所要時間は、概ね6~8時間程度です。
※審査が1日で終了しない場合は別途「現地審査料・交通費(宿泊費も含む)」が発生します。
各担当者には同席をお願いいたします。
- 個人情報保護管理者及び申請担当者・・・開始から終了まで(個人情報保護管理者の方は業務をご優先ください。)
- 教育責任者及び監査責任者・・・記録文書等の確認の時
- システム管理担当者・・・現場確認の時
※必要に応じて各業務担当者にヒアリングいたします。 従業者以外の立ち会いはできません。
1.トップインタビュー(30分程度)
代表権のある方にインタビュー
※原則代表権のあるトップマネジメントにインタビューいたします。
インタビューの内容
- 事業内容、経営方針等について
- 個人情報に関する事故の有無
- 個人情報保護の目的について
- 個人情報保護方針について
- 個人情報保護のための人的資源(体制)について
- マネジメントレビューについて
- PMSの継続的な改善について
等。
2.PMS運用状況の確認
申請担当者や個人情報保護管理者、個人情報監査責任者等に対して、実際のPMSの運用状況を確認します。事業の内容を詳細にヒアリングし、個人情報を取り扱う業務ごとに個人情報の特定やリスクアセスメント、リスク対策および安全管理措置等の状況確認をします。
また、従業者の教育や内部監査等のPMS運用状況も確認します。
PMS運用状況の確認では、審査員が、運用状況の確認のために改めてPMS文書(内部規程や様式類)や、実際の運用の記録の提示を依頼させていただく場合がありますので、あらかじめご準備をお願いします。
3.現場での実施状況の確認
個人情報を実際に取扱っている執務室や作業場等で、事業者が講じている安全管理措置の実施状況を確認します。安全管理措置は、事業者のリスクを分析した結果に応じて講じられるものであり、一律の対応が求められるのではありません。
4.講評
代表権のある方若しくは個人情報保護管理者に当日の審査結果を報告するとともに、不適合があれば補正すべき内容等を通知します。
指摘事項がある場合は現地審査後に指摘事項文書を送付しますので、指摘事項文書に記載の日付から3か月以内に、改善報告書を改善のエビデンスを添えて提出してください。