第3条 当協会は、プライバシーマーク指定審査機関基本規程第1 4 条第1 項に定める日本産業規格 JISQ15001「個人情報マネジメントシステム-要求事項」
最終改正 令和4 年4 月1 日
一般社団法人 全日本冠婚葬祭互助協会
プ ラ イ バ シ ー マ ー ク 付 与 適 格 性 審 査 手 x x 規 程
第1章 総則
(目 的)
第1条 本規程は、「プライバシーマーク指定審査機関基本規程」に基づき、一般社団法人全日本冠婚葬祭互助協会( 以下「当協会」という。)が指定審査機関としてプライバシーマーク付与の適格性に関する審査( 以下「付与適格性審査」という。) を実施するにあたり必要な手続きについて定める。
2 プライバシーマーク付与適格性審査に関する手続きは、付与機関の定めるプライバシーマーク制度基本綱領その他プライバシーマーク制度に係る規程、協会の定款及び協会規程に特別の定めがある場合を除くほか、本規程の定めるところによる。
( 用語及び定義)
第2条 本規程で使用する用語及び定義は、本規程で定めるもののほか、「プライバシーマーク指定審査機関基本規程」において使用する用語等の例による。
( 審査の基準)
第3条 当協会は、プライバシーマーク指定審査機関基本規程第1 4 条第1 項に定める日本産業規格 JISQ15001「個人情報マネジメントシステム-要求事項」
(以下、「JIS」という。) への適合性を判断するために付与機関が定める指針及び同条第2 項に定めるガイドラインを基準とし、当協会が定める約款及び規程に従い審査するものとする。
第2章 プライバシーマーク付与適格性審査第1節 付与適格性審査の申請
( 審査の主体及び客体)
第4条 当協会は、当協会の正会員として加盟する冠婚葬祭互助会事業者又は準会員として加盟する事業者について付与適格性審査を行うものとする。
( 審査約款)
第5条 当協会は、当協会が行う付与適格性審査について「プライバシーマーク付与適格性審査に関する約款」( 以下、「審査約款」という。)に定めるとともに、審査約款の全文を当協会のウェブサイトにおいて公表する。
2 当協会の付与適格性審査を受けようとする事業者(以下「申請者」という。)は、事前に審査約款を承認し遵守することを誓約しなければならない。
( 審査の対象)
第6条 付与適格性審査は、申請者から提出された申請書類及び現地審査の結果を対象としなければならない。但し、申請者に対し面談調査を行った場合にはその結果を審査の対象とすることができる。
( 欠格条項)
第7条 付与機関の定める「プライバシーマーク制度における欠格事項及び判断基準( 以下「欠格事項及び判断基準」という。)」の欠格事項に規定するプライバシーマーク付与適格性を有しない者又は付与適格性審査の申請ができない者に該当する事業者は、付与適格性審査を受けることが出来ない。
2 当協会は、付与機関の「欠格事項及び判断基準」に従って、欠格事項及び個人情報の取扱いに関する事故についての措置を講ずる。
( 申請書類)
第8条 申請者は、次の書類を当協会に提出しなければならない。
( 1 ) 所定の様式によって、付与適格性審査を申請する旨の書面書
( 2 ) 登記事項証明書その他の申請者の実在を証する公的書類
( 3)定款、寄付行為その他これらに準ずる規程類及び個人情報の取扱いに係る事業を説明する書類
( 4 ) 役員の名簿( 執行役員を含む)
(5)個人情報保護マネジメントシステム(以下、「PMS」という。)を記述した文書( 以下、「PMS 文書」という。)
( 6 ) 個人情報の適切な保護のためのその他の関係規程等
( 7 ) 所定の様式によって、a ) ~ e ) の事項を誓約ないし表明する書面
a )プライバシーマーク付与適格性審査に関する約款を承認し遵守すること
b )プライバシーマーク付与適格性審査のために必要なすべての情報を開示する旨及び開示する情報の一切は、事実である旨を申告すること c )付与機関の「プライバシーマーク制度における欠格事項及び判断基
準」に定める欠格事項に該当しないこと
d )別途定める「プライバシーマーク付与適格性審査業務に係る秘密情報の取扱いに関する規約」を理解し同意すること
