何を聞かれる？プライバシーマークの現地審査を徹底解説

「プライバシーマークの現地審査では何を聞かれるのだろうか・・・」

おそらく、初めてプライバシーマークの現地審査を受ける方は、誰もが、そのように不安を感じているだろう。

そこで本日は、プライバシーマークの「現地審査」についてわかりやすく説明する。

初めて現地審査を受けるあなたに読んでもらいたい。

尚、現地審査には、事前の審査対策や模範解答は必要ない。

個人情報保護マネジメントシステム(PMS)の構成や運用状況は企業ごとに違いがあり、また現地審査は点数制ではなく何点取れば合格するというものではないためだ。

あなたがいまやるべきことは、現地審査の内容をしっかりと理解し、個人情報保護マネジメントシステム(PMS)の運用状況をきちんと説明できる記録資料と人員を準備することだ。

そうすれば、問題なく現地審査を受審し、プライバシーマークを取得できる。

それでは早速現地審査について見ていこう。

１．現地審査とは
２．現地審査の出席者
３．現地審査の工数(時間)
４．現地審査の実施場所
５．現地審査が行われる時期
６．現地審査のスケジュール例
７．現地審査の内容
８．現地審査に用意する書類
９．現地審査Ｑ＆Ａ

１．現地審査とは

現地審査とは、御社の個人情報保護マネジメントシステム(PMS)が適正に運用されているかを、プライバシーマーク審査員が実地にて確認すること。

例えば、御社の個人情報保護マネジメントシステム(PMS)には従業者に対する教育研修のルールが含まれているはずだ。

現地審査では、PMS通りに従業者に教育研修が実施されたかを確認される。

具体的に言えば、教育研修を行った結果（記録）を確認される。

教育研修を行った結果（記録）とは、教育計画書、教育テキスト、受講者出席記録、理解度テストなど実際に教育研修を行った場合に作成されるであろう記録のことだ。

現地審査では、上記ような御社の個人情報保護マネジメントシステム(PMS)に構成されている様々なルールが適正に運用されているかを、記録書類及びヒアリングで確認される。

２．現地審査の出席者

プライバシーマークの現地審査は、審査員2名(通常は審査リーダーと審査員の組み合わせ)で行われる。

企業からは、個人情報保護マネジメントシステム(PMS)の運用状況を説明できる者及び個人情報を取扱う主たる業務について説明できる者の出席が必要となる。

具体的には以下のような人員が必要となる。

(1)個人情報保護管理責任者(必須)
終日現地審査に出席が必要。

(2)個人情報保護監査責任者または内部監査員
代表者へのインタビュー時と内部監査の確認(おおよそ30分)の際に出席が必要。

(3)情報システム担当者
社内情報システムの管理状況確認(おおよそ30分)の際に出席が必要。

(4)代表者
代表者へのインタビューに出席が必要。インタビュー後の現地審査には出席不要。

尚、企業によっては個人情報保護管理責任者や個人情報保護監査責任者が名前だけで実務を行っていないということもあるだろう。

そのような場合は、実際にPMSの運用状況や内部監査について説明できる者が出席し、対応すれば審査は問題ない。

また、代表取締役が代表者ではない企業もあるだろう。

代表取締役は親会社の取締役で実際には会社に来ることはないといった場合である。

この場合、代表者へのインタビューは、事実上の業務執行権と代表権を持っている者（常勤の取締役や部長職など）が対応することになる。

３．現地審査の工数(時間)

