13 | 定款の写し | |
| 14 | 変更報告書(前回の付与契約の締結後に「事業者名、本店所在地」に変更があったが変更報告書を提出していない場合は必須) | |
| 任意でご提出いただく資料 | ||
| No. | 申請書類 | |
| 15 | 教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形) ※注1 ※注2 | |
| 16 | 内部監査を実施したことが確認可能な記録一式(「内部監査計画書」「内部監査実施報告書」「内部監査チェックリスト」等の写し) ※注1 ※注2 | |
| 17 | マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式(「マネジメントレビュー議事録」の写し) ※注1 | |
| 18 | 会社パンフレット等 | |
- ※注1:事前に提出していただくと現地審査当日の審査がより効率的・効果的になり、所要時間の短縮化につながります。
※注2:教育や内部監査の記録については、それぞれ数ページ分の写しを提出してください(全ての写しを提出していただく必要はありません。)
【提出に関する注意】
- 前回の付与契約の締結後に事業者概要の変更(※注)があった場合、書類No.12の「登記事項証明書」
及び書類No.13の「定款の写し」の提出が必要となります。
※注:資本金額、役員構成の変更、合併・分社があった場合
なお、「定款の写し」については、法人の形態により、提出していただく書類が異なります。 以下の①~③のいずれかを提出してください。 - 申請事業者名称は申請する事業者の登記上の正式商号を省略せずに正確に記入してください。 付与適格決定後の付与契約書及び登録証は、ご記入いただいた代表者役職、代表者氏名、 及び登記上の本店住所が記載されます。
- 【申請様式1更新】の住所欄には、登記事項証明書に記載された本店所在地を記入ください。
- 申請後、申請書類の内容に変更があった場合は申請事項の変更手続きに基づいて報告してください。
- 書類は画面右上の「デ協Pマーククラウド」にログインし電子データでの提出をお願します。書類を紙媒体でご提出された場合は原則として返却いたしません。必ず原本ではなくコピーを提出してください。
- 格納する形式は、PDF形式、Word形式またはEXCEL形式を用いてください。電子メールの添付ファイルによる提出は 不可とします。
- 教育、監査、事業の代表者による見直し実施を示す書類については、現付与期間開始日より、更新申請提出までを 対象として、日頃の個人情報保護活動の中で作成された、計画書、報告書、議事録等の写しを提出いただければ結構です。 なお、教育受講者の一覧、名簿等、従業者の個人情報に類する資料を提出することの無いよう、ご注意願います。 また、例えば資料の量が多い等、写しを提出することが不適切な場合には、上記申請様式7のサマリーに、必要事項を 記入のうえ、ご提出ください。
- 書類提出前にプライバシーマーク付与適格性審査に関する約款をご確認ください。
- ①「定款」を提出していただく法人
株式会社、有限会社、一般社団法人、一般財団法人、公益社団法人、公益財団法人等のような、定款の作成が法により 義務付けされている団体
②「寄付行為」を提出していただく法人
財団である医療法人、学校法人及び私立学校法64条4項に基づく法人、財団である職業訓練法人のような、 寄付行為の作成が法により義務付けられている法人
③「団体の運営について定めた規程」を提出していただく法人
定款、寄付行為のどちらも作成が法により義務付けられていない団体
※当団体については、団体の運営を定める規程(多数決の原則が行われ、構成員の変更にも係らず団体そのものが存続し、 代表の方法・総会の運営・財産の管理その他団体として主要な点を確立していること等を含む)を定款または寄付行為に 替わるものとします。
更新申請-申請書の受理と文書審査
■ 受理(チェック)
受領した申請書類については、申請書類の不足及び記載漏れを確認した後、受理するか否かを決定します。
受理後、「プライバシーマーク申請・審査料請求書」を送付しますので、申請・審査料を指定の口座に速やかに振込んでください。
■ 文書審査
申請・審査料の振込を確認した後、審査を開始します。