e )その他当協会が定める付与適格性審査に関する各種規程類に同意すること
( 8 ) その他指定した書類または申請者が適当と認める書類
2 前項の申請書類で当協会が指定する様式は、次のとおりとする。
( 1 ) 新規申請
ア.プライバシーマーク付与適格性審査申請書① ~ ③( 申請様式 1 新規)イ. 個人情報保護体制( 申請様式 5 新規)
ウ. 事業者概要( 申請様式 3)
エ. 個人情報を取り扱う業務の概要( 申請様式 4 新規)
オ. すべての事業所の所在地及び業務内容( 申請様式 5 新規)
カ.個人情報保護マネジメントシステム( P M S )文書の一覧( 申請様式 6 新規)
キ. 教育実施サマリー( 申請様式 7 新規)
ク. 内部監査・マネジメントレビュー実施サマリー( 申請様式 8 新規)
( 2 ) 更新申請
ア. プライバシーマーク付与適格性審査申請書( 申請様式 1 更新)イ. 個人情報保護体制( 申請様式 2 更新)
ウ. 事業者概要( 申請様式 3 更新)
エ. 個人情報を取り扱う業務の概要( 申請様式 4 更新)
オ. すべての事業所の所在地及び業務内容( 申請様式 5 更新)
カ. 個人情報保護マネジメントシステム文書の一覧( 申請様式 6 更新) キ.教育・内部監査・マネジメントレビュー実施サマリー( 申請様式 7
更新)
ク.前回付与適格決定時から変更のあった事業の報告( 申請様式 8 更新)
( 申請の受理)
第9条 当該申請者の付与適格性審査を行うこととなった審査員( 以下「審査担当」という。)は、申請者の提出した申請書類が次の各号に掲げる要件を全て満たすとき、申請を受理しなければならない。
( 1 ) 申請者が提出した申請書類が前条で規定する形式に適合していること
( 2)その申請書類から申請者の事業内容及び PMS についての情報が、付与適格性審査を実施するうえで十分であること
( 3 ) 申請者が本規程第7 条に該当する事業者であること
2 審査担当は、申請の形式に不備があったときは、申請者に対し、その補正を指示しなければならない。
( 付与適格性審査に係る費用の請求)
第10条 審査室長は、付与適格性審査の申請を受理したときには申請者に対して受理した旨を通知するとともに、別途定める「申請料及び審査料に関する規程」に基づき申請料及び審査料を請求する。
2 審査室長は、現地審査を実施した後、申請者に対し、別途定める「現地審査に係る費用に関する規程」に基づく費用を請求する。
3 審査室長は、前々項及び前項の振込みが確認されない間は、当該申請者の付与適格性審査を中断又は打ち切ることができる。
第2節 付与適格性の審査
( 審査の開始)
第11条 当協会は、原則として申請書類を受理した日付の順に書類審査を開始しなくてはならない。
( 文書審査)
第12条 審査担当は、申請者の提出した申請書類及び PMS 文書が第5条で定める付与適格性審査の基準( 以下「審査基準」という。)に照らし適合するかどうかを確認し、その結果を第1 4 条で定める現地審査を実施する前に申請者へ送付しなければならない。
2 審査担当は、前項の文書審査にあたり、次の所定の様式に基づいた書類を使用して審査を行う。
( 1 ) PMS 文書審査結果( 様式 A)
( 2 ) PMS 文書審査結果送付状( 様式 A-2)
( 指定書類の提出・面談調査の実施)
第13条 審査担当は、申請者の提出した PMS 文書の内容が審査基準に照らして不十分な場合、若しくは不明な場合、申請者に対して次の各号に定める調査を実施することができる。
( 1 )審査担当が指定した書類、又は申請者が任意で提出する書類による調査
( 2 ) 面談調査( 面談調査は原則として協会の事務所内で行う。)
( 現地審査)
第14条 当協会は、申請者の PMS の運用状況を審査するため、申請者の事業所において現地 審査を実施しなければならない。この場合、審査担当は以下に示す事項を重視して審査にあたらなければならない。
(1) PMS における代表者の責任及び役割
(2) PMS に関する内部の組織及び手順
(3) PMS に関する安全管理措置
( 4 ) 教育の実施及び理解度の確認
