ホーム > よくある質問と回答 > FAQ:4.新規申請について
FAQ:4.新規申請について
- よくある質問カテゴリー
- 4-1 申請をお考えの方へ
- 4-2 付与対象
- 4-3 協同組合での申請
- 4-4 LLC、LLPでの申請
- 4-5 子会社(出向社員)での申請
- 4-6 企業グループでの申請
- 4-7 個人情報取扱事業者以外の申請
- 4-8 区分
- 4-9 必要資料・書類
- 4-10 その他
4-1 申請をお考えの方へ
4-1-1 申請を考えていますが、どのように準備したらよいかわかりません。
最初に何を参考とすればよいですか。
参考資料としては 以下のようなものがあります。
- プライバシーマーク制度は、下記の日本工業規格(JIS)の考え方に沿って審査をおこないますので、まず最初に参考としてご覧ください。
- JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項
- (財)日本規格協会のオンラインショップあるいは 一般書店からの取寄せ・注文で購入できます。
- 制度を運営している当協会では次のガイドラインを公表し、個人情報保護マネジメントシステム(PMS)構築の具体的な進め方を一連の流れとして紹介しています。また、このガイドラインはJIS Q 15001:2006への適合性を評価するための審査基準となるものです。
- 「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」(JIPDEC編)(PDF:1.5MB)
- 冊子体によるハンドブックとして下記のものが刊行されています。
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン[第2版]」((財)日本規格協会 発行;定価2,625円税込)
- その他、事業所等を所管する各省庁でも個人情報の保護に関するガイドラインを策定しております(例:経済産業省では「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」)。適宜 参考としてください。
なお、消費者庁の下記ページでは個人情報保護に関するさまざまなガイドラインをご紹介しております。
http://www.caa.go.jp/seikatsu/kojin/gaidorainkentou.html - また、プライバシーマーク制度説明会を実施しておりますので、機会があればご参加ください。
- 実施スケジュール
- http://privacymark.jp/seminar/index.html
- 過去に実施した際の配布資料
- http://privacymark.jp/seminar/documents/index.html
4-1-2 申請する前に、どのような準備が必要ですか?
プライバシーマークの申請書類を作成するには、マネジメントシステム原則に基づいた計画の作成(P)・実施(D)・点検(C)・見直し(A)というサイクルを実施しておく必要があります。
具体的にはPMSの構築・明文化・社内での周知・運用の監査・代表者の見直しという内容です。
申請書類の中には、これらの実施記録と規程類が含まれているため、実施していなければ書類の作成ができません。
PMS構築の流れについては 下記URL をご参照ください。
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」(JIPDEC編)(PDF:1.5MB)
また、中小企業のみなさまには「PMS構築相談室」を常設しておりますので、相談のお申込はホームページからお願いします。詳細は 03-5860-7567(月曜~金曜:9:30 - 12:00,13:00 - 17:00)へお問合せください。
4-1-3 申請書類の提出から認定まではどのような流れになりますか?
新規のご申請については 大まかな流れを下記URLに掲示しています。
http://privacymark.jp/application/new/index.html
申請書類については「1. 申請書類の作成」をご覧になると、Word形式で一括ダウンロードできるようになっています。
申請書類の提出先は、業種、あるいは本社所在地により審査機関が決まっております。
「2.申請」でご確認ください。
図にもありますが、申請書類を受取った後に申請料の請求書を発行し、ご入金を確認した後に審査が始まりますので、ご理解のほどお願いいたします。
また、各プロセス間に要する期間については ご申請を提出される時期、あるいは審査機関によっても異なりますので、直前にご確認ください。
4-1-4 どのようなタイミングで費用を支払うのでしょうか?
プライバシーマークの認定に係る費用は「申請料」「審査料」「マーク付与登録料」に分かれていますが、いずれも申請された審査機関あるいは当協会から請求書をお送りし、お支払いをお願いしています(http://privacymark.jp/application/cost/index.htmlをご参照ください)。
「申請料」は申請書類をご提出直後、「審査料」については現地審査終了後、「マーク付与登録料」については付与適格決定後に請求書を発送しますので、場合によっては年度をまたがることもあります。
4-2 付与対象
4-2-1 Pマークの付与対象についてお教えください。
法人として登記された株式会社などでないといけないのでしょうか。
個人事業主として屋号を届け出て営業しており、かつ従業員を雇用している場合は付与対象にはならないでしょうか。
Pマーク付与の審査基準であるJIS Q 15001では、事業者は「事業を営む法人その他団体又は個人」と定義されています。
もっとも、マネジメントシステムというものに内在する条件として、組織体と言える実態が無ければなりません。
法人であっても一人会社の場合は付与の対象となりませんし、組織体としての実態があれば、法人でなくても付与の対象となります。
したがいまして、組織体としての実態があれば、個人事業主も付与の対象となります。
4-2-2 私共は、私と従業員1名、合計2名の会社を営んでおります。
社員数2名の会社でも申請することは可能でしょうか?
