プライバシーマーク審査センター審査業務規則 第 006 版 1/9
( 目的 ) 第 1 条本規則は 公益財団法人くまもと産業支援財団 ( 以下 財団 という ) のプライバシーマーク審査センター ( 以下 センター という ) における指定業務に係る 申請書類等の管理方法並びに業務上の注意事項を定めたものである 2. 申請書類等とは プライバシーマーク付与適格性審査のために申請者より提出された個人情報保護マネジメントシステム文書等の申請書類一式 ( 以下 審査書類 という ) を指す 3. 要員は以下の事項について十分理解し 指定業務の遂行に努めなければならない ( 管理者 ) 第 2 条審査書類の管理者はプライバシーマーク審査センター長とする 2. 審査センター長は必要があれば 別途管理者を定め 業務の全部あるいは一部を委任することができる ( 管理者の業務 ) 第 3 条管理者は 常にセンター内の状況を把握し 審査書類の破壊 漏えい 紛失等が起こら ないように適正に管理しなければならない ( センターの管理 ) 第 4 条センターの管理は管理者が行う 2. センターは常に施錠しておかなければならない 3. センターは 原則として審査担当以外を立ち入らせてはならない やむを得ず入室を許可する場合には 入退時間記録表 を用いて 入退の記録を取得し センター職員が付き添うものとする 4. センターの入室認証は必要最低限の人数とする 5. 入退の記録については センター執務室を 入退出記録簿 にて 保管庫については 入り口倉庫鍵貸出管理簿 によって取得 保管を行うものとする 6.5. で取得した入退の記録については 毎月末に審査センター長が確認を行う ( 審査書類の保管 ) 第 5 条申請書類は 審査室内の所定のキャビネットに施錠保管しなければならない ( 審査時の取扱 ) 第 6 条審査書類はセンターから外へ持ち出してはならない 2. 審査書類はコピーをしてはならない やむを得ずコピーが必要な場合は 廃棄まで本人 が責任を持って厳重に管理すること 3. 審査の際に作成した資料は 審査終了後すみやかにシュレッダーにより破棄すること 4. 審査は所定の審査担当の机で行い 1 日の審査業務終了後 審査書類は所定の保管場 2/9
所に戻し 施錠すること 5. センターを最後に退出する者は 申請書類キャビネットの施錠確認を行うこと 6. 審査業務はセンターの所定の机で行い センター以外で行ってはならない 7. 審査書類に係るデータを格納した媒体については キャビネットにて施錠保管を行う 8. 審査書類に係るデータを格納した媒体を廃棄する際には 紙 FD CD 等の媒体については 物理的な破壊によって HDD 等の媒体については 乱数書き込み等によって 復旧不可能な対策を行ったうえで廃棄を行うものとする ただし 外部審査員については やむを得ない場合は 下記手順によって 自宅での作業を許可するものとする 1 2 3 4 5 自宅での環境条件の報告 をセンター長に申請し 承認を得る 自宅での作業に用いるPCは 家族であっても審査に係るデータについてはアクセスできないように環境を設定している 作成に用いるPCには ウィルス対策ソフトウェアがインストールされており 最新のパターンファイルが適用されるようになっている 自宅で出力した現地審査資料は 焼却又はシュレッダーにより裁断破棄する 審査関連資料は 付与認定 認定の否認又は審査の打ち切り等により審査手続きが終了したあと 廃棄及び返却する (PC の管理 ) 第 7 条共用サーバはセンター内に設置し 審査担当以外のアクセスを禁止する なお その設 置に際しては UPS 装置の設置を始めとする物理的な安全措置を行うものとする 2. 共用サーバへのアクセスはセンター内の PC のみに限定する 3. 私物パソコンの持ち込みは禁止する 4. センター外の共用サーバを利用する場合は センターからのみのアクセス制限を 設定するものとする 5. センター内の PC 持ち出しを禁止する 6. やむを得ずセンター内の PC を持ち出す場合には 機密情報が格納されていないこと を確認し センター長の承認を得ること また その際には持ち出しの記録を取得す るものとする 7. センター内の PC は 必ずウィルス対策ソフトを導入しなければならない 8. センター内の PC は ウィルス対策ソフトを自動更新に設定する 9. センター内の PC は WindowsUpdate を自動更新に設定する 10. センター内の PC は その他セキュリティパッチ等の更新あるときは必要に応じて適 用するものとする 11. 外部記録媒体を利用する場合 電子媒体持ち込み / 持出し許可願い にて センター 長の承認を得る ただし 利用に際しては 紛失等のリスクに備え 暗号化等の対策 を行うものとする 3/9
