プライバシーマーク制度について
Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞ プライバシーマーク制度とは ＞ Pマーク現地審査

　Pマーク現地審査

　Pマーク文書審査が終了すると、次に現地審査が実施されます。 現地審査の案内などは、文書審査後早ければ1週刊程度で審査機関の担当審査員から直接メール等で個人情報保護管理責任者に連絡が入ります。案内内容は、審査時間、審査場所と審査可能日が複数提示されていますので、企業の事情に合わせて日程を調整し、現地審査に備えます。　現地審査の目的は、文書審査において生じた疑義の確認、および個人情報保護マネジメントシステム（PMS）通りの体制が整備され、運用しているか等について確認する事にあります。 審査当日には、主任審査員を含む2人の審査チーム（オブザーバーとしてもう1人参加する場合もあり）が来社し、現地審査を実施します。現地審査が終了すると審査料金が請求され、振り込み後審査結果待ちとなります。審査結果はおよそ1カ月後に郵送で送られてきます。

　現地審査の日程が決まると、審査機関よりメールで現地審査のご連絡と添付資料として「プライバシーマーク現地審査確認書」が送られてきますので、現地審査の日までに捺印して準備しておきます。現地審査は個人情報保護管理責任者を中心に大まかに以下の様なスケジュールで審査が実施されます。現地審査はコンサルタントなど「外部の人間」の立ち会いは不可で、もしそのような事が確認されると審査打ち切りになるので注意が必要です。

※　中規模事業者の場合のPマーク現地審査モデル (9:00〜16:00）

9:00〜9:30　代表者へのインタビュー
事業内容/経営方針、Pマーク申請の動機、個人情報に関する事故の有無確認、、個人情報保護方針とその周知方法個人情報保護体制の整備、教育、内部監査、 代表者として認識しているリスク、事業者の代表者による見直し（マネジメントレビュー）、安全管理上の心配な点等

9:30〜10:30　事業内容、個人情報取扱いの流れについての確認
個人情報を取り扱う業務の確認、個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等のライフサイクルの説明

10:30〜12:00　個人情報管理の運用状況確認1
個人情報を特定する手順 リスクの認識、分析、対策 個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置 委託時の措置（委託先選定基準、委託契約） 本人からの要求に対する対応

13:00〜14:30　個人情報管理の運用状況確認2
教育、運用の確認・監査、是正及び予防措置、事業者の代表者による見直し

14:30〜15:00　社内情報システムの管理状況確認
技術的安全管理措置

15:00〜15:30　個人情報取扱いの現場における運用状況確認
個人情報保護方針の周知状況、物理的安全管理措置（建物、室、サーバー室等の入退館（室）管理 盗難等の防止 機器・装置の物理的な保護など）

15:30〜16:00　総括
指摘事項、今後のスケジュール

　従業者以外の者は絶対に審査へ同席させない。
　各管理責任者以外で、PMSの運用状況、個人情報を取扱う主要業務の説明できる者を参加させる（審査をスムーズに進行）
　 以下の各種記録類を用意しておく。（口頭説明でも可能ですが、審査時間が延長される場合もありますので極力用意しましょう）
　�@　業務概要と組織体制図 【ない場合には、パンフレットでも可能】
　�A　主要業務での個人情報取扱いのライフサイクル各局面における流れとその局面での処理概要に関する資料
　�B　個人情報管理台帳等
　�C　リスク分析表
　�D　個人情報を本人から直接書面により取得する場合、その明示と同意取得を行った書面（または画面）のコピー （取得手段・種類ごとに用意。特に、webや携帯電話からの取得の場合は、その画面コピーと画面の遷移が判るものが必要）
　�E　個人情報を3.4.2.4以外の方法によって取得する場合、その利用目的を本人に通知または公表している実物コピー（取得手段・種類ごとに用意）
　�F　個人情報委託先一覧、委託先選定基準の記録、委託先契約書または覚書等
　�G　教育計画書、教育テキスト、受講者出席の記録、理解度を把握した記録等
　�H　内部監査計画書、監査の実施結果の記録、是正措置・予防措置の記録等
　�I　代表者による見直しの実施記録等
　�J　ネットワークや情報システムの構成概要、及び個人情報の保管場所がわかる関連資料等
　�K　入退室の記録、及びその他企業が規定した安全管理措置に基づき取得する記録類
　�L　文書審査の指摘により訂正された資料
　�M　「プライバシーマーク現地審査確認書」

次ステップ　Pマーク是正、付与へ