「Pマークの取得方法が知りたい」
「そもそもPマークを取得するメリットは?」
など、Pマークの取得について詳しく知りたいと考えている企業様はいませんか?
Pマーク(プライバシーマーク)制度とは、日本工業規格(JIS Q 15001)に基づき、個人情報保護に関する適切な管理が行えている企業・組織に対して、認定機関がPマークを付与する制度のことです。
このPマークを取得していることで、会社が個人情報を守るための体制がしっかりと整っていることをアピールすることができます。
この記事では、
- Pマーク(プライバシーマーク)制度とは
- Pマークの取得方法【6つの手順で紹介】
- そもそもPマークを取得するメリット5つ
などを解説していきます。
本記事を一読すれば、初めての企業や組織でもスムーズにPマークを取得することができるでしょう。
目次
Pマーク(プライバシーマーク)制度とは
※引用:JiPDEC 一般財団法人 日本情報経済社会推進協会
Pマーク(プライバシーマーク)制度とは、日本工業規格(JIS Q 15001)に基づき、個人情報保護に関する適切な管理が行えている企業・組織に対して、認定機関がPマークを付与する制度のことです。
会社が個人情報を守るための体制が整っていることを社外にアピールするためには、このPマークの取得は必須です。
Pマーク付与事業者は、現在17,000社以上あります。
なお、当サイトを運営するかっこ株式会社も、このPマークを取得しています。
※参考:JiPDEC 一般財団法人 日本情報経済社会推進協会
Pマークが付与される対象は?
Pマークは、基本的に法人単位での取得になりますが、医療法人や学校法人なども対象となるケースもあります。(※参考:プライバシーマーク制度)
またPマークが付与される対象は、上記以外にも以下の条件をクリアしていなければいけません。
- 日本国内の企業・組織であること
- 2名以上の従業員がいること
- 日本工業規格(JIS Q 15001)に基づいたPMS(個人情報保護マネジメントシステム)を構築していること
- PMSに基づいた実施可能な組織体制により個人情報を適切に取り扱っていること
- 「プライバシーマーク付与に関する規約」で定められた欠格事項に該当していないこと
自社がPマークが付与される対象がどうか分からない場合は、プライバシーマーク制度からお問い合わせしてみてください。
Pマークの取得方法【6つの手順で紹介】
ここからは、Pマークの取得方法を6つの手順で紹介していきます。
「初めてPマークの取得を目指している」という企業にも分かりやすいように紹介していくので、ぜひ参考にしてください。
【手順1】Pマーク取得に向けての方針決定・PMS文書を作成する
まずは、Pマーク取得に向けての方針を決定し、PMS(個人情報保護マネジメントシステム)文書を作成しましょう。
Pマーク取得に向けての方針決定では、
- 従業員への「個人情報の取り扱いに関する意識付け」などの方針の決定・統一を行う
- Pマーク取得を推進するための企画作りに取り組む
- 業務で取り扱う個人情報を洗い出し、リスク分析や対策を決定する
- Pマーク取得をいつまでにするのか明確にし、作業進捗を管理する
などを行う必要があります。
上記の方針決定が完了したら、次はPMS文書を作成しましょう。
作成するPMS文書には、
- 個人情報保護マニュアル
- 安全管理規定
- 個人情報保護方針
を記載する必要があります。
| 作成するPMS文書の内容詳細 | |
|---|---|
| 個人情報保護マニュアル | 「従業員1人ひとりがどんな立場で個人情報と向き合うのか」「どのような役割を果たしていくのか」などのマニュアルを作成する |
| 安全管理規定 | ・事業所への入退室の管理 ・個人情報を送るリスクへの対策 ・機器類の盗難対策 などをまとめたもの |
| 個人情報保護方針 | 組織としての個人情報取り扱い方針を記したもの |
手順1の最後には、審査機関の選定も行うようにしましょう。
Pマーク指定審査機関一覧については、プライバシーマーク制度からご確認ください。
【手順2】PMSを構築・運用する
手順1でPMS文書を作成したら、次は書類の内容に沿ってPMSを構築・運用していきます。
Pマークの取得には、日本工業規格(JIS Q 15001)の要求事項に基づいたPMSを構築し、PDCAサイクルを最低でも1回は回して課題を発見・改善する必要があります。
また、実際にPMSを運用した状況を記録した書類の提出も求められるため、作成する必要があります。
作成するべきPMS運用の記録書類は、以下の表にまとめました。
| 作成するべきPMS運用の記録書類 | |
|---|---|
| 個人情報管理台帳 | 個人情報利用目的や保管場所などを記載・管理するための書類 |
| 法令 | ・業務に関連する法令 ・個人情報取り扱いに関する法令 ・国が定める指針 などを記した書類 |
