プライバシーマークの審査業務は、「プライバシーマーク付与適格性審査に関する標準約款」に則り実施いたします。
申請方法

Ⅰ.【申請から付与までの流れ】

1.申請の受付

受け取った申請書類については、申請書類の不足及び記載漏れを確認します。
申請書類に不備がない場合は、請求書を送付しますので、プライバシーマーク申請料を指定口座に速やかに振り込んで下さい。

なお、更新申請の手続きの場合は、申請書類を指定審査機関に提出し、更新のための審査が必要です。

2.申請受理

申請料の入金を確認した後、記載内容に不備がないか、申請資格があるか等の形式審査を行います。
申請書類の記載内容に不備がある等の場合、申請事業者の費用負担で再提出いただく場合があります。
不備がない場合は、申請を受理し、プライバシーマーク付与適格性に係る申請書類の「受領書」を送付し、審査を開始いたします。

3.文書審査

受理後の申請書類のうち、個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の審査を行います。文書審査では、以下の2つの観点から審査を実施します。

 

① 内部規程のJIS Q 15001への適合状況

② すべての従業者がJIS Q 15001に適合した内部規程を遵守し、個人情報の保護を実現するための、具体的な手順、手段等の規定状況。

  • 最低限、以下に関する具体的な手順、手段等を内部規程に定めることが必要です。
  • ●個人情報を特定する手順に関する規定
  • ●法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
  • ●個人情報保護リスクアセスメント及びリスク対策の手順に関する規定
  • ●事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
  • ●緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
  • ●個人情報の取得、利用及び提供に関する規定
  • ●個人情報の適正管理に関する規定
  • ●本人からの開示等の請求等への対応に関する規定
  • ●認識(教育)などに関する規定
  • ●文書化した情報の管理に関する規定
  • ●苦情及び相談への対応に関する規定
  • ●点検に関する規定
  • ●是正処置に関する規定
  • ●マネジメントレビュー(代表者による見直し)に関する規定
  • ●内部規程の違反に関する罰則の規定 … など

※内部規程の構成、名称等は事業の実態を踏まえて作成されるものであり、上記通りの構成とする必要はありません。

   

※内部規程の構成を確認するため、申請時に提出された「個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧」、「JIS Q 15001要求事項との対応表」を参考にする場合があります。

   

※文書審査結果は、審査後、現地審査実施までに送付します。文書審査における指摘に対して、現地審査までに内部規程・様式の改善をお願いします。現地審査時に改善状況を確認します。尚、文書審査の結果によっては、現地審査の実施(時期および可否等)につき、別途、ご相談をする場合があります。

4.現地審査

<概要>

文書審査が終了すると、現地審査を実施します。
これは、文書審査において生じた疑義の確認とともに、個人情報保護マネジメントシステム(PMS)の体制の整備と運用等について確認するために行うものです。
審査時間に関しては、プライバシーマーク制度の概要[現地審査時間]を参照ください。(移動が必要な場合は複数日になる場合もあります)
現地審査では、概ね次のことを行います。

<トップインタビュー>
  • ●個人情報に関する事故の有無確認
  • ●事業内容/経営方針
  • ●プライバシーマーク申請のきっかけ
  • ●個人情報保護の目的
  • ●個人情報保護方針
  • ●個人情報保護のための人的整備(推進体制)
  • ●トップマネジメント(代表者)として認識しているリスク
  • ●マネジメントレビュー(代表者による見直し)
  • ●PMSの継続的な改善について … など
<運用状況の確認>

申請担当者、個人情報保護管理者、個人情報保護監査責任者等へのヒアリング

  • ●事業の概要
  • ●個人情報を取り扱う業務の確認
  • ●個人情報の特定
  • ●リスクの認識、分析、対策
  • ●個人情報を取得、利用、本人への連絡又は接触、第三者に提供する場合の措置
  • ●委託時の措置(委託先選定基準、委託契約)
  • ●開示・苦情相談の対応、緊急時への対応
  • ●認識(教育)
  • ●運用の確認、監査
  • ●是正措置
  • ●マネジメントレビュー(代表者による見直し) … など
<実施状況の現場での確認>
  • ●個人情報保護方針の周知状況
  • ●物理的安全管理措置
    • ○建物、室、サーバー室等の入退館(室)管理
    • ○盗難等の防止
    • ○機器・装置の物理的な保護
  • ●技術的安全管理措置
    • ○アクセス時の識別と認証(アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更新・廃棄
    • ○アクセス制御、アクセス権限の管理、アクセスの記録
    • ○不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)
    • ○移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングやSQLインジェクションなどへの対策
    • ○情報システムの動作確認時の対策
<総評>
  ●指摘事項等の説明

5.審査会

不備事項の改善が終了した事業者については、プライバシーマーク付与認定の可否を当財団の審査会で決定します。
決定結果は、申請者に対して「プライバシーマーク付与適格性審査の結果について(通知)」の送付によって行います。