代表者、個人情報保護管理者、個人情報保護監査責任者、対応窓口など2人で分担、兼務することになりますが制度上、問題はありますか。
小規模の会社の場合、兼務はやむをえません。
ただし、個人情報保護管理者と個人情報保護監査責任者は必ず別人でなければなりません。
その条件を満たせば、最低限、2名から申請を受付けます。
代表者の兼務については「運用について」の個人情報保護監査責任者を参照してください。
4-2-3 プライバシーマークの取得が事実上無理な業種はありますか。
業務の性質上、個人情報の取扱いがどうしてもJIS Q 15001の要求事項を満たすことができないと思われる業種が存在します。
たとえば、JIS Q 15001の要求事項「3.4.2.2適正な取得」では、「適法、かつ、公正な手段によって個人情報を取得しなければならない。」と規定されていますが、身分や目的を偽ったり、尾行したりして、本人の個人情報を取得する様な場合は、この規定に反しますので、このような事業者は事実上プライバシーマークを取得できないと考えられます。
4-3 協同組合での申請
4-3-1 協同組合での取り組みを検討しています。
組合員各企業のPマーク使用は必要ないのですが、協同組合自体での認証を希望しております。
組合事務所(組合自体)には、5人しか在籍しておりません。
その際、事業規模は小規模での申請が可能でしょうか。
事業者の規模は、事業内容(業種)、資本金、従業者数(従業員数ではなく)で決まります。
下記URLをご覧ください。
http://privacymark.jp/application/cost/segment.html
協同組合はサービス業に該当し、従業者数が5人以下の場合に小規模事業者となります。
組合員は従業者に含めません。
付与の対象は協同組合自体であり、組合員は対象外です。
Pマークは、協同組合の従業者のみ使用でき、組合員は使えません。
4-4 LLC、LLPでの申請
4-4-1 LLC(有限責任会社)やLLP(有限責任組合)の場合、Pマークを取得できますか。
いずれの場合も、業務を実施する者が2人以上いることが必要です。
また、あくまで組織に対しての付与ですので、LLPの場合はLLPとしての活動範囲に限ってPマークの使用が認められるのであって、組合員個人としての活動にPマークを使用することはできません。
4-5 子会社(出向社員)での申請
4-5-1 弊社の子会社でPマーク取得を検討しています。
子会社の社員は全社員が「親会社からの出向社員」です。
従って「個人情報保護管理者」や「個人情報保護監査責任者」やその他すべての個人情報保護体制を「出向社員」で構成します。
このような子会社でPマーク取得の申請ができますか?
特に問題となることはありませんが、経済産業省が平成19年3月末に公表した
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
の43頁から44頁にかけて、雇用管理に関する個人データ関連として、出向元の会社と出向先の会社との関係で留意する事項が記述されていますので、注意してください。
なお、JIS Q 15001では保護の対象は「個人情報」であって「個人データ」ではありませんので、上記ガイドラインを参考にする場合、「個人データ」と書いてあるところは「個人情報」と読み替えるようにしてください。
4-6 企業グループでの申請
4-6-1 弊社は企業グループで同一の個人情報保護マネジメントシステムを数社のグループ会社で運用する形態となります。
企業グループで申請する場合、【様式2006-2】『会社概要』は企業グループ全体での記述でよろしいでしょうか。
また、【様式2006-5】『個人情報保護体制』、及び各実施記録についてはグループ会社の1法人単位で作成したいと考えていますが問題はないでしょうか。
そのほか、企業グループで申請する場合の申請書類作成時の注意点がありましたらお知らせください。
まず、申請は法人単位でのみ受け付けており、企業グループとしての申請は受け付けていないということを確認させていただきます。
すべての申請書類は、法人単位で記載してください。
なお、申請担当者も含め、個人情報保護の体制の構成員は各法人の社員の方にしてください。
同じグループに所属していて同じ考え方の下にPMSを構築したので、ほぼ同じ時期に同じ審査員が審査したほうがよい(審査自体は別々に行います)といったことがありましたら、様式2006-2の「所属する企業グループ名」欄に記載してください。
4-7 個人情報取扱事業者以外の申請
4-7-1 Pマーク取得にあたっては、JIS Q 15001に適合した個人情報保護体制を構築・運用していることが必要だと思いますが、弊社が扱っている個人情報は、社員情報の他には取引先の企業から、商品を直接お客様に送るための氏名・住所等があります。
ただし、直接お客様とコンタクトする機会は一切ありません。
弊社の場合、お客様本人から自己の個人情報を開示・訂正の要求に応じる仕組み等は有していないのですが、申請対象になるのでしょうか。
また、そもそも申請の対象になるのは、個人情報取扱事業者でしょうか。
個人情報取扱事業者に該当するか否かにかかわりなく、申請できます。
開示・訂正等の要求に応じなければならないのは、それが開示対象個人情報に該当する場合です。
受託で取り扱う個人情報は、通常、開示対象個人情報ではありませんので、そもそも応じる必要はありません。
