申請から付与の流れ
申請書類
審査に必要な申請書類は、以下の通りです。
■JIS Q 15001:2006年版で新規申請する場合の様式(一括)はこちら。
■JIS Q 15001:2006年版で更新申請する場合の様式(一括)はこちら。
申請書類 |
様式
|
0 |
プライバシーマーク付与適格性審査申請チェック表 |
様式2006-0 |
1 |
プライバシーマーク付与適格性審査申請書(代表者印の捺印があること) |
様式2006-1 |
2 |
会社概要 |
様式2006-2 |
3 |
個人情報を取扱う業務の概要 |
様式2006-3 |
4 |
すべての事業所の所在地及び業務内容 |
様式2006-4 |
5 |
個人情報保護体制 |
様式2006-5 |
6 |
個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧 |
様式2006-6 |
7 |
JIS Q 15001 要求事項との対応表 |
様式2006-7 |
8 |
教育実施サマリー(全ての従業者に実施した教育実施状況)
※更新申請の場合は、前回審査以降に実施した全てが対象 |
様式2006-8 |
9 |
監査実施サマリー(全ての部門に実施した監査実施状況)(監査テーマ別に作成)
※更新申請の場合は、前回審査以降に実施した全てが対象 |
様式2006-9 |
10 |
事業者の代表者による見直し実施サマリー
※更新申請の場合は、前回審査以降に実施した全てが対象
|
様式2006-10 |
11 |
2006年度版JISによる前回認定時から変更のあった事業の報告(更新申請のみ) |
様式2006-11 |
12 |
履歴事項全部証明書または現在事項全部証明書等、申請者の実在を称する公的文書(申請の日前3ヶ月以内に発行のもの。コピー不可) |
|
13 |
定款、寄付行為、その他これに準ずる規程類(原本のコピーで無い場合、記名と事業者の実印による押印が必要) |
|
14 |
会社パンフレット(ある場合) |
|
15 |
個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)一式(様式2006-6、様式2006-7に記載の内部規程・様式全て。様式類は記入されていない空欄の見本) |
|
16 |
個人情報管理台帳/リスク分析結果の記録された見本の、各1ページ分コピー |
任意提出 |
【提出に関する注意】
- 「プライバシーマーク付与適格性審査申請チェック表(様式2006-0)」は、申請時に、必要書類が揃っていることを確認の上、必ずチェックを入れてご送付ください。
- 「プライバシーマーク付与適格性審査申請チェック表(様式2006-0)」、「プライバシーマーク付与適格性審査申請書(様式2006-1)」に記載する日付は統一してください。
- 様式2006-0〜様式2006-11については、A4の用紙を使用し、片面印刷でご提出ください。
- 一旦受領した申請書類は原則、返却いたしませんので、記録類は原本ではなくコピーを提出してください。
- 紙媒体により提出してください。電子媒体は不要です。なお、提出する書類では、各様式の【記載上の注意】は削除してください。
- 申請後、申請書類の内容に変更があった場合は、「申請事項の変更について」に基づいて報告してください。
- 他審査機関に申請する場合には、申請書類等について当該審査機関の指示に従ってください。
- 九州プライバシーマーク審査センターに申請する場合は、「プライバシーマーク付与適格性審査に関する約款」を確認のうえ、送付してください(送付の際は配達記録が残るもの(書留、宅配便等)を利用してください)。
- 申請後、申請書類の内容に変更があった場合は、「申請事項の変更について」に基づいて報告してください。
━━━━━━━━━━━━━━━━事務局からのお願い━━━━━━━━━━━━━━━━━
各申請書類の宛先が、他団体のままでご申請されるケースがございます。
再提出が必要となりますので、あらかじめ宛先が下記の通りであることをご確認ください。
===宛先:「財団法人くまもとテクノ産業財団 プライバシーマーク審査センター」===
申請方法
プライバシーマーク付与の認定を受けようとする事業者は、申請書類を下記住所、KPJC(九州プライバシーマーク審査センター)までご送付ください。 (可能な限り宅配便などの授受記録の残る手段でご送付ください。)
〒861-2202 熊本県上益城郡益城町田原 2081-10
(財)くまもとテクノ産業財団
KPJC(九州プライバシーマーク審査センター) 宛
TEL:(096)289-5522
FAX:(096)289-5212
E-mail: kpjc@kmt-ti.or.jp
お願い
申請書、および申請書類に添付する規程類は、上述する申請書類の一覧に定める「規程番号」の順序に従い、2つ穴でファイル等に綴じ込んでご提出ください。
また、各規程には、名称を記載した見出し(インデックス)を可能な限り、貼付してください。(インデックスの様式・種類等は問いません。)
例示
受取
受け取った申請書類については、申請書類の不足及び記載漏れを確認します。申請書類が全て揃っている場合は書類を預かり、請求書を送付しますので、プライバシーマーク申請料を、指定の口座に速やかに振り込んでください。入金確認後、次の手続きに移行します。
