別紙A
付属書類一覧
別紙 A -プログラム必須事項付属書 A -TRUSTe マーク
付属書 B -ライセンシー確認ページ
別紙A
第 1 条 定義:本契約に於いて主な用語を次のように定義する。
1. 「個人情報」とは
「個人情報の保護に関する法律」で定める「個人情報」を指すものとする。
2. 「データ主体」とは
「個人情報の保護に関する法律」で定める「本人」を指すものとする。
3. 「重大な変更」とは
ライセンシーが行うもので、データ主体の権利の一部又は全部を侵害する可能性があると認められるものを指す。
4. その他、本条において定義されていない用語については「個人情報の保護に関する法律」で用いられる定義を採用するものとする。
第 2 条 JPAC の役割
1. JPAC アカウント・マネージャ
JPAC はライセンシーを担当するアカウント・マネージャを指名するものとする。JPAC とライセンシーとの間の連絡は全て、指名されたアカウント・マネージャとライセンシー側の指名されたサイトコーディネータとの間で行うものとする。
2. TRUSTe マーク
本契約締結後、JPAC は、ライセンシーに以下を提供する。
(1) 付属書 A に示されている TRUSTe マークの電子データ
(2) JPAC のサーバー上にあるライセンシー確認ページ
3. JPAC 並びに TRUSTe 認定審査機関による審査
JPAC 又は JPAC 認定の審査員は、本契約の締結に際して、プライバシーステートメントとライセンシーによる個人情報の取扱い実態との整合性、ライセンシーのプログラム必須事項遵守状況、またウェブサイト上で TRUSTe マークが正しく使用されているかどうか、について審査する。
4. JPAC による苦情対応
JPAC は、オンラインウォッチドッグ紛争解決プログラムを通じてウェブサイト利用者及びデータ主体から申し立てられるライセンシーのプライバシーステートメントの違反に関する苦情、又は他のプライバシー問題に関する苦情を調査し、苦情受付後速やかに申し出者に対して回答する。
5. JPAC によるモニタリング
JPAC は、本契約の期間中に必要に応じて、ライセンシーのウェブサイトのモニタリングを行うことができる。これには、必要に応じて行われるシーディング及び無通告のウェブサイト調査を含むが、これらに限定されるものではない。尚、シーディングとは、メールマガジンや会員制サービスに対し登録を行い、事前の合意内容に沿って個人情報が取り扱われているかどうかを調査することをいう。
6. JPAC による拡大調査
ライセンシーが、プライバシーステートメントと個人情報の取扱いの実態との不整合がある、と JPAC により判断された場合、又はプログラム必須事項のいずれかに違反した疑いがあると JPAC により判断された場合、JPAC は、ウェブサイトの再審査を含む拡大調査を行うものとする。その結果に基づきライセンシーは、速やかに対応・改善し、JPAC の承認を得なければならない。
第 3 条 ライセンシーの義務
1. xxxxxxは、認証申請に係る書類として、以下の文書を JPAC に提出することとする。
(1) TRUSTe ライセンス契約書 2 通
(2) 自己査定書 1 通
(3) プライバシーステートメントの写し 1 通
(4) TRUSTe マーク認証・更新申請書 1 通
(5) TRUSTe マーク認証・更新申請書添付確認書 1 通
(6) 履歴事項全部証明書(発行から 3 ヶ月以内のもの、写しも可)又はライセンシーの存在を証明できるもの 1 通
(7) 損益計算書(最新会計年度分)の写し又は最新会計年度の売上高を確認できる書面の写し 1 通
(8) その他 JPAC が必要と判断しライセンシーに提出を要求する書類
2. 自己査定書
xxxxxxは、自己査定書の全ての項目に回答し、提出する。サイトコーディネータは、自己査定書に記名押印し、自己査定書記載事項が全てxx且つ正確であることを表明するものとする。
3. サイトコーディネータの任命
xxxxxxは、自社の従業員又は役員の中からサイトコーディネータを任命し、JPAC に通知しなければならない。サイトコーディネータは、プライバシーステートメントの正確性と TRUSTe プログラムの遵守履行に責任を持つものとする。JPAC とxxxxxxとの間の連絡は、全てアカウント・マネージャとサイトコーディネータとの間で行うものとする。サイトコーディネータを変更する場合は、この旨事前に書面等により JPAC に通知するものとする。
4. 苦情処理窓口担当者・ウェブサイト運営管理者の任命
xxxxxxは、苦情処理窓口担当者及びウェブサイト運営管理者を任命し、「TRUSTe マーク認証・更新申請書添付確認書」に記載しなければならない。
5. プログラム必須事項
(1)個人情報の取扱いについて
① 個人情報の取得における制限
一. ライセンシーはウェブサイトを通じて提供するサービスに応じて、個人情報の取得を必要最小限に留めなければならない。ライセンシーによる過剰な個人情報の取得への同意を、サービス利用の条件としてはならない。
二. xxxxxxは合法的かつxxな手段をもって個人情報を取得しなければならない。
三. xxxxxxは意図的に子供(概ね 12 歳から 15 歳の年齢に達していない者)から個人情報を取得する場合には、保護者等から個人情報の取得、利用に対する同意を取得しなければならない。
② 個人情報の利用
一. ウェブサイト上で取得した個人情報を、取得時に有効なライセンシーのプライバシーステートメントに従って利用しなければならない。
二. ウェブサイトを通じて取得した全ての個人情報は、取得の当初の目的を達成する為にのみ利用しなければならない。
三. ウェブサイトを通じて取得した個人情報は、不適正な目的で利用してはならない。違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。
③ 利用目的による制限及び第三者提供の制限
一. 個人情報の取得当初の利用目的以外の目的で個人情報を利用する場合、並びに第三者に個人情報を提供する場合は、事前にデータ主体の同意を得なければならない(法令に定めのある場合を除く)。また、xxxxxxは当該同意に関する証跡を保持し、データ主体から本同意に関する証跡の開示要請があった場合には適切に応じなければならない。
二. ライセンシーが取得する個人情報を外国にある第三者に提供する場合、業務委託、共同利用に伴う提供を含め、外国にある第三者への提供を認める旨のデータ主体の同意を事前に得なければならない(法令に定めのある場合を除く)。また、xxxxxxは移転先による個人情報の適正な取扱いの継続的確保のため、当該移転先の所在国における個人情報保護制度の有無、内容等を定期的に確認しなければならない。
三. 利用又は提供が、法律、裁判所命令、又は他の妥当な法手続きで必要とされる場合、データ主体の同意は不要である。
四. ライセンシーは、データ主体が自己の個人情報の利用並びに提供にかかる選択を変更する手段を提供しなければならない。またその選択にかかる意思表示のための仕組みは、解りやすい形式でなければならない。
五. xxxxxxは法令等に則ったデータ主体から自己の情報についての利用の停止、または一部利用の制限を求められた時にはそれに応じなければならない。
④ 個人情報の保存期間の決定及び通知
文書化された社内規定、ルール等により自己が取得、保有する個人情報の保存期間を予め定めるよう努めなければならない。また、ウェブサイト利用者またはデータ主体にそれをプライバシーステートメントに記載する等の手段により知らせるよう努めなければならない。
⑤ 要配慮個人情報の取得
xxxxxxは、あらかじめデータ主体の同意を得ないで要配慮個人情報を取得してはならない(ただし、法令に定めのある場合を除く)。
⑥ オンラインディレクトリーサービス
ウェブサイトで人名録、住所姓名録等のディレクトリーサービスを提供しているライセンシーは、データ主体が自己の個人情報の掲載を拒否する手順を提供しなければならない。
⑦ 個人情報の正確性
ライセンシーは、個人情報がその利用目的に照らして正確、完全且つ、最新であるために適切な措置を講じなければならない。
⑧ 開示・訂正要請にかかる対応
