現地審査
現地審査について
文書による審査が終了すると、現地審査を実施します。
現地審査では、個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用されているか等について確認します。
審査料および現地審査に係る交通費、宿泊費(審査機関の規程を適用)については、現地審査終了後、請求書が送付されますので、速やかに指定の口座にお振込みください。
なお、審査機関は、審査料および現地審査に係る費用の振込みがない間、審査を中止することが出来るものとします。
現地審査では、概ね以下のようなことを行います。
現地審査の流れ
1.トップインタビュー
事業者の代表へのインタビュー(トップインタビュー)を行います。トップインタビューでは概ね以下のような事項について、状況を確認します。
- 事業内容、経営方針等について
- 個人情報に関する事故の有無
- 申請動機や個人情報保護の目的
- 個人情報保護方針について
- 個人情報保護のための人的資源(体制)について
- マネジメントレビュー
- PMSの継続的な改善について
2.PMS運用状況の確認
申請担当者や個人情報保護管理者、個人情報監査責任者等に対して、実際のPMSの運用状況を確認します。事業の内容を詳細にヒアリングし、個人情報を取り扱う業務ごとに個人情報の特定やリスクアセスメント、リスク対策および安全管理措置等の状況確認をします。
また、従業者の教育や内部監査等のPMS運用状況も確認します。
PMS運用状況の確認では、審査員が、運用状況の確認のために改めてPMS文書(内部規程や様式類)や、実際の運用の記録の提示を依頼させていただく場合がありますので、あらかじめご準備をお願いします。
3.現場での実施状況の確認
個人情報を実際に取扱っている執務室や作業場等で、事業者が講じている安全管理措置の実施状況を確認します。安全管理措置は、事業者のリスクを分析した結果に応じて講じられるものであり、一律の対応が求められるのではありません。
4.総括
総評として、審査員からPMS運用において改善が必要であると判断された事項(指摘事項)などについて、確認と説明をします。
指摘事項がある場合は現地審査後に指摘事項文書を送付しますので、指摘事項文書に記載の日付から3か月以内に、改善報告書を改善のエビデンスを添えて提出してください。
