APPLICATION
申請について
申請について
申請から付与の流れ
申請書類
審査に必要な申請書類は、以下の通りです。
申請方法
プライバシーマーク付与適格性審査を受けようとする事業者は、申請書類を以下住所のDPJCまで直接ご持参いただくか郵送等にてご提出ください。
(可能な限り宅配便のような授受記録の残る手段でご送付ください。)
送付先
〒060-0002 札幌市中央区北2条西3丁目1-16 太陽生命ひまわり札幌ビル 2階
一般社団法人北海道IT推進協会 北海道プライバシーマーク審査センター 宛
TEL:011-590-1109 FAX:011-207-1367
E-mail:dpjc@hicta.or.jp
お願い
申請書、および申請書類に添付する規程類は、「プライバシーマーク付与適格性審査申請チェック表」(新規申請用/更新申請用)で定める「必要書類」の順序に従い、2つ穴でファイル等に綴じ込んでご提出ください。
また、各規程には、名称を記載した見出し(インデックス)を貼付してください。
(インデックスの様式・種類等は問いません。)
【申請様式1**】プライバシーマーク付与適格性審査申請書② 参照
受取
郵送で受け取った申請書類については、まず申請書類の不足及び記載漏れを確認します。申請書類が全て揃っている場合は書類を預かり、請求書を送付しますので、プライバシーマーク申請料を、指定の口座に速やかに振り込んでください。入金を確認後、次の手続きに移行します。
受理
申請料の入金を確認した後、記載内容に不備がないか、申請資格があるか等の形式審査をします。この結果に問題がない場合は、申請を受理し、「プライバシーマーク付与申請に係る申請書類受領書」を送付します。
申請書類の記載内容に不備がある等の場合、申請事業者の費用負担で申請書類を返却させていただきます
書類審査
受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程類に準じた体制整備状況の視点から書類審査を行います。
基本的には、先に示した「付与の対象」としての条件を満たしていることが必要ですが、特に下記の事項については重要な条件となります。
- 個人情報の管理者が指名され、個人情報保護についての社内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
- 申請までに年1回以上、個人情報保護マネジメントシステム(PMS)の周知徹底の措置(教育、研修等)を実施していること。
- 申請までに1回以上、事業者内部の個人情報の保護の状況を監査していること。
- 当該者に係る個人情報保護に関する相談窓口が常設され、かつそれが消費者に明示されていること。
- 当該者が有する個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じていること。
- 企業外部への個人情報の提供、取扱いの委託を行う際には、 責任分担や守秘に係る契約を締結する等、個人情報について適切な保護が講じられるよう措置していること。
審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。
受理
書類による審査が終了すると、DPJCと申請事業者とで日程及び場所を調整のうえ現地審査を実施します。
これは書類上の審査において生じた疑義の確認及び個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。
現地審査では、概ね以下のようなことを行います。
1.代表者へのインタビュー
- 個人情報に関する事故の有無確認
- 事業内容/経営方針
- プライバシーマーク申請のきっかけ
- 個人情報保護方針とその周知方法
- 個人情報保護管理者・監査責任者の任命
- マネジメントレビュー
2.運用状況の確認
申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
- 個人情報を取り扱う業務の確認
- 特定の手順
- 教育・訓練
- 監査
- 委託契約・選定基準
-
リスクの認識と処理
輸送/オンサイト委託/ネットワーク
不正アプリケーション/ウィルス/リモートアクセス
- 電話帳データ等情報主体の同意を取れてないものの利用・提供の有無
- 情報主体からの要求に対する対応
3.現場での実施状況の確認
- 個人情報保護方針の周知状況
-
物理的アクセス制御
入口・マシン室・倉庫・書庫・金庫・引出し
鍵管理
-
論理的アクセス制御
クライアント/サーバ
暗号化
暗号鍵管理
-
バックアップ
記録媒体の管理
-
記録 授受、破棄等の確認書類
入退室、アクセスログ
管理台帳
-
オンライン特有の処置