xxxxxxは、データ主体が自己の個人情報を確認でき、誤りがあった場合にはそれを訂正できる適切な手順や仕組みをデータ主体に提供しなければならない。これらの手順や仕組みは簡単で使いやすいものでなくてはならず、また訂正が完了した事をデータ主体が確認できるものでなければならない。
開示の方法はデータ主体が希望する方式でなければならない。但し、データ主体が希望する開示方法がライセンシーにとって過度な負担となる場合は別の開示方法を両者で協議して決定できる。
⑨ 教育
ライセンシーは、自社の従業者に対し、個人情報の取扱い及びプライバシーステートメントの内容について、適切且つ十分な教育を定期的に行わなければならない。
⑩ 委託先に対する監督
ウェブサイトを通じて取得した個人情報を取り扱う業務の一部または全部を、ライセンシー以外の事業者に委託する場合には、当該事業者の個人情報の取扱いにおける適正性、安全性、合法性等を確認するプロセスを確立しなければならない。
➃ 安全管理措置
一. xxxxxxは、個人情報の安全管理を維持継続するための適切な手段を講じなければならない。なお、有効な安全管理のため活動には以下の内容を必要に応じて含むべきと考えられる が、これらに限定するものではない。
⚫ 個人情報の適切な取扱いを確保するための基本方針の策定
⚫ 個人情報の取扱いに係る各種の組織内規定の整備
⚫ 認証とアクセス制御
⚫ 仮名化、暗号化
⚫ 保存媒体の適切な管理、廃棄
⚫ ネットワークセキュリティ対策
⚫ 物理的、環境的セキュリティ管理
⚫ バックアップと復旧プロセスの確立
⚫ 監査ログの取得
⚫ 外部、内部監査、脆弱性スキャンの実施
二. xxxxxxがウェブサイトにおいて個人情報を取得する際には、暗号化通信技術などの適切な方法を取ることにより、個人情報を保護しなければならない。
三. xxxxxxは個人情報にかかるセキュリティリスクを評価し、適宜見直しを実施することを定めた規定、ルール等を整備しなければならない。
⑫ 消去、暗号化によるリスク管理
一. xxxxxxは取得した個人情報の重要性、漏えい等のインシデント発生時におけるデータ主体への影響等を考慮して、必要に応じて適切に暗号化等の安全策を講じなければならない。
二. ライセンシーは保存期間が超過、または特定の個人を識別可能な状態で個人情報を保管する必要がなくなった場合には、当該個人情報を消去、若しくは特定の個人が識別できない状態に加工しなければならない。
⑬ プライバシーリスク評価
ライセンシーは取得、利用する個人情報におけるプライバシーリスク(漏洩、毀損、改ざん、法令違 反、プライバシー侵害、苦情の発生等を含むがこれらに限らない)を特定し、適切なリスク管理を行うプロセス(PIA 等)を確立するよう努めなければならない。
⑭ インシデントの検出・発見並びに報告、通知
一. xxxxxxは個人情報にかかるインシデント発生の発見、社内共有、対策手順等を定めた文書化した規定、ルールを備えなければならない。
二. xxxxxxは個人情報にかかるインシデント発生を検出、発見した場合は法令等の求めに応じて、個人情報保護委員会、データ主体にその旨、報告、通知しなければならない。
三. xxxxxxは個人情報にかかるインシデント発生を検出、発見した場合は JPAC に速やかに報告しなければならない。
⑮ ライセンシーの個人情報の取扱いに関する重大な変更
xxxxxxが個人情報の取扱いに関して重大な変更を行おうとする場合は、xxxxxxは、事前に JPAC の承認を求めなければならない。重大な変更の場合、ライセンシーは、JPAC の判断に基 づき、新たな自己査定書の作成を要求される場合がある。ライセンシーは、個人情報の取扱いに関しての重大な変更を行う場合には、事前にウェブサイト上に目立つ方法で掲示し、且つ、ウェブサイト利用者及びデータ主体が重大な変更に対しどのような選択をできるかの説明を掲示する。
⑯ ウェブサイト利用者及びデータ主体からの苦情
xxxxxxは、ウェブサイト利用者及びデータ主体が個人情報の取扱いに対する苦情、又は懸念をライセンシーへ通知するための妥当、適切、簡単且つ有効な連絡手段を、ウェブサイト利用者及びデータ主体に提供しなければならない。また、ライセンシーは、全ての申し立てに 10 営業日以内に回答しなければならない。
➃ パブリックフォーラム
xxxxxxは、オンライン掲示版、チャットルーム等のパブリックフォーラム利用に於いて、個人情 報を掲示した場合の危険性を事前に通知しなければならない。また、ライセンシーの裁量にて利用規約等を設けるよう努めなければならない。
⑱ データポータビリティ対応
合理的かつ実行可能な場合、ライセンシーはデータ主体が希望する利用と一致する機械可読形式、または電子形式で自己の個人データにアクセスするための仕組みを設けるよう努めなければならない。
⑲ 内部監査
xxxxxxは自己の適正な個人情報の取扱いを維持するため、内部監査を定期的に実施するよう努めなければならない。
(2)プライバシーステートメント記載事項
xxxxxxは、本契約に準拠しているものとして JPAC によって承認された、プライバシーステートメントを保持し遵守しなければならない。ライセンシーは、ウェブサイト利用者又はデータ主体に対し、以下を含むプライバシーステートメントをウェブサイトに掲示しなければならない。
① TRUSTe プログラムのライセンシーであり、TRUSTe プログラムの必須事項を遵守する旨
② ライセンシーの連絡先、連絡方法
③ オンラインウォッチドッグ紛争解決プログラムへのリンク、苦情受付窓口、申出方法
④ ウェブサイトを通じてxxxxxxが取得する個人情報の内容、可能であればその保存期間
⑤ ライセンシーの情報(組織名、所在地等)
⑥ ウェブサイトを通じてxxxxxxが取得する個人情報の利用目的
⑦ ウェブサイト利用者に対して、xxxxxxがアクセスする目的、手段
⑧ ウェブサイトを通じてライセンシーが取得する個人情報に、データ主体に知られることなく取得した情報を補足するかどうかの説明
⑨ ライセンシー又は第三者がウェブサイト上で使用しているトラッキング技術及び取得する情報内容とその用途、ウェブサイト利用者がトラッキング機能を拒否した場合に発生するウェブサイト利用者にとっての不利益
⑩ xxxxxxが個人情報を取得した当初の目的以外の目的で利用する場合、又は第三者に提供する場合に、ライセンシーは、データ主体から事前の同意を取得してからそれを行う旨
➃ (該当する場合に記載)オプトアウトによる提供:ウェブサイトを通じてライセンシーが取得する個人情報を第三者へ提供することを利用目的とすること、提供する情報の内容、提供する方法、データ主体の求めに応じて個人情報の第三者への提供を停止すること、停止の求めを受け付ける方法
⑫ (該当する場合に記載)業務委託に伴う提供:ウェブサイトを通じてライセンシーが取得する個人情報を提供する業務委託先の有無、当該業務委託先の選定および監督方法
⑬ (該当する場合に記載)共同利用に伴う提供:ウェブサイトを通じてライセンシーが取得し、共同利用する個人情報の内容、共同利用する者の範囲、共同利用する者の利用目的および共同利用に於いて責任を有する者の氏名または名称及び住所並びに法人にあたってはその代表者の氏名
⑭ (該当する場合に記載)ウェブサイトを通じてライセンシーが取得する個人情報から、ライセンシーが匿名加工情報を作成する場合、匿名加工情報に含まれる個人に関する情報の項目、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目および提供方法
⑮ (該当する場合に記載)ウェブサイト利用者が掲示板、チャットルーム又は他のパブリックフォーラムにおいては、掲示する個人情報が公示される危険性があること
⑯ (該当する場合に記載)ウェブサイト上にダウンロード可能なソフトウェアがあり、そのソフトウェア上で個人情報を取得する場合、その利用目的
➃ データ主体が個人情報の開示・訂正・利用停止等の要求をライセンシーに対して行うための適切な手順及び本人確認に関する事項
⑱ 個人情報を、ライセンシー並びにデータ主体が認めない形での利用、変更、提供、アクセス等から保護するために実施している安全管理措置の内容、ライセンシーの従業者への教育及び監督方法
⑲ ウェブサイト利用者、またはデータ主体に関する情報は、司法又は他の政府機関の召喚状、令状、命令等により提供されうること
⑳ 他のウェブサイトにリンクしている場合の、リンク先ウェブサイトにおける個人情報の取扱いについて