プライバシーマークの現地審査の工数は1日間となり、原則、複数日になることはない。

ただし、移動時間等で標準の審査時間を確保できない場合、複数日になることがありうる。

標準の審査時間は以下となる。
(1)小規模事業所：6時間
(2)中規模事業所：7時間
(3)大規模事業所：8時間

４．現地審査の実施場所

現地審査の実施場所は原則１か所のみ。本店所在地で実施される。

ただし、本店所在地が代表者の自宅等で審査現場として適当でないと判断された場合は、主たる営業所で行われる。

また、審査機関が複数の拠点で現地審査を行うことが適当と判断した場合は、２か所以上の支店・営業所で現地審査が行われる。

現地審査の実施場所の判断は審査機関が個別に行うため、気になる方は事前に相談しておこう。

５．現地審査が行われる時期

現地審査は、申請書を提出してからおおよそ２ヶ月から５ヶ月後に行われる。

例えば、４月に申請すれば、おおよそ６月から９月の間に現地審査が行われるということだ。

尚、申請書提出から現地審査までの期間は、審査機関及び直近の申請数、社会情勢などにより異なる。

現地審査日程は、原則、申請順で決定され、申請前に事前調整は出来ない。（おおよその日程を確認することは可能）

申請後から日程調整が可能だが、必要以上に現地審査時期を短くまたは延期したいとの希望は原則不可となる。

６．現地審査のスケジュール例

中規模事業所で行われる現地審査の標準的なスケジュール例は次の通り。

10：00～10：30
オープニングミーティング・代表者へのトップインタビュー

10：30～11：30
事業内容、主たる個人情報の取り扱いの流れを確認

11：30～15：30（この間で1時間の休憩）
PMSの運用状況確認

15：30～16：00
社内情報システムの管理状況確認

16：00～16：30
個人情報取り扱い現場における運用状況確認

16：30～17：00
審査のまとめ

尚、審査状況により時間が延長され、または短縮される場合がある。

７．現地審査の内容

現地審査は次のような内容となる。

(1)オープニングミーティング

• 審査員の紹介
• 秘密・個人情報保持の誓約
• 審査手順の説明

(2)代表者へのトップインタビュー
代表者へのヒアリング

• 個人情報に関する事故の有無確認
• 事業内容/経営方針
• プライバシーマーク申請のきっかけ
• 個人情報保護方針とその周知方法
• 個人情報保護管理者・監査責任者の任命
• 代表者として認識しているリスク
• 事業者の代表者による見直し（マネジメントレビュー）

(3)事業内容、主たる個人情報の取り扱いの流れを確認
記録書類等の確認
個人情報保護管理者、申請担当者、部門責任者等へのヒアリング

• 事業の概要
• 個人情報を取り扱う業務の確認

(4)PMSの運用状況の確認
記録書類等の確認
個人情報保護管理者、個人情報保護監査責任者、教育担当者、部門責任者等へのヒアリング

• 個人情報を特定する手順
• リスクの認識、分析、対策
• 個人情報を取得、利用、本人へのアクセス、第三者に提供する場合の措置
• 委託時の措置（委託先選定基準、委託契約）
• 本人からの要求に対する対応
• 教育
• 運用の確認、監査
• 是正及び予防措置
• 事業者の代表者による見直し

(5)文書審査結果の確認
記録書類等の確認
個人情報保護管理者等へのヒアリング

• 文書審査結果への対応確認

(6)現場での実施状況の確認
記録書類等の確認
個人情報保護管理者、情報システム担当者等へのヒアリング

• 個人情報保護方針の周知状況
• 物理的安全管理措置

建物、室、サーバー室等の入退館（室）管理
盗難等の防止
機器・装置の物理的な保護

• 技術的安全管理措置

アクセス時の識別と認証（アクセス認証、デフォルト設定の変更状況、ID、パスワード等の発行・更
新・廃棄）
アクセス制御、アクセス権限の管理、アクセスの記録
不正ソフトウェア対策（ウィルス対策ソフトウェア、セキュリティパッチ等）
移送・通信時の対策(授受確認、取得時・移送時の暗号化、クロスサイトスクリプティングや SQL インジェクションなどへの対策）
情報システムの動作確認時の対策

(7)クロージングミーティング

• 現地審査での総評
• 指摘事項の報告
• 今後の手続きの説明

８．現地審査に用意する書類

現地審査当日は、個人情報保護マネジメントシステム(PMS)の運用状況のわかる記録書類等の提出が求められる。

そのため、運用記録をバラバラに保管するではなく、ファイリング及びカテゴリ毎に分け、また、データ上(PCやサーバ上)にしかない記録は現地審査前にプリントアウトしておき、速やかに見せられるようにしておこう。