6.プライバシーマーク付与契約~登録証交付

プライバシーマーク付与契約~登録書交付は、申請事業者と一般財団法人日本情報経済社会推進協会(JIPDEC)との間で行います。

7.結果の公表

プライバシーマーク付与適格決定後、付与機関(JIPDEC)の「プライバシーマーク付与事業者一覧」で公表されます。

Ⅱ.【申請書類】

審査に必要な「新規申請」の書類 および「更新申請」の書類は、以下の通りです。

※一旦受領した申請書類は原則返却いたしませんので、内部規程・様式は全て原本ではなくコピーを提出して下さい。

                  
新様式
●新規申請 (JIS Q 15001:2017年版
2019年2月15日改定
●更新申請 (JIS Q 15001:2017年版
2019年2月15日改定

*審査に必要な「添付書類」は、以下の通りです。


【必須】
  1. 1.登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者 (法人)の実在を証す
  2.   公的文書(申請の日前3か月以内の発行文書)の写し(新規申請の場合は原本)
  3. 2.最新の個人情報保護マネジメントシステム文書一式の写し
  4.   (申請様式6、申請様式7に記載の内部規程・様式の全て。様式は記入されていない空欄の見本)
  5. 3.「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し
  6. 4.上記3.に対応する「リスク分析結果」の写し
【任意】
  1. 1.教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」等の運用記録や教材の写し、
  2.   「理解度確認テスト」等の雛形)
  3. 2.監査を実施したことが確認可能な記録一式(「監査計画書」「監査実施報告書」「監査チェックリスト」等の
  4.   写し)
  5. 3.代表者による見直しを実施したことが確認可能な記録一式(「マネジメントレビュー議事録」の写し)
  6. 4.会社パンフレット
【該当する場合に提出】
  1. 1.定款、その他これに準ずる規程類の写し ※新規は必須、更新は前回申請時より事業内容の変更があった場合
  2. 2.変更報告書(「事業者名、本店所在地、代表者、申請担当者および連絡先、個人情報保護管理者」
  3.   に変更があったが変更報告書を提出していない場合は必須)
  4.   ※更新時のみ
  5. 3.個人事業主など法人番号が付与されていない事業者は、下記1)、2)のいずれかの貴社控えの写し
  6.   1)税務署に提出した個人事業の開廃業等届出書
  7.   2)日本年金機構に提出した健康保険・厚生年金保険適用事業所名称/所在地変更(訂正)届
  8. 4.探偵業に係る誓約書(「探偵業」を事業として行う場合にはJIS Q 15001:2006要求事項に適合した個人情報の
  9.   扱いを行う旨の誓約書の提出が必須)

Ⅲ.【申請方法】

プライバシーマーク付与の認定を受けようとする事業者は、申請書類を下記宛て提出願います。
送付の場合は、配達記録が残る方法でお願いいたします。

■提出先(新規申請および更新申請の申請書類)
〒530-0001
大阪市北区梅田1丁目3番1-1100 大阪駅前第1ビル 11階
一般財団法人 関西情報センター
プライバシーマーク審査グループ 宛
TEL 06-6346-2545

受付時間 9:00~17:00(但し、12:00~13:00を除く)
<土・日・祝日・創立記念日(5月29日)等を除く>

<ご注意>
  1. 1.各様式の【記載上の注意】は、削除して下さい。
  2. 2.教育の実施記録(サマリー)は、全従業者を対象とした分を提出して下さい。
  3. 3.監査の実施記録(サマリー)(監査報告書)は、全部門のものを提出して下さい。
<お願い>

申請様式及び内部規程については必ずインデックスを付けA4サイズ・2つ穴をあけてご提出ください。(ファイルやバインダーに綴じていただかなくても大丈夫です)
添付書類がA3用紙のものは、A4サイズに折って添付して下さい。
また、各文書には、名称を記載した見出し(インデックス)を必ず貼付して下さい。
インデックスの様式・種類等は問いません。

Ⅳ.【申請事項の変更】

申請書類提出後及び認定後に申請された事項に変更がある場合は、速やかな報告が必要です。
報告は、以下のとおり、様式を作成の上、下記宛て提出して下さい。

<変更報告が必要な事項>
  1. 1.事業者名
  2. 2.登記上の本店所在地
  3. 3.代表者名
  4. 4.申請担当者および連絡先(郵便番号、勤務先所在地、電話番号、FAX番号、メールアドレス)
  5. 5.個人情報保護管理者

なお、3の事項については、登記事項証明書の中で代表者の氏名が確認できるページのコピーを提出して下さい。

<様式「プライバシーマーク付与に係る変更報告書」>  ⇒ 

■提出先(申請事項の変更)
〒530-0001
大阪市北区梅田1丁目3番1-1100 大阪駅前第1ビル 11階
一般財団法人 関西情報センター
プライバシーマーク審査グループ 宛
「変更報告書在中」と明記して下さい。
TEL 06-6346-2545

