プライバシーマーク現地審査について

文書審査が終了すると、現地審査が実施されます。

＜目的＞

• 個人情報保護マネジメントシステム（PMS）の通りに体制が整備され、運用しているか等についての確認
• 文書審査において生じた疑義の確認

＜現地審査の内容＞

１．代表者へのインタビュー

• 個人情報に関する事故の有無確認
• 事業内容／経営方針
• プライバシーマーク申請のきっかけ
• 個人情報保護方針とその周知方法
• 個人情報保護管理者・監査責任者の任命
• 代表者として認識しているリスク
• 事業者の代表者による見直し（マネジメントレビュー）

２．運用状況の確認
（申請担当者、個人情報保護管理者、監査責任者等へのヒアリング）

• 事業の概要
• 個人情報を取り扱う業務の確認
• 個人情報を特定する手順
• リスクの認識、分析、対策
• 個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
• 委託時の措置（委託先選定基準、委託契約）
• 電話帳データ等本人の同意を取れてないものの利用・提供の有無
• 本人からの要求に対する対応
• 教育
• 運用の確認、監査
• 是正及び予防措置
• 事業者の代表者による見直し

３．現場での実施状況の確認

• 個人情報保護方針の周知状況
• 物理的安全管理措置
  • 建物、室、サーバー室等の入退館（室）管理
  • 盗難等の防止
  • 機器・装置の物理的な保護
• 技術的安全管理措置
  • アクセス時の識別と認証（アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更新・廃棄）
  • アクセス制御、アクセス権限の管理、アクセスの記録
  • 不正ソフトウェア対策（ウィルス対策ソフトウェア、セキュリティパッチ等）
  • 移送・通信時の対策（授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングやSQLインジェクションなどへの対策）
  • 情報システムの動作確認時の対策

４．総括

• 指摘事項等

出典：一般財団法人日本情報経済社会推進協会　プライバシーマーク事務局