したがって、開示・訂正等の要求については、御社に存在する開示対象個人情報について応じる仕組みを構築してください。
どこの会社でも、最低限、従業者の情報は開示対象個人情報に該当するであろうと考えられます。
4-8 区分
4-8-1 弊社はウェブのシステム開発とインターネットサイトを運営しておりますが、製造業という区分になるのか、サービス業になるのか教えてください。
システム開発とインターネットサイトの運営をなさっているのであれば、「サービス業」の中の「情報サービス・調査業」に該当いたします。
4-9 必要資料・書類
4-9-1 Pマーク事務局などのHPや、取得に向けての参考資料を読む中で、「法令」「条例」「ガイドライン」などの文書を資料として用意したほうが良いとありました。
JIS Q 15001などのガイドラインについては、資料を用意することにしましたが「個人情報保護法」「地方自治の条例」「労働基準法」などの法令、条例などについても社内資料として、準備または保管管理する必要があるのでしょうか。
また、保管する必要がある場合、どのような形で保管したらよいのか審査時に審査の対象となるのかも教えてください。
まず、なぜ参考資料等にそのように書いてあるかをご理解ください。
それは御社が法令違反を犯さないために、御社が関連する法令等については、その制定・改廃状況に注意しておきなさいということです。
そして、もし制定・改廃があった場合、それを内部規程に反映する必要があれば、速やかに反映しなさいということです。
社内資料として準備または保管管理することについては、内部規程への反映という観点から、どこまで必要かをご検討ください。
どの範囲の法令等を見ておく必要があるかは、事業者の業務内容によって変わりますので、御社でご判断ください。
4-9-2 事業者(法人)の実在を証する公的書類は、印鑑証明でもいいでしょうか。
商業登記された事業者は、印鑑証明ではなく、「履歴事項全部証明書」あるいは「現在事項全部証明書」を提出してください。商業登記のない事業者は、申請を予定している審査機関へお問い合わせください。
4-9-3 登記簿謄本に同じ内容が書いてあるのに、定款はなぜ必要なのでしょうか。
定款は、団体としてのガヴァナンスが確立しているか(多数決の原則が行われ、構成員の変更にも関わらず団体そのものが存続し、代表の方法・総会の運営・財産の管理その他団体として主要な点が確定していること等)を確認するために必要です。マネジメントシステム実行のためには組織としてのガヴァナンスが確立していない団体にマネジメントシステムが実行できるとは考えられないからです。
4-10 その他
4-10-1 現在、弊社では10月頃にPマーク申請の予定です。
弊社の「個人情報管理責任者」は現在、会社法上の監査役になっておりますが9月末で退任予定です。
この場合、Pマーク申請時に登記簿謄本が前年度の状態(監査役)で申請した場合、御社のガイドラインの規定(会社法上の監査役が体制の一部を占めていない事)に矛盾してしまいますが、問題はないでしょうか?
申請の時点で、最新の登記簿をご提出ください。
商法上の監査役であるかどうかは登記簿により確認します。
なお、申請自体を受け付けないということではありません。
文書審査、現地審査において、指摘される可能性があり、お申出の監査役変更がなされていることを確認するため、登記簿の再提出を要求される可能性はあります。
4-10-2 弊社では、社員の個人所有のパソコンを社内で使用し、文書作成、管理分析などを行う場合があります。
個人所有のパソコンを社内で使用していて問題にならないのでしょうか。
入退室などの管理規程をきちんと整えた場合、Pマーク取得が可能でしょうか。
講じ得るリスク対策は、事業者の規模や業務内容によって異なりますので、社員の個人所有のパソコンを業務用に使用することを許可しているからといって、一概に駄目とは申しません。
ただし、Winnyなどのファイル共有ソフトを通じて機密情報が流出する事例が続出していることを考えると、個人所有のパソコンを業務に使用させる上でのルールを厳守させるとしても、その残存リスクは非常に大きいと言えます。
したがって、監査だけでなく、少なくともJIS Q 15001:2006要求事項3.7.1に基づき、定期的に運用の確認を行うことを実施しなければ、Pマークの審査では、個人所有のパソコンの業務使用について、最低限の安全管理措置が実施されているとは評価できません。
大きな残存リスクがあることを認識した上で、それが顕在化しないできる限りの措置(御社として、できる限りの措置)を講じてください。
4-10-3 A社とB社はそれぞれ独立した企業であるが、同一ビルの同一フロアーを共同で借りて事業を行っている。
両社の使える範囲を取り決めてはいるものの、間には仕切りがない。
また、会議室や作業台等はお互いに共有して使用している。
このような状況下で、A社、B社がそれぞれ、Pマークを取得しようとした場合、認められるために必要な規定がガイドライン等で規定されていますか?
一つのフロアーを共有することのリスクをどう評価し、どう対策を講じるかという問題になります。
事業者によって取扱う個人情報の内容も、業務内容や規模も異なりますので、講じ得る対策も異なります。
全事業者一律の対策を求めるようなことは致しておりません。
御社が規模や業務内容に相応しい対策を講じていると評価できるかどうかは、審査員が現場を見て判断します。