プライバシーマークの認定申請を行うためには、個人情報保護マネジメントシステムの運用開始から、最低1ヶ月以上経過していること、その運用期間中に事業者の全従業者への個人情報保護教育を実施していること、また事業者の全部門についての監査が行われ、その結果に基づいた改善・見直しが行われていることが条件となります。したがって、教育・監査実施のスケジュールにもよりますが、個人情報保護マネジメントシステムの運用開始から、概ね3〜6ヶ月後に申請を行うことになると思われます。
これまでのプライバシーマーク認定取得のための各ステップを踏むことによって、個人情報保護体制の構築、安全管理措置の実施、個人情報保護マネジメントシステム文書(内部規定類)の策定、教育・監査に関する記録類の整備等、申請に必要な準備はすべて完了しているはずです。これら一連のステップの最終段階として、プライバシーマーク認定申請に必要な書類等を作成・準備して、申請を行います。 |
| |
| 1.申請書類の作成 |
|
プライバシーマークの認定申請に必要な書類を作成し、添付書類等を用意します。プライバシーマークの新規認定申請に必要な書類は、以下の通りです。
@プライバシーマーク付与認定申請チェック表
Aプライバシーマーク付与申請書
B会社概要
C取り扱う個人情報の概要
D認定を受けようとする事業所の所在地及び業務内容
E個人情報保護体制
F個人情報保護マネジメントシステム文書の一覧
GJIS要求事項との対応表
H教育実施記録
I監査実施記録
J事業者の代表者による見直し実施記録
K登記簿騰抄本等、申請者の実在を証する公的書類
L定款、寄付行為その他これに準ずる規定類
M会社パンフレット
N個人情報保護マネジメントシステム文書一式
OJIS要求事項との対応表のすべての様式
P2006年版JISへの対応状況を記載した書類 |
| |
| 2.申請書類の提出・受理 |
|
申請書類の作成が完了した後、財団法人日本情報処理開発協会プライバシー事務局またはプライバシーマーク付与認定指定機関に提出します。プライバシーマーク付与認定指定機関は以下の通りです。
・社団法人情報産業サービス協会(JISA正法人会員対象)
・社団法人日本マーケティングリサーチ協会(JMRA正会員対象)
・社団法人日本学習塾協会(JJA正会員対象)
・財団法人医療情報システム開発センター(医療・保険事業者対象)
・財団法人全日本冠婚葬祭互助協会(正会員・施行会社対象)
・社団法人東京グラフィックサービス工業会(正会員対象)
・社団法人日本情報システムユーザー協会(JUAS会員対象)
・財団法人くまもとテクノ産業財団(福岡・佐賀・長崎・熊本・大分・宮崎・鹿児島に
主たる事務所がある事業者対象)
・社団法人中部産業連盟(愛知・岐阜・三重・富山・石川に主たる事務所がある事業者
対象)
・財団法人関西情報・産業活性化センター(大阪・京都・福井・滋賀・兵庫・奈良・和歌山
に主たる事務所がある事業者対象)
・財団法人日本データ通信協会(会員・通信関連団体会員対象)
提出した申請書類に不足・不備(内容ではなく様式上の不備)がなければ、各付与機関から「申請料請求書」が送付されてきます。この請求書に記載された申請料を払い込むと、申請資格の有無等の形式審査が行われます(申請料・審査料・使用料参照)。以下の項目(欠格事由)に該当する場合は、形式審査で認定申請が不受理なります。
@申請の日前3か月以内にプライバシーマーク付与認定の申請、または再審査の請求に
ついて否認決定を受けた事業者
A申請の日前1年以内にプライバシーマーク付与認定の取消し、またはプライバシーマーク
使用契約の解除を受けた事業者
B個人情報の取扱いにおいて発生した個人情報の外部への漏洩その他情報主体の権利利益の
侵害により、申請を不可とする期間を経過していない事業者
C申請に係る事業の拠点を本邦内に有していない事業者