( 5 ) 監査の実施
( 6 ) 是正措置及びフォローアップ
( 7 ) 代表者による見直し
2 担当審査員は、現地審査を実施するにあたり、次の所定の様式に基づいた書類( 以下「審査書類」という。) を使用して審査を行う。
( 1 ) PMS 運用状況チェックリスト( 様式 B)
( 2 ) 補完的ルール対応確認表( 様式 B 別紙)
( 3 ) 指摘事項文書「プライバシーマーク付与適格性審査の指摘事項について」( 様式 B-2)
( 4 ) プライバシーマーク付与適格性審査報告書( 様式 C/ 新規)
( 5 ) プライバシーマーク付与適格性審査報告書( 様式 C/ 更新)
( 6 ) プライバシーマーク付与適格性審査報告書( 様式 C/合併)
3 現地審査は、審査日及び審査場所について申請者と合意した上で実施するものとし、審査を担当する審査員の氏名及び実施内容を申請者にあらかじめ通知しなければならない。
( 現地審査に係る費用の負担)
第15条 現地審査のための交通費・宿泊費等の費用は、別途定める「プライバシーマーク付与適格性審査事業の現地審査に係る費用に関する規程」に従い申請者が負担するものとする。
( 不適合の指摘)
第16条 審査担当は、申請者の提出した申請書類、または第1 2 条及び第1 4条に定める審査の結果が審査基準に照らして適合するものかどうかを確認し、それが適合するものであった場合には、その旨を現地審査報告書に記載し、申請書類とともに審査室長に提出しなければならない。
2 前項において、審査の結果、審査基準に適合しないと判断される場合には、第1 4 条第2 項第5 号に定める不適合理由書を作成し、申請者に書面により通知しなければならない。
( 不適合理由書の通知の効果)
第17条 当協会は、第1 4 条第2 項第5 号に定める不適合理由書を通知した後、当該申請者の付与適格性審査を中止することができる。
2 申請者が不適合理由書の発信の日より3 ヶ月以内に有効な是正措置を講じなかった場合、当協会は申請者よりその申請が取り下げられたものとみなす。
第3節 付与の適格性に関する決定
( プライバシーマーク審査会)
第18条 審査室長は、プライバシーマーク審査会( 以下、「審査会」)に対し、前節に基づく付与適格性審査の結果を報告するとともに、申請者の第1 5 条第
2 項で規定する審査書類及び第9 条第2 項で規定する申請書類を審査会へ提出しなければならない。
2 審査会は、付与適格性審査の結果及び前項の書類に基づいて審議し、付与適格の決定又は否認の決定を行う。
3 審査会により付与適格の決定又は否認の決定が行われた後、審査室長は、申請者にその理由を付して通知するとともに、付与機関へ報告するものとする。
(再審査)
第19条 否認決定を受けた申請者は、当該否認決定の日から3ヶ月以内に、その理由となった事項について改善のための措置を講じ再審査の請求をすることができるものとする。但し、再審査の請求によって実施された審査に対する再審査の請求はすることができない。
2 審査室長は、前項の請求があったときは、当該請求における改善のための措置について審査し、あらためて当該申請者に対する付与適格の決定又は否認の決定を行うものとする。
( 付与適格の決定の効果)
第20条 申請者は、付与適格の決定により、付与機関とのプライバシーマーク付与契約の当事者となる地位を有する。
2 前項の地位を有する申請者は、付与機関との間でプライバシーマーク付与契約を締結することにより、プライバシーマークを使用することができる。
第3章 付与事業者の登録等第1節 登録手続等
( 付与事業者の登録)
第21条 当協会は、付与事業者に係る次の事項を当協会のウェブサイト等を通じて公表する。
( 1 ) 事業者名
( 2 ) 登録番号
( 3 ) 本社所在地
( 4 ) プライバシーマーク付与契約の有効期間
2 当協会は、付与事業者のプライバシーマーク付与契約が有効期間を満了し、又は付与の取消し若しくは契約の解除によって失効したときは、当該付与事業者に係る前項の記載を抹消するものとする。
( 申請に係る事項の変更等)