㉑ プライバシーステートメントの重大な変更を行う場合の通知手順
➃ 発効日及び最終改訂日
(3)プライバシーステートメントの公開
① ライセンシーはプライバシーステートメントへのリンク機能を次の場所に設置しなければならない。
⚫ ウェブサイトトップページ
⚫ 個人情報を取得する全てのページ
xxxxxxは、プライバシーステートメントへのリンク表示に、本契約書の付属書 A に示す TRUSTe マークを使用するか、或いは『プライバシーステートメント』という文字、又は同義の文字を表記したハイパーテキストリンク又は画像を使用する。
一. ハイパーテキストリンクを使用する場合、テキストの文字サイズは他のメニュー項目以上のサイズを使用しなければならない。
二. 本契約書の付属書 A にある TRUSTe マーク、ハイパーテキストリンク又は画像は、ウェブサイトのプライバシーステートメントに直接リンクしなければならない。
三. プライバシーステートメントの冒頭にも TRUSTe マークを置き、JPAC が指定したアドレスのライセンシー確認ページへリンク設定をしなければならない。ライセンシー確認ページは、ウェブサイトが TRUSTe プログラムのライセンシーのウェブサイトであることを証明するものである。
② プライバシーステートメントは、書面又は e-mail にて JPAC とライセンシーによって他に合意されている場合を除き、ライセンシーのサーバー(又はウェブサイトを載せるために、使用契約が締結されている第三者のサーバー)に在るものとする。
(4)ライセンシー情報の公開
xxxxxxは、ウェブサイト上に次の情報を表示しなければならない。
① ライセンシーの名称、商号等
② ライセンシーの所在地
③ ライセンシーの代表者の氏名
④ ライセンシーの連絡先
(5)JPAC への通知事項と通知時期
xxxxxxは、次のことを行う場合、事前に、JPAC に書面にて通知する。
① ライセンシーの名称、商号等の変更
② ウェブサイトのドメイン名の変更
③ ウェブサイトの名称変更
④ サイトコーディネータの氏名・連絡先の変更
(6)JPAC との協力
JPAC が第 2 条の役割を果たす事が出来る様に、ライセンシーは、以下に同意する。
① ライセンシーは、プログラム必須事項とプライバシーステートメントの遵守を確保するため、JPAC と協力する。
② ライセンシーは、JPAC に対し無償で、ライセンシーのプライバシーステートメントが個人情報の取扱いの実態と一致しているか否かの調査するために、ウェブサイトへの完全なアクセス権を提供する
(特別会員エリアへのアクセス権を含む)。
③ ライセンシーは、JPAC からの要求があった場合に、ライセンシーのウェブサイトから取得した、個人情報の利用状況に関する情報、資料等を提供する。
④ xxxxxxは、JPAC の全ての問い合わせに対し、受付後 5 営業日以内に受領確認とその問合せに対する回答または妥当な予定回答期日を伝える。
⑤ ライセンシーは、ウェブサイト利用者又はデータ主体が提起したプライバシー問題又は苦情及び JPAC が提起したプライバシー問題を解決するために、JPAC のオンラインウォッチドッグ紛争解決プログラムに参加する。ライセンシーがウェブサイト利用者又はデータ主体が提起したプライバシー問題又は苦情に対し、満足な回答をしないことにより、ウェブサイト利用者又はデータ主体からオンラインウォッチドッグ紛争解決プログラムへの申し出があった場合、JPAC はライセンシーとウェブサイト利用者又はデータ主体との間の仲介役として、必要な改善措置の勧告を含め、問題を解決するよう努力する。こうした JPAC の活動に対し、ライセンシーは全面的に協力しなければならない。
⑥ ライセンシーは、ウェブサイト利用者又はデータ主体から、ウェブサイト利用者又はデータ主体の権利の一部又は全部を侵害する可能性があると認められる可能性のある苦情を提起された場合、或いは、プライバシーステートメントを遵守履行していない、プログラム必須事項を遵守していない、との指摘を JPAC から受けた場合は、以下の通り、JPAC の現地調査を受けなければならない。
一. JPAC は、現地調査についてその開始日の 10 営業日前までに書面または e-mail にて通知し、JPAC の通常営業時間内、且つ、ライセンシーが承認する時間内に現地調査を行う。
二. JPAC がライセンシーの施設にて行う現地調査は、原則 2 営業日以内に完了をすることとし、最長でも5営業日を越えないようにするものとする。但しこれはライセンシーが協力を惜しま
ず、且つ、時間の追加を余儀なくされるような状況にない場合に限る。なお、現地調査に伴い発生する費用については、ライセンシーの負担とする。
三. JPAC は、ライセンシーの業務に差し支えないように、極力ライセンシーのスケジュールに合わせ現地調査を行う。
四. ライセンシーは、現地調査の結果に基づき、JPAC が要求する水準までその個人情報の取扱い実態を速やかに改善する。
付属書A:TRUSTe マーク
TRUSTe マーク
付属書B:ライセンシー確認ページ
このページは「(ライセンシー名)(URL)」が TRUSTe プログラムのライセンシーであることを証明するためのものであり、またそのライセンシーのプライバシーステートメントは、「(ライセンシー名)
(URL)」がどのように個人情報を取り扱っているのかを公表するものです。
TRUSTe の目的は、十分な説明責任を果たすことと、適切な個人情報の取扱いを普及させることにより、インターネット利用者からのインターネットに対する信頼を高めることにあります。
一般社団法人日本プライバシー認証機構(以下、日本プライバシー認証機構という)は、米国 TRUSTe と業務提携契約を締結し、日本国内に於いて、TRUSTe プログラムへの参加の可否を決定できる唯一の認証機関です。ライセンシーによるウェブサイト利用者のプライバシー保護をより高度化するために、ライセンシーのウェブサイトは、個人情報の取扱いの実態を公表すること、及びその取扱い実態に関する方針と実務について、日本プライバシー認証機構による調査を受けることに同意しています。
また、ライセンシーのウェブサイトにおける TRUSTe マークの表示は、当該ウェブサイトが以下のことをユーザーに知らせることに同意していることを表すものです。
1. TRUSTe プログラムのライセンシーであり、TRUSTe プログラムの必須事項を遵守すること
2. 個人情報の取得を行う組織名・連絡先
3. 取得する個人情報の内容
4. 取得する個人情報の利用目的
5. ウェブサイト利用者の苦情への対応に関する事項
6. データ主体に知られることなく取得した情報による補足について
7. ライセンシー又は第三者がウェブサイト上で使用しているトラッキング技術について
8. 目的外利用または第三者提供に対する、データ主体の事前同意について
9. 「(ライセンシー名)(URL)」管理下にある個人情報の紛失、乱用又は改ざん等のインシデントを防ぐために実施している 安全対策の内容
10. 個人情報の開示請求方法並びに不正確情報の訂正方法
11. 司法又は他の政府機関の召喚状、令状、命令等に基づく個人情報の提供について
12. リンク先ウェブサイトの個人情報の取扱いについて
13. プライバシーステートメントの重大な変更を行う場合の通知手順について
14. (該当する場合に記載)オプトアウト・業務委託・共同利用・匿名加工情報・パブリックフォーラム・ソフトウェアのダウンロードについて
15. 発効日及び最終改訂日
プライバシーステートメントあるいは個人情報の取扱いの実態について疑問、質問のある場合は、最初に、「(ライセンシー名)(URL)」まで直接ご連絡ください。問い合わせに対する確認の連絡が無い、あるいは納得のいく回答でなかった場合には、オンラインで、日本プライバシー認証機構に連絡してください。これによって日本プライバシー認証機構は、当ウェブサイトとの仲介役として問題の解決をはかることになります。
TRUSTe 認定審査機関名
(TRUSTe 認定審査機関記入欄)
TRUSTe 自己査定書 5.0
本書に記載した内容は、一般社団法人日本プライバシー認証機構(以下、「JPAC」)とライセンシー間で締結される「TRUSTe ライセンス契約」に基づき行われる個人情報保護、プライバシー保護体制の審査業務において使用されます。JPAC および TRUSTe 認定審査機関の審査・認証業務が有効に機能するために は、個人情報の取得方法やその利用実態について正確にすべて理解することが必要不可欠です。機密的な内容を含むなど、回答が難しいと思われる項目についても、漏れなくすべてご回答ください。
