(1) Plan(計画)
●個人情報保護方針の策定
個人情報保護に取り組む姿勢や基本的な考え方などの個人情報保護方針を定め文書化します。
●個人情報保護体制の確定
個人情報保護マネジメントシステムを実施するための必要な役割、責任及び権限を確定します。
● 個人情報の特定
事業の用に供しているすべての個人情報を漏れなく特定します。
●リスクの認識、分析及び対策の検討
特定した個人情報について、その取扱いの各局面におけるリスクを認識し、分析し、必要な対策を検討します。
●個人情報保護マネジメントシステム文書の策定
個人情報保護マネジメントシステムを実施するための具体的な手順、手段等を定めた内部規程を文書化します。
(2) Do(実施及び運用)
●委託先の監督
個人情報の取扱いを委託している委託先を漏れなく把握し、評価選定し、契約書を締結します。
●教育研修の実施
すべての従業者に、個人情報保護に関する適切な教育を実施します。
●安全管理措置の実施
リスクなどの認識、分析及び対策により講じることとした安全管理措置を実施します。
(3) Check(点検)
●日常的な運用確認
個人情報の取扱状況について、日常的に確認します。
●内部監査の実施
個人情報保護マネジメントシステムのJISへの適合状況及びその運用状況を監査します。
(4) Action(見直し)
●マネジメントレビューの実施
個人情報保護マネジメントシステムが適切であるかを検討し、必要に応じて改善を実施します。
(5) 申請
●申請書類の作成及び準備
申請書を作成し、必要な書類を揃えて審査機関へ提出します。
(6) 審査
●文書審査
個人情報保護マネジメントシステム(PMS)文書(内部規程・様式)の審査が行われます。
●現地審査
個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用しているか等について審査が行われます。
(7) 認証取得
すべての指摘事項が改善されたとみなされると、プライバシーマーク付与適格性が認められます。