受理
申請料の入金を確認した後、書類記載内容に不備がないか、申請資格の有無、事業概要からの業種判断 等の形式審査を行います。場合により、申請書類修正分/追加分の提出を依頼します。
上記の結果、申請を受理し、「プライバシーマーク付与適格性審査に係る申請書類受領書」を送付して、業種と規模について連絡します。
書類審査
受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程類に準じた体制整備状況の視点から書類審査を行います。
基本的には、先に示した「付与の対象」としての条件を満たしていることが必要ですが、特に下記の事項については重要な条件となります。
a.個人情報の管理者が指名され、個人情報保護についての社内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
b.申請までに年1回以上、PMS(個人情報保護マネジメントシステム)の周知徹底の措置(教育、研修等)を実施していること。
c.申請までに1回以上、事業者内部の個人情報の保護の状況を監査し、代表者による必要な見直しが実施されていること。
d.当該者に係る個人情報保護に関する相談窓口が常設され、かつそれが消費者に明示されていること。
e.当該者が有する個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じていること。
f.企業外部への個人情報の提供、取扱いの委託を行う際には、責任分担や守秘に係る契約を締結する等、個人情報について適切な保護が講じられるよう措置していること。
※審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。
現地審査
書類審査が終了すると、申請事業者に対して現地審査を実施します。これは、書類上の審査において生じた疑義の確認、及びPMS(個人情報保護マネジメントシステム)の通りに体制が整備され、運用しているか等について確認するために行うものです。
新規取得の場合、現地審査は概ね以下の流れで行います。審査時間は申請者の規模に応じて異なりますが概ね半日〜1日です(移動が必要な場合は複数日になる場合もあります)。
※費用についてはコチラをご覧下さい。
| 1.代表者へのインタビュー |
| 個人情報に関する事故の有無確認 |
| 事業内容/経営方針 |
| プライバシーマーク申請のきっかけ |
| 個人情報保護方針とその周知方法 |
| 個人情報保護管理者・監査責任者の任命 |
| マネジメントレビュー |
| 2.運用状況の確認(申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
) |
| 個人情報を取り扱う業務の確認 |
| 特定の手順 |
| 教育・訓練 |
| 監査 |
| 委託契約・選定基準 |
| リスクの認識と処理 |
| 輸送/オンサイト委託/ネットワーク |
| 不正アプリケーション/ウィルス/リモートアクセス |
| 電話帳データ等情報主体の同意を取れてないものの利用・提供の有無 |
| 情報主体からの要求に対する対応 |
| 3.現場確認(組織内で個人情報を取り扱っている全ての部署の実施状況を確認) |
| 個人情報保護方針の周知状況 |
| 物理的アクセス制御 |
| 入口・マシン室・倉庫・書庫・金庫・引出し |
| 鍵管理 |
| 論理的アクセス制御 |
| クライアント/サーバ |
| 暗号化 |
| 暗号鍵管理 |
| バックアップ |
| 記録媒体の管理 |
| 記録 |
| 授受、破棄等の確認書類 |
| 入退室、アクセスログ |
| 管理台帳 |
| オンライン特有の処置 |
| 個人情報保護方針の掲載 |
| 収集時の SSL の使用 |
| サービス、業務毎の“同意文言” |
| Cookie などのウェブバグの利用の有無 |
| SQLインジェクション、クロスサイトスクリプティング(CSS)などのセキュリティ対策 |
| 4.総括 |
| 講評と指摘事項等 |
改善対応
書類審査及び現地審査においては、審査の過程でPMS(個人情報保護マネジメントシステム)の不備があった場合、その補正や運用状況の改善などの指摘をすることがあります。指摘を受けたときには、指摘にしたがって速やかに改善を行う必要があります。
※改善の報告書については、様式の指定はありませんが、参考例を以下に掲載します。
様式「改善報告書」(参考例) |
 |
付与適格決定の可否と付与契約
書類による審査および現地審査の結果に基づき、プライバシーマーク付与適格決定の可否を決定します。決定結果のご報告は、申請者に対してプライバシーマーク付与適格性審査通知の通知によって行います。
使用契約
●プライバシーマーク付与登録料の振り込み
プライバシーマーク付与適格決定の通知を受けた申請者は、指定の期日までにプライバシーマーク付与登録料として、付与契約の有効期間2年間分に相当する金額を「プライバシーマーク付与登録料請求書」に基づき一括して付与機関であるJIPDEC(一般財団法人日本情報経済社会推進協会)に振り込んでください。
●付与契約と登録証の交付
