4.現地審査
- このページの目次
- 現地審査について
- 1.代表者へのインタビュー
- 2.運用状況の確認
- 3.現場での実施状況の確認
- 4.総括
現地審査について
文書による審査が終了すると、申請事業者に対して現地審査を実施します。
これは、文書上の審査において生じた疑義の確認、および個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について確認するために行うものです。
- 審査料及び現地審査に係る交通費、宿泊費(プライバシーマーク指定審査機関及び付与機関の旅費規程を適用)については、現地審査終了後請求書を送付しますので、速やかに指定の口座に振り込んでください。
- なお、プライバシーマーク指定審査機関及び付与機関は、現地審査に係る費用の振込みのない間、審査を中止することが出来るものとします。
現地審査では、概ね以下のようなことを行います。
1.代表者へのインタビュー
- 個人情報に関する事故の有無確認
- 事業内容/経営方針
- プライバシーマーク申請のきっかけ
- 個人情報保護方針とその周知方法
- 個人情報保護管理者・監査責任者の任命
- 代表者として認識しているリスク
- 事業者の代表者による見直し(マネジメントレビュー)
2.運用状況の確認
申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
- 事業の概要
- 個人情報を取り扱う業務の確認
- 個人情報を特定する手順
- リスクの認識、分析、対策
- 個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
- 委託時の措置(委託先選定基準、委託契約)
- 本人からの要求に対する対応
- 教育
- 運用の確認、監査
- 是正及び予防措置
- 事業者の代表者による見直し
3.現場での実施状況の確認
- 個人情報保護方針の周知状況
- 物理的安全管理措置
- 建物、室、サーバー室等の入退館(室)管理
- 盗難等の防止
- 機器・装置の物理的な保護
- 技術的安全管理措置
- アクセス時の識別と認証(アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更新・廃棄)
- アクセス制御、アクセス権限の管理、アクセスの記録
- 不正ソフトウェア対策(ウィルス対策ソフトウェア、セキュリティパッチ等)
- 移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングやSQLインジェクションなどへの対策)
- 情報システムの動作確認時の対策
4.総括
- 指摘事項等