4.現地審査
- このページの目次
- 現地審査について
- 1.代表者へのインタビュー
- 2.運用状況の確認
- 3.現場での実施状況の確認
- 4.総括
現地審査について
文書による審査が終了すると、申請事業者に対して現地審査を実施します。
これは、文書上の審査において生じた疑義の確認、および個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。
- 審査料及び現地審査に係る交通費、宿泊費(プライバシーマーク指定機関及び付与機関の旅費規程を適用)については、現地審査終了後請求書を送付しますので、速やかに指定の口座に振り込んでください。
- なお、プライバシーマーク指定機関及び付与機関は、現地審査に係る費用の振込みのない間、審査を中止することが出来るものとします。
現地審査では、概ね以下のようなことを行います。
1.代表者へのインタビュー
- 個人情報に関する事故の有無確認
- 事業内容/経営方針
- プライバシーマーク申請のきっかけ
- 個人情報保護方針とその周知方法
- 個人情報保護管理者・監査責任者の任命
- マネジメントレビュー
2.運用状況の確認
申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
- 個人情報を取り扱う業務の確認
- 特定の手順
- 教育・訓練
- 監査
- 委託契約・選定基準
- リスクの認識と処理
- 輸送/オンサイト委託/ネットワーク
- 不正アプリケーション/ウィルス/リモートアクセス
- 電話帳データ等本人の同意を取れてないものの利用・提供の有無
- 本人からの要求に対する対応
3.現場での実施状況の確認
- 個人情報保護方針の周知状況
- 物理的アクセス制御
- 入口・マシン室・倉庫・書庫・金庫・引出し
- 鍵管理
- 論理的アクセス制御
- クライアント/サーバ
- 暗号化
- 暗号鍵管理
- バックアップ
- 記録媒体の管理
- 記録
- 授受、破棄等の確認書類
- 入退室、アクセスログ
- 管理台帳
- オンライン特有の処置
- 個人情報保護方針の掲載
- 収集時のSSLの使用
- サービス、業務毎の“同意文言”
- Cookieなどのウェブバグの利用の有無
- クロスサイトスクリプティング(CSS)などのセキュリティ対策
4.総括
- 指摘事項等