5.審査
1 現地審査
1-1 現地審査日を当社である程度指定することは可能ですか。
現地審査の実施時期についてご希望がある場合は、ご相談に応じますのでお申し出ください。
なお、JIPDECでは、新型コロナウイルスの影響により申請から現地審査まで通常よりお時間をいただいておりますことをご了承ください。
1-2 従業員が約4,000人で、全国展開の組織ですが、現地審査の工数はどの程度になりますか。
標準の審査時間は大規模の事業者の場合8時間を想定しています。
大規模事業者の場合、個人情報の取扱が種類、量共に多岐にわたっていることが予想されますので、そのような場合には事前に相談をして審査現場、審査時間を決定していますので、あらかじめ個別にご相談ください。
1-3 現地審査に当社の従業者以外の者を同席させてもよいですか。
プライバシーマーク現地審査において、従業者以外の者の審査への立ち会いは禁止しており、行った場合には、審査機関は審査を打ち切る場合があります(「プライバシーマーク付与適格性審査に関する標準約款」に基づく)。なお、ここでいう「従業者以外」とは、従業者を自称したとしても、当該事業者において直接的な雇用関係や勤務の実態がない者を指します。
1-4 何故、現地審査に当社と直接的な雇用関係や勤務の実態がない者を同席させてはいけないのですか。
JIS Q 15001の1項「適用範囲」に「この規格は、組織が、自らの事業の用に供している個人情報に関する、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するための要求事項について規定する。」とあり、構築・運用指針「J.2.3.2個人情報保護管理者と個人情報保護監査責任者」にも「(前略)個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせること。」とあります。この趣旨は、個人情報保護マネジメントシステムの運用を、事業者自らが責任を持って運用することを求めるものです。したがって、日常の運用状況を確認する現地審査において、事業者と直接的な雇用関係や勤務の実態がない者が対応することは、この趣旨に反すると考えられます。
1-5 当社の本社は米国にありますが、日本における事業は日本法人として登記して推進しており、その代表取締役は米国本社と同じ者が兼務しています。
プライバシーマークの現地審査の場合、代表へのインタビューがあると思いますが、米国在住の代表取締役に代わって、実質的な日本での責任者が代表者代行として、インタビューを受けることは可能ですか。
もし、不可能であれば英語でのインタビューはできますか。
日本企業における実質的な責任者が、代表権を有していれば、インタビューを受けることは可能です。
代表権を有していない場合でも、代表取締役から実質的な責任者に日本における権限を委譲していることが確認できる正式な書面を提出頂ければ、対応することは可能です。
英語でのインタビューは対応ができませんので、通訳をお願いします。
2 指摘事項への対応
2-1 プライバシーマーク付与適格性審査時に受けた「指摘事項」に関しては、3か月以内に改善対応結果を再提出となっていますが、その後に「再指摘事項」を受けた場合に関しては、3か月と言う期限がないということで間違いないですか
指摘事項への改善対応の報告は、「プライバシーマーク付与適格性審査の実施基準(PMK220)」の規定により改善の指摘を送付(否認の決定)の日から3か月以内に行うことができるようになっています。
したがって、ルール上は「再指摘事項」がある場合は、否認の決定をすることになりますが、実際には「再審査指摘」を受けた場合は、1か月以内に改善報告書を再提出するように運用しています。
プライバシーマーク付与適格性審査の実施基準(PMK220)(運営要領ページへ)