JIS Q 15001 内部監査チェックリスト（規格との適合性）監査日被監査者監査時間監査チーム監査項目確認結果 1 適用範囲 1 2 全従業者を適用対象として定めていること事業の用に供している個人情報を適用対象とするよう定めていること 3.1 一般要求事項 3.2 個人情報保護方針 3 個人情報保護に取り組む姿勢や基本的考え方を、事業の内容と絡めて記述していること 4 ａ）について記述していること 5 ｂ）について記述していること 6 ｃ）について記述していること 7 ｄ）について記述していること 8 ｅ）について記述していること 9 ｆ）を表示していること 10 制定日を表示していること 11 従業者および一般の人が入手可能な措置を講じるよう規定していること 3.3 計画 3.3.1 個人情報の特定 12 13 3.3.2 すべての個人情報を特定する手順および承認基準が明確であること個人情報を管理する台帳等の更新および定期的な見直しに関する手順を定めていること法令，国が定める指針その他の規範個人情報の取り扱いに関する法令、国が定める指 14 針その他の規範を【特定し】、【参照し】、維持する手順を定めていること 15 個人情報の特定に当たっては、管理者の承認を得ることとなっていること 1 / 10 判定内部監査チェックリスト（安全管理措置）監査日被監査者監査時間監査チーム ■ 網がけ部分は、講じなければならない事項 ■ 個々の監査項目は望ましい手法の具体例であり、会社の実体に併せて「適用・不適用」を決定する ■ したがって、記載例以外の監査項目であってもＯＫ監査項目確認結果 3.4.3.2 安全管理措置 Ⅰ．物理的安全管理措置として講じなければならない事項 1.入退館（室）管理の実施 (1)建物、室、サーバー室、個人情報の取扱い場所への入退を制限していること IC カード認証や生体認証など、機械的なシステムによ 1 る認証を導入しており、それぞれの場所について、業務上必要な者のみに入退の権限を与えている。また、人事異動や退職者等に合わせ、遅滞なく設定を見直している。ナンバーキーにより入退を制限している。ナンバーキ 2 ーは、定期的及び随時（人事異動や退職者が出た場合等）にキー番号を変更している 3 4 5 6 7 8 ＩＤカードの提示により、入退を制限している通常は施錠し、必要な都度、鍵管理者の承認を得て鍵を開けている。予備の鍵（ＩＣカード等を含む）を適正に管理している非常口は内部から施錠している従業者には、ＩＤカードを常時携帯（着用）させている来訪者には、来訪者であることが一目で分かるような入館証を着用（携帯）させている 9 監視カメラを作動させている。 10 従業者と事前の約束のない来訪者は受け入れない 11 来訪者を受け入れる場合は、必ず従業者が帯同する 12 13 来訪者を受け入れる場合は、あらかじめ定めた区域内のみを案内する来訪者をセキュリティ度の高い区域に案内する必要がある場合は、守秘義務についての誓約書を取得する 1 / 10 判定 JIS Q 15001 内部監査チェックリスト（運用監査）監査日被監査者監査時間監査チーム監査項目確認結果 3.1 一般要求事項 3.2 個人情報保護方針 1 2 3 4 5 ｆ）代表者の氏名を表示していること（登記事項証明書等）従業者および一般の人が入手できるための具体的手段を整えていることウェブサイトに掲載している場合は、わかりやすいところにリンクを表示していること問合せ先を明示していること公開している個人情報保護方針と規程文書としての個人情報保護方針が同一であること 3.3 計画 3.3.1 個人情報の特定 6 7 8 9 3.3.2 定めた手順に従い、個人情報を特定していること個人情報の特定に漏れがないこと作成された個人情報台帳が管理者によって承認されていること定めた手順に従い、更新および定期的な見直しを実施していること法令，国が定める指針その他の規範参照すべき法令、国が定める指針その他の規範が、漏れなく特定されていること以下の①～④は必須である ①「個人情報の保護に関する法律（平成 15 年 5 月）」 ②「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（厚生労働省・経 10 済産業省、平成 16 年 10 月制定、以降原則として毎年改定） ③「雇用管理分野における個人情報保護に関するガイドライン」（厚生労働省、平成 24 年 7 月） ④｢雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について｣(厚生労働省労働基準局長、平成 16 年 10 月) 1 / 11 判定