個人情報保護方針の掲載
収集時のSSLの使用
サービス、業務毎の”同意文言”
Cookieなどのウェブバグの利用の有無
クロスサイトスクリプティング(CSS)などのセキュリティ対策
4.総括
- 指摘事項等
付与適格決定と通知
書類による審査および現地審査の結果に基づき、プライバシーマーク付与適格性の有無を決定(付与適格決定)します。決定結果は、申請者に対してプライバシーマーク付与適格性審査申請に係る審査結果通知によって行います。 審査の結果、改善要望事項がある場合は、文書でその旨を通知しますので指摘事項の改善確認後に再審査されることになります。
付与契約
プライバシーマーク使用料の振り込み
プライバシーマーク付与適格決定の通知を受けた申請者は、指定の期日までにプライバシーマーク登録料として、適格決定の有効期間2年間分に相当する金額を「プライバシーマーク付与登録料請求書」に基づき一括して付与機関であるJIPDEC(一般財団法人日本情報経済社会推進協会)に振り込んでください。
付与契約と登録証の交付
付与機関であるJIPDEC(一般財団法人日本情報経済社会推進協会)は、登録料の振込を確認した後、当該事業者に対してプライバシーマーク付与契約書と登録証を交付します。 プライバシーマーク付与契約書は、プライバシーマーク使用に関する事項を定めたもので、契約期間はマーク付与の有効期限である2年間とします。(更新の手続きをとって使用の更新を行うことができます。)
付与事業者情報の公表
付与適格決定の結果は、速やかにDPJCのホームページで公表します。
申請事項の変更について
申請書類提出後および付与適格決定後に、申請された事項に変更がある場合は、すみやかにDPJCへの報告が必要です。
報告は、以下のとおり、様式を作成の上、下記宛送付してください。
変更報告が必要な事項
- 付与事業者名
- 本社住所
- 代表者
- 個人情報保護管理者
- 申請担当者
※なお、1.~3.の事項については、登記簿謄本を添付の上、提出してください。
様式「プライバシーマーク付与に係る変更報告書」
送付先
〒060-0002 札幌市中央区北2条西3丁目1-16 太陽生命ひまわり札幌ビル 2階
一般社団法人北海道IT推進協会 北海道プライバシーマーク審査センター 宛
TEL:011-590-1109 FAX:011-207-1367
E-mail:dpjc@hicta.or.jp
※「変更報告書在中」と明記してください。
個人情報の取扱いにおける事故等の報告について
プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約(PMK500)」において、事業者からの事故報告を義務づけております。
提出された事故報告書については、「プライバシーマーク付与に関する規約(PMK500)」に基づいて欠格レベルを判断し、外部有識者を交えた審査会の審議を踏まえて、最終的な措置を行っています。また、審査中及び申請検討中事業者からの事故報告についても、同規約に基づき運用しています。
報告対象事業者
報告対象事業者は次のとおりです。
- プライバシーマーク付与事業者(付与事業者)
- プライバシーマーク付与適格性審査の申請をしている事業者(審査中事業者)
- プライバシーマーク付与適格性審査の申請を検討している事業者(申請検討中事業者)
事故報告について
事故が発生した場合は、「一般財団法人日本情報経済社会推進協会(JIPDEC)」のホームページ(HP)をご確認して、報告してください。
なお、事故の報告は、事故を起こした事業者への制裁を目的にしているものではなく、当該事業者において、事故の重大さを認識していただき、適正な改善策と実施及び再発防止を徹底することにより、個人情報保護体制をさらに強化していただくことを目的としているものです。
さらに、事故の集計・分析、及びその結果の係る注意喚起・情報提供を通じて、プライバシーマーク制度に対する信頼性の維持・向上、ひいては付与事業者・取引先からの信頼の向上につなげることも目的としています。
一般社団法人北海道IT推進協会
北海道プライバシーマーク審査センター 宛
E-mail : dpjc@hicta.or.jp
報告書の取扱い
提出された事故報告書は、報告いただいた個人情報の取扱いにおける事故の欠格性を判断するためにDPJC並びにJIPDECで利用します。また、概要作成や注意喚起の為に内容を利用することがあります。
報告をいただいた事故の内容については、プライバシーマーク付与適格性の審査に反映するために、DPJC並びにJIPDECにて情報を共有します。
JIPDEC認定個人情報保護団体対象事業者の場合には、認定個人情報保護団体事務局へ共有します。