現地審査で用意する主な運用記録書類は以下となる。

(1)業務概要のわかる資料と組織体制図
例：クライアントに提出する企画書・提案書や会社パンフレット、組織体制図など
※資料を作成していない場合は、口頭での説明可。

(2)主要な業務について、個人情報取扱いの各局面（取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等）における流れとその局面での処理概要に関する資料
例：業務フロー図
※資料を作成していない場合は、口頭での説明可。

(3)個人情報を特定して整備した台帳等
例：個人情報管理台帳

(4)個人情報ごとに取扱いの各局面に沿ってリスクを認識し、分析し、対策を講じ、残存リスクを把握したリスク分析表
（取扱いが同じ個人情報は、グルーピング可能）
例：個人情報リスク分析表

(5)個人情報を本人から直接書面により取得する場合、その明示と同意取得を行った書面（または画面）のコピー
（取得手段・種類ごとに必要。特に、ホームページや携帯電話からの取得の場合は、その画面コピーと画面の遷移が判るものが必要）
例:個人情報取扱同意書（従業者）、個人情報取扱同意書（採用選考）、WEBフォームページのコピー

(6)個人情報を3.4.2.4以外の方法によって取得する場合、その利用目的を本人に通知または公表している実物コピー
（取得手段・種類ごとに必要）
例：個人情報の取り扱いについて（個人情報を3.4.2.4以外の方法によって取得する場合の利用目的を公開しているWEBページ）のコピー

(7)個人情報の委託先一覧、委託先選定基準の記録、委託先の契約書または覚書等
例：委託先一覧表、委託先アンケート、個人情報保護に関する覚書など

(8)教育計画書、教育テキスト、受講者出席の記録、理解度を把握した記録等
例：教育訓練計画書、教育テキスト、出席者名簿、理解度テストなど

(9)監査計画書、監査の実施結果の記録等、是正措置・予防措置の記録等
例：内部監査計画書、内部監査結果記録表、是正措置・予防措置管理表など

(10)代表者による見直しの実施記録等
例：マネジメントレビュー

(11)ネットワークや情報システムの構成概要、及び個人情報の格納所在がわかる関連資料等
例：ネットワーク構成図、レイアウト図など

(12)入退室の記録、及びその他貴社が規定した安全管理措置に基づき取得する記録類
例：入退室記録表、来客受付票、パスワード管理表、個人情報授受記録表など

９．現地審査Ｑ＆Ａ

Q.市販の現地審査の模範解答集・問題集のような対策書を購入すべきか

購入は不要である。

現地審査では、会社ごとのPMS運用状況を確認されるため、そもそも画一的な解答というものは存在しない。

模範解答集、問題集は、一般的に想定される質問及び回答が記載されており、必ずしも御社に当てはまるというものでない。

そのため、模範解答集をベースに回答することは、御社の運用状況を無視した対応となりがちで、最悪の場合、虚偽の説明になりかねない。

現地審査で虚偽の申告をすると、申請停止という重い処分を受ける場合がある。

実際に毎年申請停止処分を受ける企業が存在しているので注意したい。

現地審査前に、御社がすることは、現状のPMS運用状況を説明できるように準備し、また、その運用状況を確認できる資料を揃えることだけで、その他は必要ないことを覚えておこう。

Q.現地審査時にコンサルタントを同席させてよいか

現地審査にコンサルタントは同席できない。

プライバシーマーク現地審査において、従業者以外の者、例えばコンサルタントの審査への立ち会いは禁止されている。

「従業者以外」とは、従業者を自称したとしても、直接的な雇用関係や勤務の実態がない者を指す。

そのような者を出席させた場合、審査を打ち切られる場合があるので注意したい。

Q.現地審査は落ちるのか

現地審査は点数制ではなく、審査に落ちるという概念はない。

現地審査では、PMSの運用状況の適格性を確認されるだけだ。

問題が見つかった場合は、審査に落ちるのではなく、その問題点の指摘事項（改善指示）を受ける。

指摘事項の是正及び改善を行い、審査官に不適合が改善されたと認められれば、プライバシーマークが付与される。

そのため、現地審査は落ちるものではないことを知っておこう。