個人情報保護マネジメントシステムを制定しただけではプライバシーマークの申請はできません。
システムのある程度の運用及び点検が必要となってきます。
運用している証拠として、マークの申請時には「教育の実施記録」、「監査の実施記録」及び「事業者の代表者による見直し実施記録」が必要になります。
プライバシーマーク申請から審査、取得まで
個人情報保護マネジメントシステムのPDCAが一通り回った状態で、はじめてプライバシーマークの取得申請が可能になります。
申請から取得には「申請書類の作成」、「JIPDECまたは指定審査機関への申請」、「申請書類の記載内容等に関しての審査及び現地審査の受審」、「付与適格決定後の使用契約の締結」という手順を踏むことになります。
申請書類を作成する
「プライバシーマーク付与適格性審査申請チェック表」、「個人情報保護体制」などの専用の様式を用いて作成ものと、「会社案内」、「登記事項証明書」および「個人情報保護マネジメントシステム(PMS)文書一式」などの事業者が個別に準備するもの、以上が申請に必要な書類です。
「規程の様式」に関しては3-3の節で紹介します。
なお申請書類は紙媒体での提出となり、提出した申請書類は原則返却されないため、記録類は原本ではなくコピーを提出することになります。
また、指定審査期間に申請する場合、当該の指定審査機関の指示に従って下さい。
プライバシーマーク指定審査機関またはJIPDECに申請する
申請先については、「プライバシーマーク指定審査機関」がある事業者は該当する「指定審査機関」へ、それ以外の事業者は「付与機関」(JIPDEC)の受付窓口に申し込むことになります。
ただし、JIPDECでは現在は、従来の業界区分ごとの審査を担当するプライバシーマーク指定審査機関に加えて、地域区分で審査を担当する機関として6団体を指定しています。(例外として、保健・医療・福祉分野の事業者については、地域に関係なく原則としてこの分野を担当する審査機関である「医療情報システム開発センター(MEDIS-DC)」に申請します)
申請書類を提出すると、まず「プライバシーマーク指定審査機関」にて、申請書類の不足及び記載漏れについて確認されます。
不備が無い場合は「申請料請求書」が送付され、申請事業者は請求書が届き次第、指定口座に速やかに振り込みをします。(申請書類に不備がある場合は、申請事業者の費用負担にて返却されます)
「プライバシーマーク指定審査機関」または「付与機関」で申請料の入金が確認されると、申請書類の記載内容に不備がないか、申請資格の有無、そして事業概要からの業種判断、等の形式審査を実施します。
場合によっては、修正された申請書類、または追加が必要な申請書類の提出を依頼されることがあります。
形式審査の結果、申請が受理されると「プライバシーマーク付与適格性審査に係る申請書類受領書」が送付され、業種と規模について連絡を受けることになります。
文書審査
ここでは個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)に関する文書審査が実施されます。
なお、文書審査では、「内部規程のJIS Q 15001への適合状況」及び「すべての従業者がJIS Q 15001に適合した内部規程を順守し、個人情報の保護を実現するための具体的な手順、手段等の規定状況」の確認をします。
最低限、以下に関する具体的な手順、手段等を内部規程に定める必要があります。ただし下記の通りの構成にする必要はなく、内部規程の構成、名称等は事業の実態を踏まえて作成されていれば問題ありません。
- 個人情報を特定する手順に関する規定
- 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
- 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
- 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
- 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
- 個人情報の取得、利用及び提供に関する規定
- 個人情報の適正管理に関する規定
- 本人からの開示等の求めへの対応に関する規定
- 教育に関する規定
- 個人情報保護マネジメントシステム文書の管理に関する規定
- 苦情及び相談への対応に関する規定
- 点検に関する規定
- 是正処置及び予防処置に関する規定
- 代表者による見直しに関する規定
- 内部規程の違反に関する罰則の規定
文書審査実施時には、申請時に提出した様式2006-6「個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の一覧」、様式2006-7「JIS Q 15001要求事項との対応表」を参考にして内部規程の構成を確認することがあります。
文書審査結果として「PMS文書審査チェックリスト」が、受理・形式審査後、現地審査実施までのタイミングで送付されます。
文書審査において指摘がある場合には、現地審査までに内部規程・様式の改善が必要になります。
現地審査時に改善状況については確認がなされます。
なお万が一、文書審査の結果、現地審査の実施が難しいと判断された場合は、事業者に相談される場合があります。
現地審査
書類審査が終了すると、次は現地審査が行われます。これは、書類上の審査において生じた疑義の確認、及び個人情報保護マネジメントシステムの通りに体制が整備され、適用しているかなどについて確認するために行なわれるものです。
「代表者へのインタビュー」、「適用状況の確認」、「現場での実施状況の確認」そして「総括(指摘事項の報告など)」が審査として行われます。
プライバシーマーク付与適格決定と通知、登録証の交付
以上のように、文書による審査、そして現地審査の結果に基づき、プライバシーマーク付与適格性の有無が決定されます。
決定結果は「プライバシーマーク付与適格性審査通知」の送付をもって行われます。
プライバシーマーク付与適格決定の通知を受けた申請者は、付与契約の有効期間2年間分に相当する金額を「付与登録料請求書」に基づき、指定期日までに一括して付与機関に振り込みます。付与機関で登録料の振込が確認されると、当該事業者に対してプライバシーマーク付与契約と登録証が交付されます。
なお、プライバシーマーク付与契約は、マークの使用に関する事項を定めたもので契約期間は2年間になります。(これは更新の手続きをもって使用の更新を行うことができます)
この登録の結果は、付与機関のホームページで速やかに公表されます。