「申請書類の作成及びJIPDECまたは指定審査機関への申請」、そして「審査及び現地審査の受審」がプライバシーマークの認定を受けるためには必要です。
プライバシーマーク認定事業者になるのは、合格後のプライバシーマーク付与契約の締結後となります。
プライバシーマークの申請に関する条件は?
プライバシーマークを申請を出来る事業者の条件というのがJIPDECの規定で定められています。
申請できる条件は、まず国内に活動拠点を持つ民間事業者であること。
そして個人情報保護マネジメントシステムー要求事項(JIS Q 15001 2006)に準拠した個人情報保護マネジメントシステム(PMS)を定めていること。
さらに個人情報保護マネジメントシステム(PMS)に基づき個人情報の適切な取扱いが実施可能であり、また実施されていること。
2006年版JISが公表されてから、個人情報マネジメントシステム(PMS)がその2006年版JISに対応していることを事業者自らが点検済みであること。
個人情報保護マネジメントシステム(PMS)を構築する従業者が2名以上いることです。
そして、欠格次項に該当しない事業者であること、と定義されています。
また、民間の事業者以外(自治体等)であっても、条件を満たしていれば申請をする事が可能です。
プライバシーマークを申請できる単位とは?
プライバシーマークを申請できる事業者の単位は法人単位であるとJIPDECでは規定されています。
一定の条件を課した上で事業部門単位で認定を受けることが、制度開始から一時期までは可能でしたが、2005年4月1日から個人情報保護法が全面的に施行されてからは、事業者の一部門を認定する措置を終了しています。これは、国内のほとんどの事業者がこの法律に法人として適合する義務を負う環境となったことが理由です。
したがって原則として、事業部門等の一部の単位では付与認定を受けることはできません。
プライバシーマーク申請にかかる費用は?
プライバシーマークの申請にかかる費用には「申請料」、「審査料」、「付与登録料(2年分の料金)」があります。
形式検査の結果、受理できない場合であっても「申請料」は返却されません。
文書審査、現地審査、改善内容の確認審査、審査報告の各費用を全てまとめたものが「審査料」で、事業者の規模、従業者数及び業種によって費用は異なります。
なお、この「審査料」には審査にかかる宿泊費、旅費、移動時間は含まれてはいないため、JIPDECまたは各指定期間の規定により別途請求されることになります。
現地持参に要する標準時間の目安は通常5時間から8時間と想定されており、事業所が分散している、また取扱う個人情報の種類が多い事業者等の場合には、標準時間を超える場合もあることから事前に協議の上で現地審査時間と現地審査料を決定します。
なお「登記された資本金の額又は出資の総額」、「従業者数」、「業種」を基準として、事業者規模の区分(小規模、中規模、大規模)を判定します。
例外として資本金の額又は出資の総額が登記されていない無限責任の事業者(合名会社、合資会社等)の場合は、従業者数と業種、同様に、資本金の額又は出資の総額が登記されていない社団法人や財団法人についても、従業者と業種のみで判定されます。
また「従業者」とは、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に基づき、「真性事業者の組織内で直接・隣接に事業者の指揮監督を受けて業務に従事している者」を指しています。
したがって対象となるのは雇用関係にある者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)だけではなく、取締役、執行役、理事、監査役、監事、派遣社員等も含まれます。
製造業その他の業種には、製造業のほかに鉱業、建設業、電気・ガス・熱供給・水道業、運輸業、通信業、金融・保険業、不動産業およびその他の業種(ただし卸売業、小売業(飲食店を含む)、サービス業は除く)に属する事業を主たる事業としている事業者が含まれます。
なお現地審査時点の人数をもって、従業者数は確定するものとします。
それから一般労働者派遣事業者の場合ですが、派遣している実働スタッフについては従業者に該当します(個人情報保護マネジメントシステムの適用対象です)が、事業者の規模の判定の際には従業者の数には含めません。
最後に、従業者(役員を含む)が一人しかいない事業者の場合は、プライバシーマーク制度では同一人が個人情報保護管理者と個人情報保護監査責任者を兼務する事を認めていないため、マーク付与の対象となりません。
以上が、プライバシーマークの取得にかかる費用です。
ただし、再調査が必要になる場合があります。それは初回審査で不合格になった場合と、対応報告(指摘事項への対応結果報告など)が著しく遅延したことにより、その間に事業または体制の著しい変更などが生じた場合です。この場合は再調査費が請求されます。
申請できない事業者
「プライバシーマーク付与適格性を有しない者」、「付与適格性審査の申請ができない者」はプライバシーマークの申請ができない事業者としてJIPDECでは規定しています。
なお、「プライバシーマーク付与適格性を有しない者」とは、「外国法人(例外として、日本の法律に基づいて支店として登記している場合、及び日本国内で取得した個人情報の取扱いが日本国内に限られる場合)」、及び「禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない役員、及び個人情報保護法の規定により刑に処せられた者で、その執行を終わり、又は執行を受けることがなくなった日から2年を経過していない者がいる事業者」、そして「インターネット異性紹介事業者のうちJIPDECが規程した条件を満たす事ができない者(詳細についてはJIPDECの規程を参照)」です。
また、「付与適格性審査の申請ができない者」については「審査機関から適格性を有しない旨の決定を受けた事業者及び付与適格性審査の審査料及び審査に係る旅費の不払いが理由で審査機関が審査を打切った事業者で、申請不可期間3ヶ月の事業者」と、「審査機関から審査の過程において審査を打切られた事業者、付与の取消しをうけた事業者及び付与契約の解除をうけた事業者で申請不可期間1年の事業者」及び「個人情報の取扱いに関する事故についての判断基準により申請不可期間を判断された、その期間内の事業者」と定義しています。