※ 全ての質問に回答してください。
※ 記入欄が不足する場合は、別紙に記入の上添付してください。
※ 該当しない設問には、「N/A」と回答してください。
※ 回答は申請するウェブサイトの現時点での運営状態を反映したものでなければなりません。
※ JPAC 及びTRUSTe 認定審査機関は、将来的な活動を予測して審査することはしません。
※ サイトコーディネータが、本書の最終ページに記名・捺印をしてください。
※ 回答の不備等がある場合には、審査の取り止めや認証手続きが遅れる可能性があります。
※ 提供された情報は、機密情報として TRUSTe ライセンス契約の原則に従い取り扱われます。
ライセンシー名 | |
ウェブサイト名 | |
URL | |
概算の総ページ数 |
JPAC との連絡窓口(サイトコーディネータ) | |
氏名 | |
役職 | |
電話番号 | |
FAX 番号 | |
E-mail アドレス | |
ウェブサイト利用者にとって、取得された個人情報がどのように取り扱われるのかを正確に理解するのは容易ではありません。申請するウェブサイトで取得する個人情報については、その取得方法、利用目的、提供や管理方法、苦情対応等を明確にし、プライバシーステートメント上に明記する必要があります。
I. 個人情報の取得と利用・保管について
取得する個人情報については、その利用目的及び取得方法を明確にする事が必要です。
A. 明白な取得方法により取得する個人情報
※取得する個人情報に含まれる情報を全て回答してください。
※事業者内の誰(部署名等)が個人情報を利用するのかを具体的に回答してください。
※個人情報の利用目的を本人が合理的に予測・想定できるように具体的に回答してください。
※不要な個人情報の取得が無いかどうかを回答してください。
※取得する個人情報の保存期間を定めている場合には回答してください。定めていない場合にはその旨を記載してください。
取得ページやフォームの例
●ウェブサイトサービス利用者登録フォーム ●商品購入フォーム ●チャットウィンドウ
●メールマガジン申込みフォーム
●メールリンク
●連絡フォーム
●お問合せフォーム
【記入例】 (個人情報取得ページごとに個別に記入)
※利用目的については、情報を提供する本人が自らの個人情報がどのように取り扱われることとなるか、合理的に予測・想定できるように具体的に記載する必要があります。
■個人情報取得ページ名:会員登録フォーム ■URL:https://www. example.co.jp/account/ ■個人情報利用部門:サービス運営部 ■当該個人情報の保存期間:退会後 1 年 ■現時点での保有件数(概算):約 10000 件 | ||
取得する個人情報に含まれる情報 | 利用目的 | 利用目的の達成に必要とは いえない個人情報の取得の有無 |
【必須項目】 (氏名、メールアドレス、電話番号、住所) | 【必須項目】 (○○事業における商品の発 送、関連するアフターサービス、新商品・サービスに関する情報 のお知らせのため) | 有り 無し |
【任意項目】 (生年月日) | 【任意項目】 (誕生日にクーポンを送るため) | |
※記入欄は次頁になります
【記入欄】 (個人情報取得ページごとに個別に記入)
■個人情報取得ページ名: ■URL: ■個人情報利用部門: ■当該個人情報の保存期間: ■現時点での保有件数(概算): | ||
取得する個人情報に 含まれる情報 | 利用目的 | 利用目的の達成に必要とは いえない個人情報の取得の有無 |
【必須項目】 | 【必須項目】 | 有り 無し |
【任意項目】 | 【任意項目】 | |
■個人情報取得ページ名: ■URL: ■個人情報利用部門: ■当該個人情報の保存期間: ■現時点での保有件数(概算): | ||
取得する個人情報に 含まれる情報 | 利用目的 | 利用目的の達成に必要とは いえない個人情報の取得の有無 |
【必須項目】 | 【必須項目】 | 有り 無し |
【任意項目】 | 【任意項目】 | |
■個人情報取得ページ名: ■URL: ■個人情報利用部門: ■当該個人情報の保存期間: ■現時点での保有件数(概算): | ||
取得する個人情報に含まれる情報 | 利用目的 | 利用目的の達成に必要とは いえない個人情報の取得の有無 |
【必須項目】 | 【必須項目】 | 有り 無し |
【任意項目】 | 【任意項目】 | |
※回答欄が不足する場合は、別紙に記入し本書に添付してください。
1 | ウェブサイト利用者から取得する個人情報の利用目的は、プライバシーステートメントに明 記していますか? | Yes No |
2 | ウェブサイト利用者が個人情報を入力する 際、個人情報の取扱いに関して、十分理解し てもらう為に講じている方法をすべて選択してください。 | 個人情報の取得ページにプライバシーステートメントへのリンクを設けている 「同意する」にチェックを入れないと次の手順に進めない プライバシーステートメントを最後まで読まないと次の手順に進めない その他( .) |
3 | 全ての個人情報取得ページからプライバシー ステートメントには、1 クリックで遷移できますか? | Yes | No |
4-a | “お友達紹介”“プレゼントを送る”のようなサービスで第三者の個人情報を取得します か? | Yes | No |
4-b | 4-a の回答が「Yes」の場合、その個人情報の利用目的をプライバシーステートメントに明記 していますか? | Yes N/A | No |
4-c | 4-a の回答が「Yes」の場合、通知・公表した利用目的以外の目的に個人情報を利用します か? | Yes N/A | No |
5-a | ウェブサイト利用者から要配慮個人情報を取 得しますか? | Yes | No |
5-b | 5-a の回答が「Yes」の場合、明示的な本人の同意を取得していますか? | Yes N/A | No |
5-c | 5-b の回答が「No」の場合、理由を回答してく ださい。 | N/A | |
5-d | ウェブサイト利用者から、年収や資産等に関 する情報を取得しますか? | Yes | No |
5-e | ウェブサイト利用者から、クレジットカード番号 等、決済に必要な情報を取得しますか? | Yes | No |
5-f | ウェブサイト利用者から取得した情報を重要 度に応じてレベル分けし、レベルに応じた保存方法を決めていますか? | Yes | No |
5-g | 5-f の回答が「Yes」の場合、重要度の高い個人情報の保存方法をすべて選択してくださ い。 | オフラインに保管 直接的なパブリックアクセスができない安全な領域に保管 アクセス制限を実施暗号化 特になし N/A | |
6-a | ウェブサイトで、意図的に子供(概ね 12-15 歳以下の者)から個人情報を取得しますか? | Yes | No |
6-b | 6-a の回答が「Yes」の場合、個人情報の取得 に関する同意を保護者から得ていますか? | Yes N/A | No |
7-a | ウェブサイト上に、パブリックフォーラム(チャットルームや掲示板、コメント欄他)等、利用者が自由に書き込むことができ、第三者が自由にその内容を閲覧できるようなサービスは ありますか? | Yes | No |
7-b | 7-a の回答が「Yes」の場合、ウェブサイト利用者のパブリックフォーラム利用において講じている個人情報保護対策をすべて選択してください。 | 監視機能がある 通報窓口を設置し個人情報に関する投稿があった場合に通報するように促している 本人からの削除要求があった場合に速やかに削除する その他( .) N/A | |
8 | ウェブサイトで取得した個人情報に、本人に知られることなく取得した個人情報を補足しま すか? | Yes | No |
9-a | 個人情報の保存期間(永久保存も含む)に関 する規定を定めていますか? | Yes | No |
9-b | 9-a の回答が「Yes」の場合、期間超過後、当該個人情報を消去または特定の個人を識別できない(不可逆的に)状態に加工しています か? | Yes N/A | No |