12. センター内の PC は パスワード付スクリーンセーバーを自動起動に設定する (2) データの保護等について災害をはじめとする事業継続へ影響するインシデントへの対応を行うため 以下の通りデータ保護等の対策を行う 1 センター内サーバについては RAID1による障害対応を行うものとする 2 申請情報等を取り扱う事務文書類については 財団の提供する NAS(RAID5) へ保管し 担当者以外の接続を制限する ( 財団 NASは日次ミラーリング ) 3 災害等での深刻な影響に備え 月次で以下の対応を行う ( ア ) センター内サーバの現地審査報告書データの月次バックアップ ( イ ) 財団 NASにおける審査管理表の月次バックアップ ( ウ ) バックアップ媒体は 耐火金庫にて保管するものとする 4 バックアップ対象の適格性については 年度見直しに併せて実施する 5 緊急時の連絡体制については 財団における緊急連絡網の体制に準じるものとする ( 兼業の禁止 ) 第 8 条審査員等は 審査担当として在籍する間は 財団業務以外のプライバシーマーク関係のコンサルティング業務 教育研修業務を行う場合には あらかじめプライバシーマーク審査センター長に届けるものとする ( その他 ) 第 9 条審査員等は 能力向上及び審査活動に対する信頼性の構築のため努力すること 2. 申請者の利害関係者 その従業員から 審査前後又は審査期間中に 賄賂又はその他の利益を要求したり 提供されないこと 3. 審査担当は 本規程を遵守することを誓約し 誓約書 ( 様式 1) をセンター長に提出すること 要員 審査員等指定業務に携わる者は プライバシーマーク指定審査機関基本規程 を始めとする規程規則を遵守することを誓約し 誓約書をセンター長に提出する ( 離職 ) 第 10 条審査担当でなくなった際には 速やかに入室カードの返却 資料の整理 廃棄 PC 媒体データの消去等の措置を行うこと 2 審査業務の遂行過程で知り得た情報は 審査担当でなくなった後も 第三者に漏洩してはならない ( 罰則 ) 第 11 条本規則に定める項目に違反した場合は 財団の就業規則に照らして処分する 4/9
( 改訂 ) 第 12 条本規則の改定は 文書管理規程 に従うものとする 5/9
( 審査会委員用 ) 誓約書 私は 公益財団法人くまもと産業支援財団 ( 以下 財団 という ) のプライバシーマーク審査会委員として 下記事項を厳守し これに反した場合に 財団が執るいかなる制裁措置も受け入れることを誓約します 1. プライバシーマーク指定審査機関基本規程 を始めとする規程規則に従い 業 務を遂行する 2. 審査会業務は 専門的で正確に公正な方法で遂行する また 財団若しくは審 査担当の利害関係者 ( 申請事業者 認定事業者 コンサルタント等 ) に対し 諮問サービス等を提供しない 3. 能力向上及び審査活動に対する信頼性の構築のため努力する 4. 審査会業務の遂行過程で知り得た利害関係者の組織 運営上の一切の情報につ いて機密を維持し 任期内はもとより 任期終了後も 第三者に漏洩しない また 指定業務の達成に必要な範囲内で利用し 目的外利用は行わない 5. 申請者の利害関係者及びその従業員から 審査前後又は審査期間中に 金品又は その他の利益を要求したり 提供されない 6. 最近 2 年間 該当申請事業者の職員であったり その申請事業者に諮問を提供 したことがあったり 現在 過去及び今後に利害関係が予想される場合 当該 決議案件に限り議決に加わることができない 誓約日 : 平成年月日 誓約者 : 印 6/9
