内部監査チェックリスト 部署 監査日 監査時間 主任監査員 監査員 監査員サイン 承認 適不適 3.2 個人情報保護方針 合 1 従業者及び一般の人が入手可能な措置を講じて 2 ウェブに掲載している場合 トップページにリンクがあるか 3 公表している個人情報保護方針に 問い合わせ先 制定日及び最 終改訂年月日が明示されて 4 公開している個人情報保護方針と規定文書の個人情報保護方針は 同一であるか 3.3.1 個人情報の特定 1 定められた手順に従い 個人情報が漏れなく特定されて 2 定められた手順に従い 個人情報を特定した台帳等の更新及び定 期的な見直しが実施されて 3.3.2 法令 国が定めるめる指針指針そのその他の規範 1 特定されている以下の法令 国が定める指針その他の規範が適切 であるか a) 個人情報の保護に関する法律 ( 平成 15 年 5 月 ) b) 個人情報保護に関する法律についての経済産業分野に関する ガイドライン ( 経済産業省 平成 16 年 10 月 ) c) 雇用管理に関する個人情報の適正な取扱いを確保するために 事業者が講ずべき措置に関する指針 ( 厚生労働省 平成 16 年 7 月 ) d) 事業拠点がある所在地の自治体が制定した個人情報保護に関す る条例 3.3.3 リスクの認識認識 分析及分析及び対策 1 個人情報毎に ( 取扱いが同じものはグルーピング可 ) ライフサイ クルに沿って リスクが認識され 分析され 対策がとられ 残 存リスクが把握されて 2 講ずることとした対策は 規定に反映されて 3 定期的かつ必要に応じ リスクの見直しを実施して 3.3.7 緊急事態へのへの準備 1 定められた手順に従い 対処したか 2 規格 3.8 の手順により 是正処置を講じたか 3.4.2.3 特定の機微機微な個人情報個人情報の取得取得 利用及利用及び提供提供の制限 1 特定の機微な個人情報の取得 利用及び提供は ただし書きの場 合のみであるか 3.4.2.4 本人からから直接書面直接書面によってによって取得取得するする場合場合の措置 1 直接書面により取得する個人情報は 書面により本人に明示し 書面により同意を得て 2 直接書面取得時に本人に明示する通知書面の内容が a)h) を満た して
3.4.2.5 個人情報を 3.4.2.4 以外の方法方法によってによって取得取得したした場合場合の措置 1 定められた手順に従い あらかじめその利用的を公表しているか 又は取得後速やかにその利用的を 本人に通知し 又は公表して 2 通知又は公表に漏れがないか 3d) に該当するものとして取得されている個人情報は 取得の状況からみて利用的が明らかであると認められる場合のみであるか 3.4.2.6 利用に関するする措置 1 的外利用をしていないか 2 利用的を変更する場合 定められた手順に従い 本人に通知し同意を得て 3 利用的を変更する場合 通知内容が 3.4.2.4 のa)f) の要求事を満たして 4 的外利用に該当するかどうか判断に迷う場合 管理者の判断を求めて 3.4.2.7 本人にアクセスするにアクセスする場合場合の措置 1 本人にアクセスして 2 定められた手順に従い 本人の同意を得る手順が実施されて 3 本人への通知内容が 3.4.2.4 のa)f) に示す事又はそれと同等以上の内容の事, 及び取得方法を満たして 4ただし書き b) の場合 ( 受託の場合 ) 委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取扱っていることを 定められた手順に従い 委託元に確認して 5ただし書き d) の場合 定められた手順に従い ただし書き d) の各小を あらかじめ, 本人に通知し, 又は本人が容易に知り得る状態に置いて 3.4.2.8 提供に関するする措置 1 第三者提供を行って 2 第三者提供を行う場合 定められた手順に従い 本人に通知し同意を得る手順を実施して 3 第三者提供を行う場合 本人への通知内容が 少なくとも取得方法及び 3.4.2.4 のa)d) の事を満たして 4 特定した利用的の達成に必要な範囲を超えて個人情報を提供する場合 3.4.2.6 の的外利用の場合の手順により同意を得て 5ただし書き b) の適用がある場合 定められた手順に従い ただし書き b) の各小を あらかじめ, 本人に通知し, 又はそれに代わる同等の措置を講じて 6ただし書き c) の適用がある場合 定められた手順に従い b) で示す事又はそれと同等以上の内容の事を あらかじめ 本人に通知し 又は本人が容易に知り得る状態に置いて 7ただし書き f) の適用がある場合 定められた手順に従い ただし書き f) の各小を あらかじめ, 本人に通知し, 又は本人が容易に知り得る状態に置いて 3.4.3.4 委託先の監督 1 委託先選定基準により 委託先を評価しているか ( 定期的な再評価を含む ) 2/5
