「個人情報保護」に係わる『審査基準』改訂のご案内
インターネット接続サービス安全・安心マーク推進協議会
2005年4月1日に「個人情報保護法」が完全施行されることに伴い、インターネット接続サービスにおける個人情報保護のための体制・取組み状況等を明確に確認するために安全・安心マークの審査項目に下記、条項を加えることとしました。
下記項目は、「電気通信事業における個人情報保護に関するガイドライン」改訂において重要ポイントになっているものを盛り込み、利用者にとってさらに安心して利用できるインターネット接続サービス事業者を選択する目安になることを目的としています。
1.主な改訂内容
- 「個人情報保護に係わる審査項目」(審査項目第7項)の新設
- 現行の審査項目第4項2-4~2-5にある「会員に関する個人情報の取扱い」については上記新設に伴い、第7項に吸収し、第4項から削除
※具体的な審査項目の新設および改訂内容については下記をご覧下さい。
2.新審査項目の適用時期
2005年度の初回二次審査分(第九回審査:2005年6月中旬予定)から適用
(注)2004年度の審査においては、現行の審査基準を適用いたします。従って、2005年2月16日に二次審査を予定している「第八回審査」を受けられる場合は、現行の審査基準及び審査申請書をご利用ください。
以上
審査項目改訂内容
- 「個人情報保護に係わる審査項目」(審査項目第7項)の新設
- 現行の審査項目第4項2-4~2-5にある「会員に関する個人情報の取扱い」については上記新設に伴い、第7項に吸収し、第4項から削除
※具体的な審査項目の新設および改訂内容については下記をご覧下さい。
| 項目 | 審査点 | 更新審査点 | 確認方法 | |
|---|---|---|---|---|
| 1 セキュリティポリシーの確立及び監査制度の導入 | ||||
| 1-1 セキュリティポリシー(又はそれに相当する内部規程)、及び監査体制が確立されていること | ||||
| 改訂前 | 1-1-1 以下の内容が盛り込まれたセキュリティポリシー(又はそれに相当する内部規程)の有無を確認 ・セキュリティポリシーの基本方針並びに適用範囲 ・組織と体制 ・重要情報と保護対策(情報機器廃棄時の対策を含む) ・評価と見直し ・法令遵守,違反に対する対応 ・運用と教育 |
必須 | 更新審査の場合、担当責任者による署名押印、または、変更がある場合、書面による当該文書の提出 |
|
| 改訂後 | 改訂の有無に係わらず書面による当該文書の提出 現在、更新の場合に求めている責任者の署名押印は、1-1-4に統合して廃止 |
|||
| 改訂前 | 3点 | |||
| 改訂後 | 1-1-3 セキュリティポリシー(又はそれに相当する内部規程)の見直し変更規程があり、 (見直した結果当該規程の改訂の必要がないと判断した場合も含めて)規程に沿って見直されていることの確認 | 担当責任者による署名押印 | ||
| 3 トラブル発生時の対応体制の確立 | ||||
| 3-1 障害発生時の体制が適切であるか | ||||
| 改訂前 | 3-1-1 障害発生時における連絡体制がきちんと決められていることを確認 | 必須 | 更新審査の場合、担当責任者による署名押印、または、変更がある場合、書面による当該文書の提出 |
|
| 改訂後 | 改訂の有無に係わらず書面による当該文書の提出 | |||
| 3-2 障害発生対策マニュアル等の書類が適切に策定されているか | ||||
| 改訂前 | 3-2-1 障害発生時における対策マニュアルの有無の確認 | 必須 | 更新審査の場合、担当責任者による署名押印、または、変更がある場合、書面による当該文書の提出 |
|
| 改訂後 | 改訂の有無に係わらず書面による当該文書の提出 | |||
| 4 利用者向け契約約款等の整備と公表 | ||||
| 4-2 サービスの種類、運用基準、退会等についての記載が適切であるか | ||||
| 改訂前 | ||||