9-c | 9-a の回答が「Yes」の場合、保存期間についてプライバシーステートメントを通じてウェブサ イト利用者に説明していますか? | Yes N/A | No |
10-a | ウェブサイトで取得した個人情報を、仮名加 工情報へ加工しますか? | Yes | No |
10-b | 10-a の回答が「Yes」の場合、仮名加工情報 への加工に関する規定を定めていますか? | Yes N/A | No |
10-c | 10-a の回答が「Yes」の場合、安全管理に関 する規定を定めていますか? | Yes N/A | No |
10-d | 10-a の回答が「Yes」の場合、仮名加工情報の個人識別行為の禁止を規定で定めていま すか? | Yes N/A | No |
10-e | 10-a の回答が「Yes」の場合、本人への連絡 の禁止を規定で定めていますか? | Yes N/A | No |
10-f | 10-a の回答が「Yes」の場合、仮名加工情報の第三者への提供の禁止を規定で定めてい ますか? | Yes N/A | No |
11-a | ウェブサイトで取得した個人情報を、匿名加 工情報へ加工しますか? | Yes | No |
11-b | 11-a の回答が「Yes」の場合、匿名加工情報 への加工に関する規定を定めていますか? | Yes N/A | No |
11-c | 11-a の回答が「Yes」の場合、匿名加工情報の安全管理に関する規定を定めています か? | Yes N/A | No |
11-d | 11-a の回答が「Yes」の場合、匿名加工情報に含まれる個人に関する情報の項目をどの ように公表していますか? | N/A | |
11-e | 11-a の回答が「Yes」の場合、匿名加工情報の適正な取扱いや苦情に関する規定を定め ていますか? | Yes N/A | No |
11-f | 11-a の回答が「Yes」の場合、匿名加工情報 を第三者に提供しますか? | Yes N/A | No |
11-g | 11-f の回答が「Yes」の場合、含まれる個人に関する情報の項目及びその提供方法について公表し、かつ当該提供先である第三者に対して匿名加工情報である旨を明示しています か? | Yes N/A | No |
12-a | ウェブサイトで取得した個人情報を外国にある第三者の提供するクラウドサービスに保管する場合、もしくは外国にある支店や営業所 で取り扱わせる場合がありますか? | Yes | No |
12-b | 12-a の回答が「Yes」の場合、法令に則った 対応を行っていますか? | Yes N/A | No |
B. ウェブサイト利用者に知られることなく取得する情報について | ||
1 | ウェブサイト利用者が認識しないうちに情報を 取得しますか? | Yes No |
2 | 1 の回答が「Yes」の場合、該当する情報をすべて選択してください。 | IP アドレス ブラウザの種類 ドメイン・ネーム アクセス回数端末固有識別番号 リファラーURLページ・ビュー 位置情報 OS デバイス 地域その他( .) N/A |
3 | 2 で回答した情報はどのような仕組みにより取得しますか? すべて選択してください。 | ログファイルの解析 クッキーウェブビーコン その他( .) N/A |
4 | 3 で「クッキー」を選択している場合、クッキー の利用に関する明示的な同意を得る仕組みをウェブサイト利用者に提供していますか? | Yes No N/A |
5 | 2 で回答した情報は、どのような目的で使用しますか? すべて選択してください。 | ASP 機能の管理・有効化のためアクセス解析 利用者に合わせたコンテンツのカスタマイズセッション管理/タイムアウト セキュリティ対策 その他( .) N/A |
6 | 2 で回答した情報を取得していることについて、プライバシーステートメントで、ウェブサイ ト利用者に説明していますか? | Yes No N/A |
7 | 3 の機能をウェブサイト利用者が拒否(拒絶する設定)した時、ウェブサイト利用者が全部または一部のサービスを利用できない等のなんらかの不利益を被る場合は、その内容を回答 してください。 | N/A |
C. ウェブ上のダウンロードソフトウェアについて | ||
1 | ウェブサイト上に、ダウンロード可能なソフトウ ェアはありますか? | Yes No |
2 | 1 の回答が「Yes」の場合、そのソフトウェアの 内容について回答してください。 | N/A |
3 | 1 の回答が「Yes」の場合、そのソフトウェア上 で個人情報を取得しますか? | Yes No N/A |
4 | 3 の回答が「Yes」の場合、プライバシーステ ートメントに当該個人情報の利用目的を掲載していますか? | Yes No N/A |
II. アクセスについて
貴社がウェブサイト利用者へアクセスする際には、事前の説明・約束に則り適切に行う必要があります。
A. アクセスについて | ||||
1 | 本人へのアクセスの内容には、どのようなものがありますか?すべて選択してください。 | ウェルカムメール メールマガジン 製品・サービスのアップデートに関する連絡管理上の連絡 マーケティング関連の連絡問合せへの回答 その他( .) | ||
2 | 1で回答したアクセスは、どのような手段で行いますか?すべて選択してください。 | Email 郵便 メッセージングサービスその他( .) | 電話 | FAX 通知機能 |
3 | アクセスの頻度を選択してください。 | 毎日 毎週必要に応じて その他( .) | 毎月 | |
III. 個人情報の提供について
個人情報を第三者に提供する場合には、提供先の第三者においても適切に取扱いがなされるようにリスク
管理を行う必要があります。
A. オンラインディレクトリー | |||
1 | ウェブサイト上に、オンラインディレクトリーや 類似の機能を有したサービスがありますか? | Yes | No |
2 | 1 の回答が「Yes」の場合、当該サービス上で 個人情報が掲載されることについて本人から同意を得ていますか? | Yes N/A | No |
3 | 1 の回答が「Yes」の場合、本人は、どのような手段で掲載の停止依頼を行うことができます か? | N/A | |
4 | 1 の回答が「Yes」の場合、掲載停止の申し出を受けてから、掲載停止措置が完了するまで に要する期間について回答してください。 | N/A | |
B. 個人情報の取扱いを含む業務の委託について | |||
1 | ウェブサイトで取得した個人情報を、業務委託 先事業者に提供しますか? | Yes | No |
2 | 1 の回答が「Yes」の場合、委託先事業者名、委託する業務の内容、提供する個人情報について回答してください。 | 事業者名:業務内容:提供情報: N/A | |
3 | 1 の回答が「Yes」の場合、提供する個人情報は、利用目的の達成に必要な範囲内に限定し ていますか? | Yes N/A | No |
4 | 1 の回答が「Yes」の場合、2 で回答した委託先事業者に個人情報を移送する方法を回答して ください。 | N/A | |
5 | 1 の回答が「Yes」の場合、業務委託先事業者 の選定に関する規定を定めていますか? | Yes N/A | No |
6 | 1 の回答が「Yes」の場合、業務委託先事業者と締結している業務委託契約に含まれている内容についてすべて選択してください。 | 委託元及び委託先の責任 個人データの安全管理に関する事項再委託に関する事項 個人データの取扱状況に関する委託元への報告の内容及び頻度 契約内容が遵守されていることの確認に関する事項 契約内容が遵守されなかった場合の措置セキュリティ事件・事故が発生した場合の報告・連絡に関する事項 提供した個人データを委託契約履行の目的のみで使用する旨 提供した個人データを他の委託元から委託された個人データと区別して保管、取り扱う旨 提供した個人データを他の委託元事業者から提供を受けた個人データや委託先事業者自らが取得した個人データと突合しない旨 その他( .) N/A | |
7 | 2 で回答した委託先事業者の委託先(再委託 先)はありますか? | Yes N/A | No |
8 | 1 の回答が「Yes」の場合、当該業務委託先事業者、または再委託先事業者に対して定期的 な監査を行っていますか? | Yes N/A | No |