D役員(法人でない団体で代表者または管理人の定めのあるものの代表者または管理人を
含む)の内に、次のいずれかに該当する者がいる事業者
a)禁錮以上の刑に処せられ、その執行を終わり、または執行を受けることがなくなった
日から2年を経過しない者
b)個人情報の保護に関する法律の規定により刑に処せられ、その執行を終わり、または
執行を受けることがなくなった日から2年を経過しない者
形式審査に問題がない場合、申請書が受理され、「プライバシーマーク付与申請に係る申請書類受領書」か送付されます。 |
| |
| 3.書類審査 |
|
書類審査は、受理された申請書類の記載内容等に関して、以下の項目について行われます。
@個人情報保護マネジメントシステム等の個人情報保護の行動指針を定めた方針・規程類
の整備状況
A個人情報保護マネジメントシステム等の個人情報保護の行動指針を定めた方針・規程類
に基づく体制の整備状況
また、書類審査にあたっては、以下の項目の検証に重点が置かれます。
@「JIS Q 15001:2006」の要求事項に準拠した個人情報保護マネジメントシステムを
定めていること
A個人情報保護マネジメントシステムに基づき実施可能な体制が整備され、個人情報
の適切な取扱いが行なわれていること
B個人情報の管理者が指名され、個人情報保護についての社内の責任・役割分担が明確
である等、個人情報を適切に取り扱う体制が整備されていること
C申請までに年1回以上、個人情報保護マネジメントシステムの周知徹底の措置 (教育・
研修等)を実施していること
D申請までに1回以上、事業者内部の個人情報の保護の状況を監査していること
E個人情報保護に関する相談窓口が常設され、かつそれが消費者に明示されていること
F申請事業者が有する個人情報について、外部からの侵入・内部からの漏えいが発生
しないための適正な安全措置を講じていること
G企業外部への個人情報の提供、取り扱いの委託を行う場合、責任分担や守秘に関する
契約を締結する等、個人情報についての適切な保護が実施されるための措置を行って
いること |
| |
| 4.現地審査 |
|
現地審査は、書類審査において生じた疑義や個人情報保護マネジメントシステム基づく体制の整備・運用状況等を確認するために行われます(現地審査時間参照)。現地審査では、以下の項目について調査が行われます。
@代表者へのインタビュー
a)個人情報に関する事故の有無の確認
b)事業内容・経営方針
c)プライバシーマーク申請の動機
d)個人情報保護方針とその周知方法
e)個人情報保護管理者・監査責任者の任命
f)マネジメントレビュー
A運用状況の確認(申請担当者、個人情報保護管理者、監査責任者等へのヒアリング)
a)個人情報を取り扱う業務の確認
b)個人情報の特定の手順
c)教育・訓練
d)監査
e)委託契約・選定基準
f)リスクの認識と処理
g)本人の同意を得ていない個人情報の利用・提供の有無
h)本人からの要求に対する対応
B現場での実施状況の確認
a)個人情報保護方針の周知状況
b)物理的アクセス制御(施錠状況、鍵の管理等)
c)論理的アクセス制御(クライアント・サーバーコンピュータ、暗号化等)
d)バックアップ(記録媒体の管理等)
e)オンライン特有の処理(個人情報保護方針の掲載、収集時のSSLの使用、サービス・
業務ごとの同意文言、Cookieなどのウェブバグ利用の有無等)
現地審査終了後、審査料・現地審査に係る交通費・宿泊費が記載された請求書が送付されますので、これらの審査料・必要経費を期日までに振り込みます(申請料・審査料・使用料参照)。 |
| |
| 5.審査結果の通知 |
|
書類による審査および現地審査の結果に基づき、プライバシーマーク付与認定の可否が決定されます。審査結果は、「プライバシーマーク付与申請審査通知書」の送付によって通知されます。
@認定と決定された場合