2 委託先の認識に漏れがないか 3 定められた手順に従い 下記 a)g) の内容が盛り込まれた契約書 を締結して a) 委託者及び受託者の責任の明確化 b) 個人情報の安全管理に関する事 以下の事を含む 個人情報の漏えい防止 盗用禁止に関する事 委託範囲外の加工 利用の禁止 委託契約範囲外の複写 複製の禁止 委託契約期間 委託契約終了後の個人情報の返還 消去 廃棄に関する事 c) 再委託に関する事 再委託を行うに当たっての委託者への文書による報告を含む d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度 e) 契約内容が遵守されていることを委託者が確認できる事 f) 契約内容が遵守されなかった場合の措置 g) 事件 事故が発生した場合の報告 連絡に関する事 3.4.4.1 個人情報に関するする権利 1 開示対象個人情報として社内にどのようなものがあるか 認識に漏れがないか 3.4.4.2 開示等の求めにめに応じるじる手続手続き 1 受付ける手順を説明できるか 3.4.4.3 開示対象個人情報に関するする事事の周知周知など 1 開示対象個人情報について a)f) の事を本人の知り得る状態 に置いて 2 知り得る状態に置いている事が a)f) の要求内容を満たして 3.4.4.4 開示対象個人情報の利用的利用的の通知 3.4.4.5 開示対象個人情報の開示 3.4.4.6 開示対象個人情報の訂正訂正 追加又追加又は削除 3.4.4.7 開示対象個人情報の利用又利用又は提供提供の拒否権 3.4.5 教育 1 教育計画書に従い 全ての従業者に教育が実施されて 2 教材に規格 3.4.5 のa)c) の内容が含まれて 3 受講者の理解度確認を実施して 3.6 苦情及び相談相談へのへの対応 1 苦情及び相談の宛先が 本人にとって明確か 2 定められた手順に従って受付けられ 迅速に対応されて 3/5
3.7.2 監査 1 監査計画書に従って監査が実施されて 2JIS 規格との合致について監査が実施されて 3 運用状況について全部門の監査が実施されて 4 個人情報保護監査責任者は 監査を指揮し 監査報告書を作成し 事業者の代表者に報告して 5 監査員は 自ら所属する部門を監査していないか 3.8 是正処置及び予防処置 1 運用の確認 (3.7.1 3.7.1) 監査 (3.7.2 3.7.2) 又は緊急事態の発生 (3.3.7 3.3.7) 外部機関の指摘 (1.c) 苦情 (3.6 3.6) 等により発見された不適合については すべてこの要求事に基づき 是正処置及び予防処置が実施されて 2 不適合は代表者に報告され承認されて 3 不適合が発見された部門は その原因を特定し 是正処置及び予 防処置案を立案して 4 是正処置及び予防処置の案は 代表者の承認を受けて 5 承認を受けた是正処置及び予防処置が実施されて 6 是正処置及び予防処置の効果確認を実施して 3.9 事業者の代表者代表者によるによる見直見直し 1 代表者による見直しが実施されて 2 見直しのインプットに a)g) の事が含まれて 1. 物理的安全管理措置 (1) 入退室管理の実施 1 建物 室 マシン室 個人情報の取扱い場所への入退の制限機構 があるか 2 建物 室 マシン室 個人情報の取扱い場所への入退が制限され て 3 建物 室 マシン室 個人情報の取扱い場所への入退の記録が保 管され 定期的にチェックされて (2) 盗難等の防止 1 個人情報を記録した媒体は施錠保管され あるべきものが全てあることが把握されて 2 個人情報を記録した媒体の保管場所の鍵は特定者が管理している か 3 個人情報を記録した媒体の廃棄は 再利用できない措置を講じて 4 個人情報を記録した携帯可能な PC 等の盗難防止措置が施されて 5FD MO CD USB フラッシュメモリ等の外部記憶媒体の利用はル ールに従って 6 個人情報を取扱う PC の操作において 離席時は パスワード付き スクリーンセーバーの起動又はログオフを実施して 7 個人情報を取扱う情報システムの操作マニュアルを机上に放置し ていないか 8 最終退出時に施錠確認等を実施した記録が保管され 定期的にチ ェックされて 4/5
(3) 機器 装置装置の物理的物理的な保護 1 個人情報を取扱う機器 装置等について 安全管理上の脅威 ( 盗難 破壊 破損等 ) や環境上の脅威 ( 漏水 火災 停電 地震等 ) からの物理的な保護装置があるか 2 個人情報のバックアップが実施されて 2. 技術的安全管理措置 (1) 個人情報へのアクセスへのアクセス権限権限の管理 1 識別情報 (ID パスワード等 ) の発行 更新 廃棄は ルールに従って 2 識別情報 (ID パスワード等 ) は 平文 ( ひらぶん ) で記録していないか 3 識別情報 (ID パスワード等 ) は 複数人で共用していないか 4アクセス制御機構は デフォルトの設定を残していないか 5 個人情報を保管している情報システムには 許可範囲を超えたアクセスができないか 6 従業者に付与するアクセス権限は必要最小限であるか (2) 個人情報へのアクセスのへのアクセスの記録 1 個人情報を保管している情報システムへのアクセスログが取得され 保管されて 2 個人情報を保管している情報システムへのアクセスログは 定期的にチェックされて (3) 不正ソフトウェアソフトウェア対策 1 個人情報を取扱う情報システムにはウィルス対策ソフトウェアが導入され 常に最新のパターンファイルが適用されて 2 個人情報を取扱う情報システムの OS アプリケーション等にセキュリティ対策用修正ソフトウェア ( セキュリティパッチ ) を適用して 3 個人情報にアクセスできる端末にファイル交換ソフトウェア (Winny Share など ) をインストールしていないか (4) 個人情報の移送移送 通信時通信時の対策 1 個人情報を記録した媒体 ( 記録媒体 紙 ) は 授受の記録がとられて 2 移送時における紛失 盗難への対策 ( 媒体に保管されている個人情報の暗号化やパスワードロック等 ) が実施されて 3 盗聴される可能性のあるネットワーク ( インターネットや無線 LAN 等 ) で個人情報を送信する場合 個人情報の暗号化やパスワードロック等を実施して 5/5