C. 個人情報の共同利用について | |||
1 | ウェブサイトで取得した個人情報を共同利用し ますか? | Yes | No |
2 | 1 の回答が「Yes」の場合、法令が求める事項 をあらかじめ通知または公表していますか? | Yes N/A | No |
D. 個人情報の第三者提供について | |||
1 | ウェブサイトで取得した個人情報を、第三者に 提供しますか? | Yes | No |
2 | 1 の回答が「Yes」の場合、本人の同意を得て いますか? | Yes N/A | No |
3 | 2 の回答が「No」の場合、同意を得ずに第三者提供を行う法的根拠を選択してください。 | オプトアウトによる第三者提供その他( .) N/A | |
4 | 3 の回答が「オプトアウトによる第三者提供」の場合、オプトアウトの実施者をデータベース 等で適切に管理していますか? | Yes N/A | No |
5 | 3 の回答が「オプトアウトによる第三者提供」 の場合、実施にあたり個人情報保護委員会への届出を行っていますか? | Yes N/A | No |
6 | 1 の回答が「Yes」の場合、どのような事業者に 個人情報を提供しますか? | N/A | |
7 | 1 の回答が「Yes」の場合、提供する個人情報 を回答してください。 | N/A | |
8 | 1 の回答が「Yes」の場合、個人情報を第三者 へ提供する目的を回答してください。 | N/A | |
9 | 1 の回答が「Yes」の場合、第三者への個人情報の提供に際して、当該個人情報を提供した年月日、当該第三者の氏名または名称等を記 録し保存していますか? | Yes N/A | No |
10 | 9 の回答が「Yes」の場合、第三者提供の記録についてウェブサイト利用者から開示請求が あった場合に開示は可能ですか? | Yes N/A | No |
11 | 1 の回答が「Yes」の場合、提供先の第三者には違法又は不当な行為を助長、又は誘発するおそれがある事業者が含まれていないか確認 していますか? | Yes N/A | No |
E. 個人関連情報の第三者提供について | |||
1 | 第三者から個人関連情報の提供を受けます か? | Yes | No |
2 | 1 の回答が「Yes」の場合、どのような個人関連 情報の提供を受けますか? | N/A | |
3 | 1 の回答が「Yes」の場合、提供を受けた個人関連情報はウェブサイトで取得した個人情報 と紐づき、個人データとなりますか? | Yes N/A | No |
4 | 3 の回答が「Yes」の場合、個人関連情報の提供を受けた後に個人データとなる旨について 本人から明示的な同意を取得していますか? | Yes N/A | No |
F. 外国にある第三者に個人情報を提供する場合 | |||
1 | ウェブサイトで取得した個人情報を、外国にあ る第三者に提供しますか? | Yes | No |
2 | 1 の回答が「Yes」の場合、提供先の第三者は 十分性認定を受けている外国にありますか? | Yes N/A | No |
3 | 2 の回答が「No」の場合、提供先の第三者は 基準適合体制を整備していますか? | Yes N/A | No |
4-a | 3 の回答が「Yes」の場合、法令に則って第三 者に基準適合体制を確認していますか? | Yes N/A | No |
4-b | 3 の回答が「Yes」の場合、第三者による措置の実施に支障が生じた場合に個人データの提 供を停止しますか? | Yes N/A | No |
4-c | 3 の回答が「Yes」の場合、本人の求めがあった際に、法令に則った情報提供の体制を整え ていますか? | Yes N/A | No |
5-a | 3 の回答が「No」の場合、提供に際して本人の 同意は取得していますか? | Yes N/A | No |
5-b | 5-a の回答が「Yes」の場合、本人からの同意 を得る際に法令に則って情報を提供していますか? | Yes N/A | No |
IV. 個人情報の正確性と最新性及び訂正手続きについて
取得した個人情報の正確性及び最新性を確保・維持するために適切な処置を講じる必要があります。ま
た、ウェブサイト利用者が自身の情報を確認できる簡単且つ適切な手段を提供しなければなりません。
A. ウェブサイト利用者による自身の情報の確認と訂正手続きについて | ||
1 | ウェブサイト利用者が提供した自身の個人情報の確認や訂正の要求はどのような手段で行うことができますか?すべて選択してくださ い。 | オンライン E-mail 電話 郵便 その他( .) |
2-a | ウェブサイト利用者が、アクセス、訂正できる 情報項目に制限はありますか? | Yes No |
2-b | 2-a の回答が「Yes」の場合、制限内容につい て回答してください。 | N/A |
3 | 個人情報の確認、訂正の要求を行おうとする 者の本人確認はどのように行っていますか? | |
4-a | 本人の依頼があっても消去できない個人情報 やそれに含まれる情報項目はありますか? | Yes No |
4-b | 4-a の回答が「Yes」の場合、その内容につい て回答してください。 | N/A |
B. 個人情報の保全について | ||
1 | ウェブサイトで取得した個人情報が正確かつ完全な状態を維持するために、どのような施 策を講じていますか? | |
2 | 業務で使用するPC や電子媒体等は盗難または紛失等を防止するために、どのような管 理を行っていますか? | |
3 | 個人情報の消去や廃棄に関する規定を定め ていますか? | Yes No |
4 | 個人情報が記録された機器等の廃棄に関して、安全に処理する為の規定を定めています か? | Yes No |
V. 情報セキュリティについて
セキュリティを確保する上でソフト・ハードの両面においてどのような対策を講じているかを十分に理解する必要があります。また、従業者に対し、個人情報保護、情報セキュリティの必要性、重要性を啓発する事も必要です。
A. 情報セキュリティマネジメント | ||
1-a | 情報セキュリティの為に組織として定め、文書 化された規定はありますか? | Yes No |
1-b | 1-a の回答が「Yes」の場合、策定にあたり何 を基準としたか回答してください。 | N/A |
2 | 最高情報セキュリティ責任者(CISO;Chief Information Security Officer)、またはそれに 相当する者はいますか? | Yes No |
3 | CSIRT 等インシデント対応体制、インシデント 対応計画等は整っていますか? | Yes No |
4 | 全ての従業者は、情報セキュリティに関する 規定を理解していますか? | Yes No |
5 | 個人情報の取扱いを伴う業務を委託する委託先事業者は、貴社の情報セキュリティに関 する規定を理解していますか? | Yes No N/A |
6 | 情報セキュリティに関する監査や運用の評価 等を定期的に行っていますか? | Yes No |
B. 社内システムにおけるセキュリティについて | ||
1 | 社内システムで使用している機器、ソフトウェア等についての管理規定を定めています か? | Yes No |
2 | 社内システムで使用しているセキュリティ機 器・ソフトウェア等の製品名と開発元を回答し てください。 | |
3 | OS やソフトウェア、ウィルス対策ソフト等の更新、脆弱性対策は適切に行われています か? | Yes No |
4-a | テレワークの実施等、外部から社内ネットワ ークへの接続はありますか? | Yes No |
4-b | 4-a の回答が「Yes」の場合、テレワーク実施時の利用者端末に関する規定を定めていま すか? | Yes No N/A |
4-c | 4-a の回答が「Yes」の場合、テレワーク実施時のアクセス管理、ネットワーク環境等に関 する規定を定めていますか? | Yes No N/A |
5-a | 個人情報へのアクセス権は、職務、役割に応 じて、必要最小限に設定していますか? | Yes No |
5-b | 個人情報へのアクセス者の認証はどのように行っていますか?多要素認証を利用している場合は、すべて選択してください。 | ID・パスワード 端末認証その他の利用者認証( .) 管理サーバ・ソフトを利用する認証( .)その他( .) N/A |