以下の書類が送付されてきます。「プライバシーマーク使用契約書」は必要事項を記入
した上、2通とも財団法人日本情報処理開発協会プライバシー事務局またはプライバシー
マーク付与認定指定機関に返送します。また、「プライバシーマーク使用料請求書」に
記載された金額を払い込みます(申請料・審査料・使用料参照)。
a)プライバシーマーク使用契約書(2通)
b)プライバシーマーク使用料請求書
c)手続についての解説
A認定不可(否認)と決定された場合
審査結果とその理由を記載した書面が送付されてきますので、通知の日から3ヶ月以内
に、再審査を請求します。 |
| |
| 6.再審査 |
|
認定不可(否認)と決定された場合、審査結果の通知の日から3ヶ月以内に、認定を不可とされた事由を改善した上、再審査の請求を行います。再審査の請求は1回に限って可能です。また、再審査の審査手数料は必要ありませんが、再度実地審査が行われる場合は、再審査料・審査実費と現地審査に係る交通費・宿泊費等の必要経費が請求されます。
再審査の結果、認定と決定された場合は、上記「5.審査結果の通知@」と同様の手続を行います。再審査の請求を行わない場合、再審査の結果再び認定不可とされた場合は、否認が確定します。 |
| |
| 7.プライバシーマーク使用契約 |
|
認定を受けた事業者は、発行する広報物等に、プライバシーマークの認定を受けていることの表明やプライバシーマークのロゴの記載を行うことができます。
「プライバシーマーク使用契約書」を送付し、プライバシーマーク使用料の払い込みが完了すると、財団法人日本情報処理開発協会プライバシー事務局またはプライバシーマーク付与認定指定機関から、以下の書類が送付されてきます。以上で、一連のプライバシーマークの認定申請手続は終了します。
@プライバシーマーク使用契約書(事業者保管用)
Aプライバシーマーク使用許諾証
Bプライバシーマーク規定書
Cプライバシーマーク電子データ(フロッピーディスク)
認定の結果は、速やかに財団法人日本情報処理開発協会プライバシー事務局またはプライバシーマーク付与認定指定機関のホームページで公表されます。 |
| |
| 8.プライバシーマーク使用期間 |
|
プライバシーマークの使用期間(契約期間)は、2年間です。この期間を超えて、引き続きプライバシーマークの使用を継続する場合は、更新申請を行い、更新審査を受ける必要があります。 |
| |
| 9.申請料・審査料・使用料 |
|
事業者の規模は、以下の基準にしたがって分類します。
@大規模事業者
中規模事業者を超える事業者
A中規模事業者
製造業その他=資本金:3億円以下、従業者数:300人以下
卸売業=資本金:1億円以下、従業者数:100人以下
小売業=資本金:5千万円以下、従業者数:50人以下
サービス業=資本金:3億円以下、従業者数:100人以下
B小規模事業者=常時使用する従業員の数が20人(卸売業、小売業(含、飲食店)または
サービス業に属する事業を主たる事業として営む者については5人)以下の事業者
申請料・審査料・使用料
事業者規模 小規模 中規模 大規模
申請料 5万円 5万円 5万円
審査料 20万円 45万円 95万円
使用料 5万円 10万円 20万円
合計 30万円 60万円 120万円
※交通費・宿泊費等の実費が別途必要
再現地審査料
費目 料金
基本料金 5万円
審査実費 (1人時単価:2万円)×(実際にかかった時間)×(審査人数)
合計 5万円+(2万円×(実際にかかった時間)×(審査人数)
※交通費・宿泊費等の実費が別途必要 |
| |
| 10.現地審査時間 |
|
現地審査に要する時間は、以下の通りです。
事業規模 小規模 中規模 大規模
現地審査時間 5時間 6時間 8時間
※この時間を超えた場合は、1時間当たり4万円(消費税込)を審査料に追加 |
| |
|
| 前ページへ |
Top Page