受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム(PMS)等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程に準じた体制整備状況の視点から審査を行います。
基本的には、「プライバシーマークの付与適格性審査を申請できる事業者」としての条件を満たしていることが必要ですが、特に以下の事項については重要な条件となります。
- 個人情報保護管理者が指名され、個人情報保護についての組織内の責任、役割分担が明確である等、個人情報を適切に取扱う体制が整備されていること。
- 2年分、個人情報保護マネジメントシステム(PMS)の周知徹底の措置(教育、研修等)を実施していること。
- 2年分、事業者内部の個人情報保護の状況を監査し必要な見直しが実施されていること。
- 2年分、代表者の見直しが実施されていること。
- 個人情報保護に関する相談窓口が常設され、かつそれが対外的に明示されていること。
- 事業の用に供している個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全管理措置を講じていること。
- 外部への個人情報の提供、取扱いの委託を行う際には、責任分担や守秘に係わる契約を締結する等、個人情報について適切な保護措置を講じていること。
審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。
更新申請-現地審査
書類上の審査が終了すると、申請事業者に対して現地審査を実施します。
これは、書類上の審査において生じた疑義の確認及び個人情報保護マネジメントシステム(PMS)のとおりに体制が整備され、運用しているか等について確認するために行うものです。
現地審査は、原則として2名の審査員で伺います。従って、現地審査に係わる交通費、宿泊費等は二人分をご請求します。
交通費、宿泊費、日当については現地審査の費用に関する規程 を適用します。
【現地審査の流れ】
現地審査は基本的に以下の流れで行われます。
審査時間は申請者の規模に応じて異なりますが、概ね1日です。
- トップインタビュー
トップインタビューは20分~30分程度です。インタビュー内容は以下の通りです。-
1) 申請日から現地審査日までの事故の有無
- 主要な事業と扱う個人情報
- 経営環境や業務内容の変化等
- 個人情報保護の目的・その後のPマーク申請の意義、効果について
- 社内向け、社外向け公表内容、公表方法について
- 共同利用による個人情報の取扱い
- 外国にある第三者への提供の制限
- 第三者提供に係る記録の作成(委託を除く)
- 第三者提供を受ける際の確認(受託を除く)
- 匿名加工情報の取扱い
- GDPR第45条に基づく「補完的ルール」の取扱い
- 個人関連情報の第三者提供の制限
- 仮名加工情報の取扱い
- 学術研究目的での個人情報等の取扱い
- 最もリスクがあると感じている点および対策
- 事故には至っていないが、ちょっと間違えば事故になっていたこと(ヒヤリ・ハッ0トしたこと)の有無。 あればその概要と対策
2) 事業概要と個人情報の関わり- 社長が個人情報保護管理者及び個人情報監査責任者を選任するに当たり、考慮したこと。
8) 現在の従業員数 申請時との差の有無
9) 申請書の「事業の概要」に記述した事業の売上比率(概数:○割程度)
10) 申請書の「事業の概要」に記述した事業で、個人情報を扱う量の多い事業
- 現地審査と、ご用意いただきたい資料等
-
1) 最新のPMS規定文書一式
- 審査申請時に資料提出した後に、文書審査結果を反映するなど、PMS規定文書の改善を実施された場合は、 変更箇所が明確になるようにしてください。
- 現地審査の場で、文書審査結果(当協会よりPDF形式でお送りしています)を使用しますので、自社メンバー用に ご用意ください。なお、当協会審査員は各自持参いたします。
- 特定した個人情報、リスク分析、法令等参照する規範、緊急事態に関する記録
①「個人情報管理台帳」など、特定した個人情報を示した帳票
②個人情報を取扱う際のリスクを認識し、分析、対策を講じた記録など
③「法規制管理台帳」など、法令、国が定める指針、その他規範を特定したリスト
