【ご案内】当サイトの閲覧には、SSL対応のブラウザをご利用ください。⇒WEBサイトの利用について

ホーム > 新規申請方法 > 4.現地審査

4.現地審査

このページの目次
現地審査について
1.代表者へのインタビュー
2.運用状況の確認
3.現場での実施状況の確認
4.総括

現地審査について

文書による審査が終了すると、申請事業者に対して現地審査を実施します。

これは、文書上の審査において生じた疑義の確認、および個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。

  • 審査料及び現地審査に係る交通費、宿泊費(プライバシーマーク指定審査機関及び付与機関の旅費規程を適用)については、現地審査終了後請求書を送付しますので、速やかに指定の口座に振り込んでください。
  • なお、プライバシーマーク指定審査機関及び付与機関は、現地審査に係る費用の振込みのない間、審査を中止することが出来るものとします。

現地審査では、概ね以下のようなことを行います。

1.代表者へのインタビュー

  • 個人情報に関する事故の有無確認
  • 事業内容/経営方針
  • プライバシーマーク申請のきっかけ
  • 個人情報保護方針とその周知方法
  • 個人情報保護管理者・監査責任者の任命
  • 代表者として認識しているリスク
  • 事業者の代表者による見直し(マネジメントレビュー)

2.運用状況の確認

申請担当者、個人情報保護管理者、監査責任者等へのヒアリング

  • 事業の概要
  • 個人情報を取り扱う業務の確認
  • 個人情報を特定する手順
  • リスクの認識、分析、対策
  • 個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
  • 委託時の措置(委託先選定基準、委託契約)
  • 本人からの要求に対する対応
  • 教育
  • 運用の確認、監査
  • 是正及び予防措置
  • 事業者の代表者による見直し

3.現場での実施状況の確認

  • 個人情報保護方針の周知状況
  • 物理的安全管理措置
    • 建物、室、サーバー室等の入退館(室)管理
    • 盗難等の防止
    • 機器・装置の物理的な保護
  • 技術的安全管理措置
    • アクセス時の識別と認証(アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更新・廃棄)
    • アクセス制御、アクセス権限の管理、アクセスの記録
    • 不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)
    • 移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングやSQLインジェクションなどへの対策)
    • 情報システムの動作確認時の対策

4.総括

  • 指摘事項等