受付時間 9:00~17:00(但し、12:00~13:00を除く)
<土・日・祝日・創立記念日(5月29日)等を除く>

Ⅴ.【個人情報の取扱いにおける事故等の報告】

プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」第5章第11条において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。提出された事故報告書については、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づいて欠格レベルを判断し、外部有識者を交えた委員会の審議を踏まえて、最終的な措置を行っています。また、審査中及び申請検討中事業者からの事故報告についても、「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に基づき運用しています。
なお、クレジット情報等を含む個人データが漏えいし、二次被害が発生する可能性が高い場合等は、速やかに一般財団法人関西情報センターにご一報ください。
当センターより、一般財団法人日本情報経済社会推進協会に報告いたします。

具体的な報告手順等について下記のとおりご案内します。

<報告対象事業者>
  1. 1. プライバシーマーク付与事業者<一般財団法人 関西情報センターで認定の事業者>
  2. 2. 一般財団法人 関西情報センターにてプライバシーマーク付与適格性審査の審査中の事業者
  3. 3. 一般財団法人 関西情報センターにプライバシーマーク付与適格性審査の申請検討中の事業者
<報告の内容>
  1. 1.下記の報告書を用い、各項目についてはチェック漏れ、記入漏れのないように記載して下さい。
    報告書の様式(様式1) ⇒ 
  2. 2.報告書には事業者区分別(下記)の表紙を添付してご送付下さい。
    付与事業者用の様式(様式2) ⇒ 
    審査中事業者用の様式(様式3) ⇒ 
    申請検討中事業者用の様式(様式4) ⇒ 
    記入上の注意事項 ⇒ 
    ※更新審査中の事業者は、付与事業者用(様式2)を使用してください。

■提出先(事故等の報告)
    報告書は、代表者印を押印のうえ、下記にお送り下さい。
    (郵送等の際は、書留等配達記録が残るものでお願いします。)
〒530-0001
大阪市北区梅田1丁目3番1-1100 大阪駅前第1ビル 11階
一般財団法人 関西情報センター
プライバシーマーク審査グループ 宛
「事故等の報告書在中」と明記して下さい。
TEL 06-6346-2545

受付時間 9:00~17:00(但し、12:00~13:00を除く)
<土・日・祝日・創立記念日(5月29日)等を除く>

●報告書の取扱い

当該報告書は、報告いただいた個人情報の取扱いにおける事故等の欠格性を判断するために利用します。
報告を頂いた事故等の内容については、プライバシーマーク付与適格性の審査に反映するために、プライバシーマーク事務局並びに、新申請先の審査機関にて情報を共有いたします。事故等の内容によっては、プライバシーマーク審査委員会での審議をする場合があり、報告書の複写を審査委員会に提出することがあります。その場合には、審議終了後に複写分はすべて回収し廃棄処分いたします。なお、本報告書(原本)は、プライバシーマーク事務局で保管・管理します。

Ⅵ.【合併・分社等が発生した場合の手続き】

1.合併・分社等が発生した場合の手続きについて

注)以下の様式(ひな形)をご利用いただき、提出下さい。

 

A)合併等による組織再編(非付与事業者)  

 

B)合併等による組織再編(付与事業者)  

 

C)プライバシーマーク付与契約終了届  

 

 

 

■提出先(合併・分社等)
   〒530-0001
大阪市北区梅田1丁目3番1-1100 大阪駅前第1ビル 11階
一般財団法人 関西情報センター
プライバシーマーク審査グループ 宛
「合併・分社等変更報告書在中」と明記して下さい。
TEL 06-6346-2545

受付時間 9:00~17:00(但し、12:00~13:00を除く)
<土・日・祝日・創立記念日(5月29日)等を除く>

Ⅶ.【申請取下依頼書】

申請を取下げる場合は、下記様式をご利用ください。
申請取下依頼書  ⇒ 

■提出先(申請取下)
〒530-0001
大阪市北区梅田1丁目3番1-1100 大阪駅前第1ビル 11階
一般財団法人 関西情報センター
プライバシーマーク審査グループ 宛
「申請取下依頼書在中」と明記して下さい。
TEL 06-6346-2545

受付時間 9:00~17:00(但し、12:00~13:00を除く)
<土・日・祝日・創立記念日(5月29日)等を除く>

Ⅷ.【更新申請辞退連絡】

更新申請を辞退される場合は、下記様式をご利用ください。
更新申請辞退連絡  ⇒ 

■提出先(更新申請辞退)
〒530-0001
大阪市北区梅田1丁目3番1-1100 大阪駅前第1ビル 11階
一般財団法人 関西情報センター
プライバシーマーク審査グループ 宛
「更新申請辞退連絡在中」と明記して下さい。
TEL 06-6346-2545

受付時間 9:00~17:00(但し、12:00~13:00を除く)
<土・日・祝日・創立記念日(5月29日)等を除く>