5-c | 個人情報へのアクセスログを取得しています か? | Yes No |
5-d | 5-c の回答が「Yes」の場合、当該アクセスロ グを定期的にチェックしていますか? | Yes No N/A |
6 | 個人情報への不正なアクセス、不正な利用等、またはそれらの試みを検知するシステム がありますか? | Yes No |
7 | 業務での個人所有のデバイス利用に関する 規定を定めていますか? | Yes No |
8 | 社内システムに利用している機器のセキュリティ対策について実施している内容をすべて選択してください。 | サーバルーム施錠 サーバラック施錠 IC カード等のセキュリティシステムによる制限区域の設定 セキュリティワイヤー等の使用 施錠できるキャビネット等の使用監視カメラの設置 |
その他( .) N/A | ||
C. ウェブシステム・ネットワークにおけるセキュリティについて | ||
1-a | ウェブシステム等の運営方式について回答してください。 | 自社運用(オンプレミス) ホスティングクラウドの利用 その他( .) |
1-b | ホスティングやクラウドを利用している場合、ウェブサーバ・データベースサーバ等の設置 場所及びその事業者名を回答してください。 | N/A |
1-c | クラウドを利用している場合、利用している方 式を回答してください。 | IaaS PaaS SaaS N/A |
1-d | クラウドを利用している場合、自社と当該サービス提供事業者との責任範囲を確認した上で適切なセキュリティ設定等の対応を行ってい ますか? | Yes No N/A |
2 | ウェブシステムの設計ミス・設定ミス等を防止する為の評価、管理策は取っていますか? | Yes No |
3-a | ウェブシステムの管理、作業について、管理者・作業者ごとの権限の分散や役割、利用に 関する規定を定めていますか? | Yes No |
3-b | 3-a の回答が「Yes」の場合、当該規定で定めている内容をすべて選択してください。 | 管理者・作業者の権限と役割管理者・作業者の ID 管理 管理者・作業者の認証・認可の管理構成要素、バージョン等の管理 その他( .) N/A |
3-c | OS 及びその他のソフトウェアの更新を行って いますか?更新ができない場合、代替の脆弱性対策は適切に行っていますか? | Yes No |
3-d | デフォルトのセキュリティ設定の見直しを行っていますか? | Yes No |
3-e | 不要なアカウント、デフォルトのアカウントを無 効にしていますか? | Yes No |
3-f | 必要なサービスの稼働のみに限定し、不要なサービス、プロトコル、ポート等の利用ができ ないように設定していますか? | Yes No |
3-g | システムへの API 認証情報(アクセスキー) の管理は適切に行われていますか? | Yes No N/A |
3-h | ルート ID やユーザーID の使い分け、共通の ID の使いまわしの禁止等を実施し、個別の ID による作業の記録等の管理を行っていま すか? | Yes No |
3-i | 作業者の権限は必要最小限の設定にしてい ますか? | Yes No |
3-j | 管理者、作業者のアクセスログを収集してい ますか? | Yes No |
3-k | 管理者、作業者のアクセス状況を定期的にチ ェックしていますか? | Yes No |
3-l | 管理者、作業者のアクセスログは、改ざんを 防ぎ、安全な管理・保存が行われていますか? | Yes No |
3-m | 管理者、作業者がログインする際の認証はどのように行っていますか?多要素認証を利用している場合は、すべて選択してください。 | ID・パスワード クライアント証明書 端末を限定 IP アドレスによる制限トークン、IC カード等による認証( .)その他( .) N/A |
3-n | サーバ等構成要素にアクセスする際の通信方法について回答してください。 | VPN SSH(パスワード認証) SSH(公開鍵認証) 閉域網・専用線の利用 その他( .) |
4 | 所属の変更や退職した従業員や業務委託先事業者に対して、適切な時期にサーバ等へのアクセス権を取り消すことを規定で定めてい ますか? | Yes No |
5-a | 安全なネットワーク環境を確保するために実施している方法を回答してください。 | DMZ ネットワーク・セグメントの分離セキュリティグループ等の設定 ネットワーク間の FW その他( .) |
5-b | システムやサーバへの不正アクセス、環境侵害等を防御・検知するための方法・仕組みについて回答してください。 | FW IPS IDS WAF プロキシサーバサンドボックス UTM 外部の不正監視・検知システムやサービスの利用 その他( .) |
D. ウェブサイト、ウェブアプリケーションにおけるセキュリティについて | ||
1 | ウェブアプリケーションやウェブサイトへの各種攻撃に対し、対策を行っているものをすべて選択してください。 | SQL インジェクション XSS CSRF ディレクトリ・トラバーサルバッファオーバーフロー OS コマンドインジェクション その他( .) |
2 | 公開を意図しない Web ページやファイルが公 開されていないか適切に管理していますか? | Yes No |
3 | ウェブシステムに関わる情報を不要に公開し ないように適切に設定していますか? | Yes No |
4 | ウェブページの改ざんや、不正広告、不正プ ログラムの注入等に対して、ウェブサイトの監視を行っていますか? | Yes No |
5-a | 定期的に脆弱性情報を収集し、対策を実施し ていますか? | Yes No |
5-b | ウェブサイトの脆弱性試験またはレビューを 定期的に実施していますか? | Yes No |
6-a | ウェブサイトでは、ウェブサイト利用者の識別の為、セッション ID の発行等、セッションの管 理を行っていますか? | Yes No |
6-b | 6-a の回答が「Yes」の場合、セッションハイジャック等への対応や、安全対策を実施してい ますか? | Yes No N/A |
7-a | ウェブサイト利用者のログインページはありま すか? | Yes No |
7-b | 7-a の回答が「Yes」の場合、ログインの際の認証はどのように行っていますか?多要素認証を利用している場合は、すべて選択してください。 | ID・パスワード ワンタイムパスワードトークン、IC カード等による認証( .) ID 連携技術(オープン ID 等)によるログインシステム その他( .) N/A |
7-c | 7-b の回答が ID とパスワードによる認証の 場合、ID・パスワードの保存はハッシュ化等に よるセキュリティ対策を行っていますか? | Yes No N/A |
7-d | 7-a の回答が「Yes」の場合、ウェブサイト利用者の認証の際の安全対策や、不正ログイン の防止対策等について回答してください。 | N/A |
7-e | 7-b の回答で、ID 連携技術を利用している場 合、導入しているサービス名、提供元事業者名を回答してください。 | N/A |
7-f | 7-b の回答で、ID 連携技術を利用している場合、ID 連携技術サービスを利用することで取得する情報には、どのような内容が含まれて いますか? | N/A |
8-a | SSL/TLS を使用している場合、要求設定または設定有効としているバージョンを回答してく ださい。 | SSL2.0 SSL3.0 TLS1.0 TLS1.1 TLS1.2 TLS1.3 N/A |
8-b | サーバ証明書の発行元と種類を回答してください。 | 発行元( .) ドメイン認証型 企業実在認証型 EV(Extended Validation)証明書ワイルドカード証明書 その他( .) N/A |
8-c | サーバ証明書の有効期限を回答してくださ い。 | 年 月 日 N/A |
8-d | ウェブサイトに http と https のページが混在している場合、セッションの管理は安全な方法 で行われていますか? | Yes No N/A |