| 改訂後 | 4-2-4は、「7 個人情報保護に関する取組み」に吸収して廃止 | |||
| 改訂前 | ||||
| 改訂後 | 4-2-5は、「7 個人情報保護に関する取組み」に吸収して廃止 | |||
| 【新設】 | ||||
| 新設 | 7 個人情報保護に関する取組み | |||
| 7-0 主務大臣により改善命令を受けていないことの確認 | ||||
| 7-0-1 主務大臣により改善命令を受けていないことの確認 | 必須 | 個人情報保護管理者本人の署名押印 | ||
| 7-1 安全管理に係る取組みを適切に行っているか(0点の場合は不合格) | ||||
| 7-1-1 個人情報へのアクセスの管理について、以下の具体的な具体的な取組みを行っていることの確認 ・アクセス権限者の限定(異動・退職した社員のアカウント管理処理を含める) ・アクセス状況の監視体制の整備(アクセスログの長期保存等) ・個人情報へのアクセスが可能な部屋への入退室管理 |
0-5点 | 書面による当該文書の提出 | ||
| 7-1-2 個人情報の持ち出し手段の制限について、コンピュータなど、機器から外部記憶媒体への記録の禁止等、具体的な取組みを行っていることの確認 | 0-5点 | 書面による当該文書の提出 | ||
| 7-1-3 個人情報が保存されているコンピュータなど、機器に対して外部からのアクセス防止のための措置について具体的な取組みを行っていることの確認 | 0-5点 | 書面による当該文書の提出 | ||
| 7-2 個人情報保護管理者を設置し、必要な内部規定を策定しているか | ||||
| 7-2-1 個人情報保護管理者を適切に定めていることの確認 | 必須 | 個人情報保護管理者本人の署名押印 | ||
| 7-2-2 個人情報を保護するために以下の必要な内部規程を策定していることの確認 ・取得の制限・適正な取得 ・利用目的の特定 ・利用目的による制限 ・従業者および委託先の監督など |
必須 | 書面による当該文書の提出 | ||
| 7-3 従業者に対する必要な教育研修を適切に行っているか | ||||
| 7-3 派遣労働者を含む従業者(正社員、契約社員、嘱託社員、パートタイマー、アルバイト等)及び役員に対して適切な教育研修を「年1回以上」行っていることの確認 | 必須 | 個人情報保護管理者による署名押印 | ||
| 7-4 プライバシーポリシーを策定し、公表しているか | ||||
| 7-4-1 プライバシーポリシーを策定し、公表していることの確認 | 必須 | Webの提示 | ||
| 7-5 個人情報の取扱いに関する苦情などを適切かつ迅速に処理しているか | ||||
| 7-5-1 個人情報の取扱い関する苦情(不平不満)に対して処理手続きが策定され、苦情対応の窓口を設けて適切かつ迅速な処理をしていることの確認 | 必須 | 書面による当該文書の提出 | ||
| 7-5-2 本人から、当該本人が識別される個人情報の開示を求められた場合、遅滞なく応じる手続きが策定され、手続きの仕方が公表されていることの確認 | 必須 | 書面による当該文書の提出およびWebの提示 | ||
| 7-6 情報漏えい等が発生した場合の措置を策定しているか | ||||
| 7-6-1 個人情報の漏えいが発生した場合、事実確認を本人に速やかに通知する措置を策定していることの確認 | 必須 | 書面による当該文書の提出 | ||
| 7-6-2 個人情報の漏えい等が発生した場合、二次被害の防止、類似事案の発生回避等の観点から可能な限り、事実関係、その他有用な情報を公表する措置を策定していることの確認 | 必須 | 書面による当該文書の提出 | ||
| 7-6-3 個人情報漏えい等が発生した場合に、漏えい等に係る事実関係を総務省に報告する措置を策定していることの確認 | 必須 | 書面による当該文書の提出 | ||
(注)7-1-1~7-1-3については、内容により5~0点(0点は不合格)(基準は公表せず)