付与機関は、付与登録料の振込を確認した後、当該事業者に対してプライバシーマーク付与契約書と登録証を交付します。プライバシーマーク付与契約書は、プライバシーマーク使用に関する事項を定めたもので、契約期間は2年間とします。(更新の手続きをとって使用の更新を行うことができます。)
登録の公表
登録の結果は、速やかにKPJC(九州プライバシーマーク審査センター)のホームページで公表します。
更新申請受付期間
プライバシーマーク制度においては、2年間に1回の更新審査を行っております。更新申請は、プライバシーマーク付与契約の有効期間の満了前、8ヶ月以内4ヶ月までの間で行うことができます。
例)
有効期間がH22(2010)年11月4日〜H24(2012)年11月3日の場合
更新申請可能期間は、H24(2012)年3月3日〜H24(2012)年7月3日となります。
申請事項の変更について
申請書類提出後および認定後に、申請された事項に変更がある場合は、すみやかにKPJC(九州プライバシーマーク審査センター)への報告が必要です。
報告は、以下のとおり、様式を作成・捺印の上、下記宛送付してください。
| <変更報告が必要な事項> |
| 1. 事業者名 |
| 2. 登記上の本店所在地 |
| 3. 代表者(必要事項:氏名、フリガナ、役職) |
| 4. 申請担当者/連絡先(必要事項:氏名、フリガナ、役職/郵便番号、住所、電話番号、e-mailアドレス) |
| 5. 個人情報保護管理者(必要事項:氏名、フリガナ、役職) |
| 6. 個人情報保護監査責任者(必要事項:氏名、フリガナ、役職) |
| ※なお、1.〜3の事項については、登記簿謄本を添付の上、提出してください。 |
様式「プライバシーマーク付与に係る変更報告書」 |
| |
送付先
〒861-2202 熊本県上益城郡益城町田原 2081-10
KPJC(九州プライバシーマーク審査センター)
(財)くまもとテクノ産業財団
「変更報告書在中」と明記してください。
TEL:(096)289-5522
FAX:(096)289-5212
E-mail: kpjc@kmt-ti.or.jp
プライバシーマークの付与認定の申請を行おうとする事業者で、個人情報の取扱いにおける事故等が発生した場合には、下記の要領であらかじめ報告を頂き、KPJC(九州プライバシーマーク審査センター)の判断を受けるようにお願いいたします。
また、プライバシーマーク付与事業者及び既に申請している事業者についても同様に報告をお願いいたします。
●報告対象事業者
報告対象事業者は次のとおりです。
1. プライバシーマーク付与事業者(KPJC認定)
2. KPJCにプライバシーマーク付与適格審査の申請をしている事業者
3. KPJCにプライバシーマーク付与適格審査の申請を検討している事業者
●報告の内容
報告には、別紙「個人情報の取り扱いに関する事故等の報告書(様式1)」を用い、各項目についてはチェック漏れ、記入漏れの無いように記載してください。
また、報告に際しては、事業者区分別の表紙(認定事業者用:様式2、申請中事業者用:様式3、申請検討中事業者用:様式4)を添付してご送付ください。
※報告書は可能な限り宅配便のような授受記録の残る手段でご送付ください。
報告先
〒861-2202 熊本県上益城郡益城町田原 2081-10
KPJC(九州プライバシーマーク審査センター)
(財)くまもとテクノ産業財団
TEL:(096)289-5522
FAX:(096)289-5212
E-mail: kpjc@kmt-ti.or.jp
●報告書の取扱い
当該報告書は、報告頂いた個人情報の取扱いにおける事故等の欠格性を判断するためにKPJC(九州プライバシーマーク審査センター)で利用します。また、事故等の内容によっては、プライバシーマーク審査会での審議を経て決定する必要があることから、その場合には報告書の複写を審査会に提出することもあります。
また、認定個人情報保護団体である一般財団法人日本情報経済社会推進協会の対象事業者の場合には、一般財団法人日本情報経済社会推進協会を通じて、経済産業省への報告に利用いたします。
なお、本報告書(原本)は、KPJC(九州プライバシーマーク審査センター)で保管・管理いたします。
・プライバシーマーク指定審査機関基本規程
(平成23年2月25日施行)
・プライバシーマーク指定審査機関組織規則
(平成23年2月25日施行)
・プライバシーマーク付与適格性審査手続規則
(平成23年8月22日施行)
・プライバシーマーク審査センター審査業務規則
(平成24年2月2日施行)
・プライバシーマーク付与適格性審査に係る苦情・相談窓口に関する規則
(平成23年2月25日施行)
・プライバシーマーク付与適格性審査に関する約款
(平成23年3月1日施行)
・異義申出規程
(平成23年2月25日施行)
・九州プライバシーマーク審査センター指定業務方針
(平成23年2月25日施行)
・プライバシーマーク付与認定指定業務に係る秘密情報の取扱いに関する規約
(平成23年3月1日施行)
プライバシーマーク制度設置および運営要領
・プライバシーマーク制度設置および運営要領
(一般財団法人日本情報経済社会推進協会)
|(財)くまもとテクノ産業財団
プライバシーポリシー|ページトップへ|
|