④緊急事態に備えた連絡体制、また事故発生のある場合にはその記録 - 個人情報の取得に関する記録
規格A.3.4.2.5(直接書面)により取得した際に、明示し、同意を得た記録申込書、Web申込時の通知文(画面の ハードコピー等)、採用時の通知同意書、従業員への通知同意書 - 外部委託に関する記録
①委託先の一覧表
②委託先を評価選定した記録(再評価を含みます)
③委託先との契約書、覚書等(全社分) - 開示等に関する記録
開示等の要求に対応した記録 - 教育(認識)に関する記録
①教育計画書
②教育実施記録(受講者一覧を含む)
③教育で使用した教材
④受講者の理解度確認資料(アンケート、テスト内容や、実施者の記録) - 運用の確認に関する記録
日常的な運用確認の記録(日次、月次など) - 内部監査に関する記録
①内部監査計画書
②内部監査の実施記録
③内部監査で使用したチェックリスト等
④代表者への内部監査結果報告書(指摘事項を記した書類) - 是正処置に関する記録 「是正処置記録票」など、不適合事項が是正された記録
- マネジメントレビューに関する記録
①マネジメントレビューの際に、見直し検討のために使用した各種資料
②議事録や報告書など、マネジメントレビューの実施や、改善指示などを確認できる記録
③マネジメントレビューの結果として、検討した計画や実施施策等の資料 - 安全管理に関する記録
①入退室記録(記録簿、ログ、最終退出時の施錠確認記録など)
②書類や電子媒体の送受信管理記録(授受管理簿など)
③個人情報を発送する際の記録(送信記録、宅配伝票など) - 組織体制図(概要で結構です。部門毎の概算人数もわかるように願います)
- 個人情報の取扱い手順を説明する資料(業務フロー図など)
- ネットワーク構成を説明する資料(模式的な資料で結構です)
- フロアレイアウト
- 個人情報を扱う情報システムを構築・運用されている場合には、CTOやCISO、あるいは該当システムを ご紹介いただける方にヒアリングをいたします。
- 現場審査(社内審査)(個人情報の取扱いを行っているエリアを中心に審査します。)
- 個人情報の取扱い状況、個人情報保護方針の周知状況等
- 物理的安全管理措置
-
□建物、室、サーバー室等の入退館(室)管理
□盗難等の防止
□機器・装置の物理的な保護
- 技術的安全管理措置
-
□アクセス時の識別と認証(アクセス認証、ID、パスワード等の発行・更新・廃棄)
□アクセス制御、アクセス権限の管理、アクセスの記録
□不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)
□移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティング攻撃や SQLインジェクション攻撃などへの対策)
- 文書審査に関する是正状況の確認
- 総括
- 審査の総括、指摘事項(不適合)の候補事項等の説明
正式な審査結果については別途、個人情報保護管理者宛にメールにて、送付します。 - 是正処置結果に必要な資料の説明
- 今後の進め方(スケジュール)
- 審査の総括、指摘事項(不適合)の候補事項等の説明
現地審査では、最新のPMS規定文書を確認します。審査会場に、PMS一式(コピーも可)をご用意ください。
※規定類を電子システムで運用するため印刷物が無い場合は、スケジュール通知の審査担当者欄に記す審査リーダーに ご相談ください。
現地審査では、各種運用記録を確認します。審査会場に、各種記録をご用意ください。
更新審査の場合には、前回審査以降の記録(2年分)をご用意ください。
※極力原本をご提示ください。なお、記録を電子化されている場合は、審査会場で確認するために必要な機器等をご用意ください。
-
文書審査の結果で、「×」或いは「△」等と判定された項番に対する是正状況の確認該当項番に関する、
改訂後の規程、様式他をご用意ください。
更新申請-付与適格性可否の決定と通知
書類上の審査及び現地調査の結果に基づき、プライバシーマーク付与適格性の可否を決定します。決定結果は申請者に対してプライバシーマーク付与適格性審査通知の送付によって行います。
審査の結果、指摘事項等がある場合は、文書でその旨を通知しますので指摘事項の改善確認後、合格となります。