9-a | ウェブサイトにサブドメインがありますか? (例: https://www.truste.or.jp と https://consumer. truste.or.jp) | Yes No |
9-b | 9-a の回答が「Yes」の場合、全てのサブドメイ ンを回答してください。 | N/A |
E. アドネットワーク・アクセス解析・トラッキング技術等の利用について | ||
1-a | ウェブサイトはアドネットワークによる広告シ ステムを導入していますか? | Yes No |
1-b | 1-a の回答が「Yes」の場合、広告システムを 提供している事業者名を回答してください。 | N/A |
1-c | 1-a の回答が「Yes」の場合、広告システム は、ウェブサイト上でウェブサイト利用者の端 末にクッキーを送信しますか? | Yes No N/A |
1-d | 1-c の回答が「Yes」の場合、プライバシーステ ートメントにその旨を記載していますか? | Yes No N/A |
2-a | 広告システム以外のトラッキング、アクセス解 析等を実施していますか? | Yes No |
2-b | 2-a の回答が「Yes」の場合、そのサービス名、ソフトウェア名等について回答してくださ い。 | |
2-c | 2-a の回答が「Yes」の場合、どのような情報を取得しますか?すべて選択してください。 | IP アドレス ブラウザの種類 ドメイン・ネーム アクセス回数端末固有識別番号 リファラーURL ページ・ビュー 位置情報 OS デバイス 地域 その他( .) N/A |
2-d | 2-c で回答した情報はどのような技術を利用して取得しますか?すべて選択してください。 | ファーストパーティクッキーサードパーティクッキー Web ビーコン その他( .) N/A |
2-e | 2-a の回答が「Yes」の場合、プライバシーステ ートメントにその旨を記載していますか? | Yes No N/A |
2-f | 2-d でクッキーを選択している場合、クッキー の利用に関する明示的な同意を得る仕組みをユーザーに提供していますか? | Yes No N/A |
2-g | 2-c で回答した情報について、取得した情報 から特定の個人を識別しますか? | Yes No N/A |
2-h | 2-g の回答が「Yes」の場合、その目的を回答 してください。 | N/A |
2-i | 2-c で回答した情報を、第三者に提供します か? | Yes No N/A |
2-j | 2-i の回答が「Yes」の場合、プライバシーステ ートメントにその旨を記載していますか? | Yes No N/A |
3-a | ウェブサイトには、別の事業者が運営するウ ェブサイトへのリンクが存在しますか? | Yes No |
3-b | 3-a の回答が「Yes」の場合、ウェブサイト利用者が別の事業者が運営するウェブサイトに遷 移することを通知しますか? | Yes No N/A |
4-a | ウェブサイトには、サードパーティのプログラ ムが組み込まれていますか? | Yes No |
4-b | 4-a の回答が「Yes」の場合、そのプログラムについて回答してください。 | IFRAME WebAPI その他( .) N/A |
4-c | 4-a の回答が「Yes」の場合、そのプログラム の安全性を確認していますか? | Yes No N/A |
F. データのバックアップについて | ||
1-a | 個人情報は適切にバックアップされています か? | Yes No |
1-b | 1-a の回答が「Yes」の場合、バックアップの保 存期間について回答してください。 | N/A |
1-c | 1-a の回答が「Yes」の場合、バックアップの頻 度について回答してください。 | N/A |
1-d | 個人情報のバックアップ方法について回答し てください。 | N/A |
1-e | 個人情報のバックアップデータは常に安全な 場所で保管していますか? | Yes No N/A |
2 | リストアの手順は確立されていますか? | Yes No N/A |
VI. 個人情報保護に関するマネジメントについて
取得した個人情報の取扱いに関する方針、手順を明確にしておく必要があります。
A. 個人情報保護マネジメント | ||
1 | 個人情報の適切な取扱いの為に組織として 定め、文書化された規定はありますか? | Yes No |
2 | 個人情報保護に関する最高責任者を定めて いますか? | Yes No |
3 | 個人情報の適正な取扱いができているか、定期的な監査や運用の評価等を行っています か? | Yes No |
4 | ウェブサイト利用者の個人情報の取扱いについて、個人情報の取得・利用・保存・提供・削除・廃棄等の各場面に応じた規定を定めてい ますか? | Yes No |
5 | 個人情報の取得・利用・保存・提供・削除・廃棄等の各場面に応じたリスクアセスメント・リ スク対策を行っていますか?(PIA 等) | Yes No |
6 | ウェブサイト利用者の個人情報に関して、利用目的の通知、開示請求、訂正、利用停止、及びそれらの手続き等について、規定を定め ていますか? | Yes No |
7 | ウェブサイト利用者から個人情報の開示請求があった場合に、本人が請求する方法で対応 していますか? | Yes No |
8 | 全ての従業者及び、個人情報の取扱いを含む業務の委託先事業者は、貴社の個人情報 保護に関する規定を理解していますか? | Yes No |
9 | 個人情報保護についての従業者教育に関す る規定を定めていますか? | Yes No |
10 | 従業者教育を実施する頻度を選択してくださ い。 | 毎年 半年ごと その他( .) |
11 | 個人情報保護に関する規定を、定期的に見 直していますか? | Yes No |
12 | 個人情報保護法、または関連する法令等に基づく個人情報の提供依頼があった場合に、 それに応じる為の適切な手順がありますか? | Yes No |
13 | 訪問者対応スペースは、執務エリアから分離 されていますか? | Yes No |
14 | 事業所内への入退室管理・施錠管理等の安全対策で行っている内容について回答してく ださい。 | |
15-a | 事業所外に個人データを持出しすることはあ りますか? | Yes No |
15-b | 15-a の回答が「Yes」の場合、持出し方法及び、セキュリティ対策として実施している内容 について回答してください。 | N/A |
B. 緊急時対応・インシデント対応について | ||
1 | 個人情報の漏えい等の事案が発生した際の 対応に関する規定を定めていますか? | Yes No |
2 | 1 の回答が「Yes」の場合、当該規定で定めている内容をすべて選択してください。 | 事業者内部における報告及び被害の拡大防 止 事実関係の調査及び原因の究明影響範囲の特定 再発防止策の検討及び実施 事実関係及び再発防止策等の公表個人情報保護委員会等への報告 影響を受ける可能性のある本人への連絡等その他( .) N/A |
VII. 個人情報に関連する苦情に対する対応について
ウェブサイト利用者から寄せられる個人情報の取扱いに関する問合せ、または苦情に対応するための手順
を定めておく必要があります。
A. 苦情対応窓口について | ||
1 | 個人情報の取扱いに関連する苦情に対応す る窓口はありますか? | Yes No |
2 | 1 の回答が「Yes」の場合、当該窓口への連絡手段をすべて選択してください。 | 電子メール 電話 Fax 郵便 オンラインフォームその他( .) N/A |
3 | 問合せや苦情があった場合、回答の方法、窓口、回答に要する日数を回答してください。 | 回答方法:窓口: 日数: N/A |
B. 苦情対応担当者に対する社員教育 | ||
1 | 苦情対応担当者に対して、個人情報保護や プライバシー保護に関連する教育を行っていますか? | Yes No |
2 | 1 の回答が「Yes」の場合、実施頻度について 回答してください。 | 毎年 半年ごと その他( .) N/A |
以下に記名・捺印することにより、本書に回答したことを証明し、それが本書記名捺印日時点で、真実であり正確であることを保証いたします。
サイトコーディネータ記名・捺印 | 印 |
記名・捺印日 | 年 月 日 |