JISAにおけるプライバシーマーク審査項目の一部改訂について
平成23年12月
一般社団法人情報サービス産業協会
審査業務部
|
このたびプライバシーマーク審査会の承認の下、下記のとおり審査項目を一部改定いたします。 本改定後の審査基準は、平成24年2月1日以降に当協会への申請の企業に対し適用されることになります。 |
書類審査における主な改定点
|
【第9条】 リスク等の認識・分析及び対策 |
(1) リスク分析を行う手順において、「リスク分析の結果及びリスク対策を承認する管理者(管理部署)を定めていること」を追加。 (2) リスク分析表において、「リスク分析の結果及びリスク対策につき管理者(管理部署)の承認を得ていること」を追加。 |
|
【第12条】 緊急事態への準備 |
緊急事態を特定する手順において、「少なくとも以下の事項が含まれていること」を新たに追加。 [1] 想定する緊急事態の内容又はインシデントレベル [2] 上記[1]の緊急事態を認知したときにおける初動対応 |
|
【第17条】 本人から直接書面によって取得する場合の措置 |
(1) 「応募ハガキやFAX申込書等については、書面上において明示する際に以下のいずれの項目の記載があれば可とする」旨を新たに追加。 1] 利用目的 2] 本条(1)〜(7)の事項を示したWebサイトのURL 3] 上記1]・2]の内容に同意した上で申し込む旨の同意条項 (2) 「取得の場面(書面、インターネットなど)ごとに同意を得る手順を明確にしていること」を追加。 |
|
【第20条】 本人にアクセスする場合の措置 |
「アクセスの手段(電話、FAX、電子メール、郵送など)ごとに同意を得る手順を明確にしていること」を追加。 |
現地審査における主な改定点
|
【第5条】 資源、役割、責任及び権限 |
第10条と統合のため削除。 |
|
【第16条】 特定の機微な個人情報の取得・利用及び提供の制限 |
書類審査の項目に照らして、現地審査項目にも追加。 |
|
【第20条】 本人にアクセスする場合の措置 |
書類審査の項目に照らして、現地審査項目にも追加。 |
|
【第23条】 安全管理措置 |
「個人情報が含まれるデータを持ち出す際はリスクに応じて暗号化等の措置を講じていること」を新たに追加。 |
|
【第35条】 文書の管理 |
書類審査の段階で確認するため削除。 |
|
【第39条】 監査 |
「業務委託契約(請負契約)に基づき客先に事業場を借用している場合は、原則としてそれらも監査の対象としていること」を新たに追加。 |
改正版の適用開始日
平成24年2月1日受理分から適用する。
※当協会へ申請予定の方で上記「審査基準」ご希望の方はJISA審査業務部 まで御連絡下さい。
当協会への申請資格を確認の上折り返し上記基準をお送りします。