プライバシーマーク取得の現地審査

書類審査が終了すると、申請事業者に対して現地審査が実施されます。現地審査とは、書類審査において生じた疑義の確認、個人情報保護マネジメントに従った体制が整備され、実施・運用がなさされているかをチェックするものです。以下のように多岐の事項について審査が行われます。

代表者へのインタビュー

  • 個人情報に関する事故がこれまでにあったかどうか
  • 事業内容とその経営方針
  • プライバシーマーク導入の動機
  • 個人情報の保護方針とその周知徹底方法
  • 個人情報保護統括管理者と監督責任者の任命
  • 代表者による見直し

申請担当者、個人情報保護管理者、監査責任者等へのインタビュー

  • 個人情報を取扱っている業務内容
  • 個人情報の特定の手順とリスク評価
  • 個人情報の保護手順と実績の確認
  • 教育訓練の状況
  • 監査での指摘とその是正状況
  • 委託契約・選定基準
  • リスクの認識と処理
  • 電話帳データ等情報主体の合意を取れていないものの利用・提供の有無
  • 情報主体からの要求に対する対応

現地での実施状況の確認

  • 個人情報保護方針の周知状況
  • 物理的アクセス制御(入口・マシン室・金庫・引き出し・鍵管理)
  • 論理的アクセス制御(暗号化処理や暗号鍵の管理等)
  • バックアップ(バックアップの頻度とデータの保管場所等)
  • 記録(入退室及びデータへのアクセスログ等)
  • オンライン特有の処置(SSLの使用、Cookieなどの利用の有無、業務ごとの同意文言)