1. 変更報告書の提出
申請書類提出後又は付与適格決定後に、申請事項に変更が発生した場合は、速やかにSAJに「プライバシーマーク付与に係る変更報告書」(変更報告書)を提出して下さい。
変更報告が必要な事項
- 事業者名
- 登記上の本店所在地
- 代表者名
- 申請担当者/連絡先
- 個人情報保護管理者
■提出方法:メール、郵送、宅配便
※「変更報告書」を提出しないと、プライバシーマークに関する 登録情報は変更されませんので、ご注意下さい。
送付先
一般社団法人ソフトウェア協会
プライバシーマーク審査室
E-mail:pmark@saj.or.jp
TEL:03-3560-8440(協会代表)
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル4F
※電子メールでご連絡いただく場合は、SAJの個人情報の利用目的等に同意の上、ご送付下さい。
※変更報告書を郵送又は宅配便で提出する場合は、封筒や送付状などに『変更報告書在中』と明記して下さい。
※変更報告書の受領後は、SAJの登録データを変更後、SAJから一般財団法人日本情報経済社会推進協会(JIPDEC)に変更報告書を提出致します。
2. 事故報告書の提出
プライバシーマーク付与機関の一般財団法人日本情報経済社会推進協会(JIPDEC)による制度変更に伴い、「個人情報の取扱いに関する事故等の報告書」等の報告様式が変更されました。
つきましては、2022年7月1日以降に事故報告書を提出する際は、以下の報告様式を使用してSAJにご報告下さいますようお願い申し上げます。
■個人情報の取扱いに関する事故の報告について【報告手順等の詳細】
https://privacymark.jp/system/accident/index.html
■必須提出様式【2022年7月1日以降】
●【確報・速報】個人情報の取扱いに関する事故等の報告書
https://archive.saj.or.jp/documents/activity/project/pmark/houkoku/incident_20220701.pdf
●【速報用】特定個人情報の取扱いに関する事故等の報告書
https://archive.saj.or.jp/documents/activity/project/pmark/houkoku/incident_mynumber_20220701.pdf
個人番号(マイナンバー)を含む特定個人情報に関する事故等の報告の場合に使用
※SAJの事故報告対象事業者については、上記事故報告様式をダウンロードいただき、必要事項を記載の上、保存したPDFファイルをSAJプライバシーマーク審査室にご提出下さい。
●〔記入例〕【確報・速報】個人情報の取扱いに関する事故等の報告書
https://privacymark.jp/system/download/p-document/pdf/sample_incident_202206.pdf
■SAJの事故報告対象事業者
1)直近でSAJが付与適格決定したプライバシーマーク付与事業者
2)SAJにプライバシーマークの申請をしている審査中事業者
3)SAJにプライバシーマークの申請を検討している申請検討中事業者
■「速報」の提出が必要な場合
次の事故等に該当する場合は、概ね発覚した日から3~5日以内に「速報」をSAJにご提出下さい。なお、「速報」の提出についての詳細は、JIPDECのWebサイトをご参照下さい。
1)要配慮個人情報が含まれる事故等が発生し、又は発生したおそれがある事態
2)不正に利用されることにより財産的被害が生じるおそれがある事故等が発生し、又は発生したおそれがある事態
3)不正の目的をもって行われたおそれがある事故等が発生し、又は発生したおそれがある事態
4)個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態
5)その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態
●JIPDEC Webサイト「個人情報の取扱いに関する事故の報告について」
■参考様式(任意使用)
●個人情報の取扱いに関する事故等の措置決定に対する再発防止策報告書
https://privacymark.jp/system/download/p-document/word/incident_saihatsuboushi.docx
● 【記入例】個人情報の取扱いに関する事故等の措置決定に対する再発防止策報告書
https://privacymark.jp/system/download/p-document/pdf/sample_incident_saihatsuboushi.pdf
■事故報告書提出先【SAJへの事故報告対象事業者のみ】
一般社団法人ソフトウェア協会(SAJ)
プライバシーマーク審査室
E-mail:pmark@saj.or.jp
※電子メールでご連絡いただく場合は、SAJの個人情報の利用目的等に同意の上、ご送付下い。
■個人情報保護委員会への報告について
2022年4月1日施行の改正個人情報保護法により、漏えい等が発生し個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告が義務化されました。以下の個人情報保護委員会規則で定められた漏えい等が発生した場合は、個人情報保護委員会に「速報」及び「確報」として報告を行ってください。なお、詳細は個人情報保護員会のWebサイトをご参照下さい。
1)要配慮個人情報が含まれる事故等が発生し、又は発生したおそれがある事態
2)不正に利用されることにより財産的被害が生じるおそれがある事故等が発生し、又は発生したおそれがある事態
3)不正の目的をもって行われたおそれがある事故等が発生し、又は発生したおそれがある事態
4)個人データに係る本人の数が1000人を超える事故等が発生し、又は発生したおそれがある事態
■個人情報事故報告書の受領後の処理
SAJは、各事業者からの「個人情報の取扱いに関する事故等の報告書」の提出を受けて、担当審査員が必要に応じて電話又は電子メールでヒアリング等を行い、一般財団法人日本情報経済社会推進協会(JIPDEC)が制定する「プライバシーマーク付与に関する規約」に基づいて、「プライバシーマーク審査判定委員会」においてその措置を審議・決定致します。
措置決定後、SAJからJIPDECに措置決定報告書を提出するとともに、「プライバシーマーク審査判定委員会」の終了後3営業日以内に、SAJから各事業者に電子メール等で措置決定通知を送付致します。
但し、社会的に影響が大きい重大事故の場合は、JIPDECが調査し、JIPDECが措置を決定致します。
■付与事業者に対する措置の例
欠格値10:付与の取消し
欠格値8~9:付与の一時停止(再発防止策実施効果確認資料等要提出)
欠格値6~7:勧告(再発防止策実施効果確認資料等要提出)
欠格値3~5:注意(再発防止策実施効果確認資料等要提出)
欠格値1~2:注意
欠格値0:措置なし
■個人情報事故報告書等の取扱い
- 提出いただいた事故報告書は、プライバシーマーク制度における欠格性及びそれに対する措置を判断するために、SAJの「プライバシーマーク審査判定委員会」及びプライバシーマーク審査室で利用致します。
- SAJの「プライバシーマーク審査判定委員会」で措置を決定後、SAJからJIPDECに事故報告書のPDFファイル等を提出致します。
- 提出いただいた事故報告書のPDFファイル等、並びに再発防止策の実施効果確認に関する資料等(欠格値3以上の場合に提出)などについては、SAJの「プライバシーマーク審査判定委員会」で措置決定後5年間、プライバシーマーク審査室で保管・管理致します。