( 審査員用 ) 誓約書 私は 公益財団法人くまもと産業支援財団 ( 以下 財団 という ) のプライバシーマーク付与認定審査担当として 下記事項を厳守し これに反した場合に 財団が執るいかなる制裁措置も受け入れることを誓約します 1. プライバシーマーク指定審査機関基本規程 を始めとする規程規則に従い 業 務を遂行する 2. 審査業務は 専門的で正確に公正な方法で遂行する また 財団若しくは審査 担当の利害関係者 ( 申請事業者 認定事業者 コンサルタント等 ) に対し 諮 問サービス等を提供しない 3. プライバシーマークにかかわるコンサルティング活動等を行う場合は 財団に 届出を行う 4. 能力向上及び審査活動に対する信頼性の構築のため努力する 5. 審査業務の遂行過程で知り得た利害関係者の組織 運営上の一切の情報について機密を維持し 審査業務委託契約の有効期間内はもとより 契約期間終了後も 第三者に漏洩しない また 指定業務の達成に必要な範囲内で利用し 目的外利用は行わない 6. 申請者の利害関係者及びその従業員から 審査前後又は審査期間中に 金品又は その他の利益を要求したり 提供されない 7. 最近 2 年間 該当申請事業者の職員であったり その申請事業者に諮問を提供 したことがあったり 現在 過去及び今後に利害関係が予想される場合 該当 申請事業者について 財団に直ちに報告し 審査を遂行しない 誓約日 : 平成年月日 誓約者 : 印 7/9
( 審査員補用 ) 誓約書 私は 公益財団法人くまもと産業支援財団 ( 以下 財団 という ) のプライバシーマーク審査員補として 下記事項を厳守し これに反した場合に 財団が執るいかなる制裁措置も受け入れることを誓約します 1. プライバシーマーク指定審査機関基本規程 を始めとする規程規則 プライバシーマーク審査センター及び審査担当の指示に従い 審査業務 ( 実務研修を含む ) を遂行する 2. 実務研修における受講料については いかなる理由においても その返還を求めない 3. 審査業務は 専門的で正確に公正な方法で遂行する また 財団若しくは審査担当の利害関係者 ( 申請事業者 認定事業者 コンサルタント等 ) に対し 諮問サービス等を提供しない またその利用目的を越えた利用は行わない 4. プライバシーマークにかかわるコンサルティング活動等を行う場合は 財団に届出を行う 5. 能力向上及び審査活動に対する信頼性の構築のため努力する 6. 審査業務は審査センターの所定の机で行い 審査センター以外では 行わない また 審査に係る書類はその媒体を問わず 審査センターから外へ持ち出さない 7. 審査業務の遂行過程で知り得た利害関係者の組織 運営上の一切の情報について機密を維持し 審査員実務研修期間内はもとより 審査員実務研修期間後も 第三者に漏洩しない また 指定業務の達成に必要な範囲内で利用し 目的外利用は行わない 8. 申請者の利害関係者及びその従業員から 審査前後又は審査期間中に 金品又はその他の利益を要求したり 提供されない 9. 最近 2 年間 該当申請事業者の職員であったり その申請事業者に諮問を提供したことがあったり 現在 過去及び今後に利害関係が予想される場合 該当申請事業者について 財団に直ちに報告し 審査を遂行しない 誓約日 : 平成年月日 誓約者 : 印 8/9
( 要員用 ) 誓約書 私は 公益財団法人くまもと産業支援財団 ( 以下 財団 という ) のプライバシーマーク付与認定指定業務に携わるにあたり 下記事項を厳守し これに反した場合に 財団が執るいかなる制裁措置も受け入れることを誓約します 1. プライバシーマーク指定審査機関基本規程 を始めとする規程規則に従い 業 務を遂行する 2. 指定業務は 専門的で正確に公正な方法で遂行する また 財団若しくは審査 担当の利害関係者 ( 申請事業者 認定事業者 コンサルタント等 ) に対し 諮 問サービス等を提供しない 3. プライバシーマークにかかわるコンサルティング活動等を行う場合は 財団に 届出を行う 4. 能力向上及び審査活動に対する信頼性の構築のため努力する 5. 指定業務の遂行過程で知り得た利害関係者の組織 運営上の一切の情報について機密を維持し 指定業務に携わる期間内はもとより その期間以降も 第三者に漏洩しない また 指定業務の達成に必要な範囲内で利用し 目的外利用は行わない 6. 申請者の利害関係者及びその従業員から 審査前後又は審査期間中に 金品又は その他の利益を要求したり 提供されない 7. 最近 2 年間 該当申請事業者の職員であったり その申請事業者に諮問を提供 したことがあったり 現在 過去及び今後に利害関係が予想される場合 該当 申請事業者について 財団に直ちに報告する 誓約日 : 平成年月日 誓約者 : 印 9/9