第22条 付与事業者は、次の事項のいずれかに変更が生じる場合には、付与機関が定める「プライバシーマーク付与に関する規約」第7 条に基づき、速やかに所定の様式をもって協会に報告しなければならない。
( 1 ) 事業者名
( 2 ) 代表者の氏名
( 3 ) 本社所在地
( 4)個人情報保護管理者、個人情報保護責任者、個人情報保護に関する相談窓口担当者、申請担当者の氏名及び連絡先
( 合併又は分社等に係る審査)
第23条 当協会は、付与事業者について合併又は分社が生じたときは、付与機関が定める「合併・分社等に伴うプライバシーマーク付与の地位の継続に関する手順」に基づき、当該付与事業者のプライバシーマーク制度上の地位の存続又は承継の可否についての審査( 以下「合併審査」という。)を実施する。な
お、合併又は分社以外の態様における営業譲渡が生じたときも同様とする。
2 前項の合併審査において、本規程第10条及び第12条から第20 条までの規定を準用する。
第2節 付与契約の更新
( 付与契約更新時の審査)
第24条 付与機関の定める「プライバシーマーク付与に関する規約」第9条第
2 項に基づき、当協会より更新を受けようとする事業者は、付与契約の有効期間の満了の8 ヶ月前の日から満了の4 ヶ月の日までに、協会にプライバシーマーク付与の適格性の審査を申請しなければならない。但し、付与契約の有効期間の4 ヶ月前の日までにプライバシーマーク付与の一時停止が終了していないときは、当該一時停止が終了した日から1 ヶ月以内に申請書類を協会に提出しなければならない。
2 本規程第2章第2節及び第3節の規定は、前項の更新において準用する。
( 付与契約更新時の有効期間)
第25条 当協会が付与適格性の可否について決定するまでの間は、当該更新前の付与契約は、その有効期間の満了後もなおその効力を有するものとする。この場合、有効期間の満了後に経過した期間については、更新後の付与契約の有効期間に算入する。
第4章 調査及び措置
( 事故等の報告)
第26条 付与事業者及び審査中事業者( 以下、「付与事業者等」という。)は、個人情報の取扱いにおいて、個人情報の外部への漏洩その他本人の権利利益の侵害( 以下「事故等」という。)が発生した場合には、審査約款第7 条に基づき、次の書類を当協会に提出しなければならない。
( 1 ) 事故報告書( 様式 1)
( 2 ) 事故報告書表紙( 様式 2 付与事業者用/ 様式 3 審査中事業者用)
(調査)
第27条 当協会は、プライバシーマーク制度の適正な運営のため必要があると認めるときは、付与事業者に対し個人情報の取扱い及びプライバシーマークの使用状況について報告を求めるとともに、これらについての監査報告書を求めることができる。
2 前項において、当協会が必要と認めるときは、事業者の事業所における現地調査を行うことができる。
3 当協会は、現地調査に係る経費について別途定める「申請料及び審査料等に関する規程」及び「現地審査に係る費用に関する規程」に基づいて事業者に請求することができる。
(措置)
第28条 前々条に基づき付与事業者等より報告があった場合には、付与機関の定める「プライバシーマーク制度における欠格事項及び判断基準」及び「プライバシーマーク付与に関する規約」第5 章の定めるところにより必要な措置を講じるものとする。
2 前項の措置は、協会のプライバシーマーク審査会の審議を経て行う。
第5章 その他
(改定)
第28条 本規程の改定は、付与機関が定める規定基準等に準じ審査室が行い、審査会の承認を得るものとする。
(施行日)
第1条 この規程は、平成1 7年5 月1 7 日から施行する。 第2条 この規程は、平成1 8年1 1 月2 0 日から施行する。第3条 この規程は、平成2 4年3 月2 1 日から施行する。
附 則( 平成2 6 年2 月4 日)
この改正規程は、平成2 6年2 月4 日から施行する。
附 則( 平成2 7 年2 月25 日)
この改正規程は、平成2 7年2 月25 日から施行する。
附 則( 令和元年7 月30 日)
この改正規程は、令和元年7 月30 日から施行する。
附 則( 令和4 年4 月1 日)
この改正規程は、令和4 年4 月1 日から施行する。