| リスク分析 | 個人情報管理台帳に記された個人情報を取り扱う上で想定されるリスク検証と対策をまとめた書類 |
| 委託評価記録 | 個人情報を委託している事業者が適切な委託先であるかの評価を行った記録書類 |
| 教育記録 | 全ての従業員に対して個人情報保護のための教育・研修を行う計画書且つ、それを実施した記録書類 |
| 内部監査記録 | PMSの内部監査を行う計画書と、それを実施した記録書類 |
| 是正処置に関する記録 | 内部監査の結果でPMSが不適合と判断された場合に作成すべき書類 |
| マネジメントレビュー | 企業・組織の代表者による個人情報保護の取り扱い方針見直しを実施した記録書類 ・PMSの運用報告 ・PMSの運用にあたって行われた会議の記録 などを含む |
| 帳票類 | ・自社への訪問者の記録 ・従業員の入退室記録 ・採用活動で取得した個人情報の同意書 ・従業員の個人情報の同意書 ・個人情報保護に関する事故の報告書 など |
【手順3】PMS運用について問題がないかを確認する
手順3では、PMS運用について問題がないかを、内部監査を実施して確認するようにしましょう。
内部監査で行うべきことは、
- 自社で定めたルールが日本工業規格(JIS Q 15001)の要求事項を満たしているか
- 自社で定めたルールに沿って各部署の業務が回せているか
- 定めたルールを遵守できているかどうか
などです。
内部監査の結果により、もし問題が見つかればこの段階で改善する必要があります。
ちなみに、Pマーク取得後も日本工業規格(JIS Q 15001)では、年1回以上内部監査を行うことを求めています。
内部監査は、個人情報保護監査責任者と内部監査員を選出し、後述の内部監査員が監査を行います。
ただし、個人情報保護監査責任者と内部監査員を選出する際は、以下に注意する必要があります。
・事業者の代表が選出を行う
・代表自身が責任者や監査員になることはできない
・監査対象となる部署に所属する人を責任者や監査員にすることはできない
以上の注意点から、個人情報保護監査責任者と内部監査員を選出する時は、客観的に監査できる立場にある人を選ぶことが求められるということです。
なお、社内に適任者がいない場合は、外部の専門家に内部監査員をお願いすることも可能です。
【手順4】Pマークの取得を申請する
PMS文書や運用記録などの必要書類が全て揃い、内部監査でも問題ないようなら、ようやくPマーク取得の申請に移ります。
Pマーク取得の申請では、指定されている申請書類を作成し、これまでにまとめてきた書類と全て一緒に審査機関へ提出してください。
申請時に提出する書類には、必ず提出するべき書類の他に、任意で提出する書類もあります。
できれば任意の書類も提出することで、審査時間の短縮に繋がることもあるので一緒に提出しておくのがおすすめです。
必須の申請書類や、任意で提出する書類については、こちらから確認できます。
【手順5】審査機関による「書類審査」「現地審査」が行われる
Pマークの申請後は、審査機関による「書類審査」→「現地審査」が行われます。
「現地審査」は、基本的に1日で完了します。
「現地審査」で実施される内容については、以下をご覧ください。
| 実施される内容 | 詳細 |
|---|---|
| 日本工業規格(JIS Q 15001)に基づいたPMSが構築・運用できているかのヒアリング・評価 | ▼ここでヒアリングされる対象 ・Pマーク取得の申請を行った人 ・個人情報管理者や内部監査責任者 ▼主なヒアリング内容 ・内部監査の状況 ・従業員の教育について |
| 事業の代表者へのヒアリング | ▼主なヒアリング内容 ・経営方針/事業内容 ・Pマーク取得の理由 ・個人情報保護の目的 ・個人情報保護方針についての質問 ・個人情報保護体制についての質問 ・個人情報事故の有無 ・マネジメントレビューの結果 ・PMSの継続的な改善を行えているか |
| 安全管理措置が適切に行われているか | 個人情報を取り扱っている場合、漏えい、滅失、毀損などを防ぐ対策が適切に行われているのかの評価 |
| 総括・評価 | PMSの改善が必要である場合、その内容の説明が行われる |
総括・評価で特に指摘事項がなければ、審査合格となります。
もし、総括・評価において指摘事項があった場合は、後日「指摘事項文書」が送付されます。
「指摘事項文書」が届いたら、記された日付から3ヵ月以内に改善報告書を提出してください。
【手順6】Pマーク取得・運用を開始する
「書類審査」「現地審査」で合格になったら、審査機関がPマーク付与の適正がある企業・組織であるかの最終判断をします。
そこでPマーク付与の適正があると判断されれば、Pマーク付与機関と「プライバシーマーク付与契約」を締結し、Pマーク取得が完了します。
※引用:プライバシーマーク制度
ただし、Pマークは2年ごとに行われる更新審査に合格できなければ維持できないので注意してください。
よって、Pマーク取得後も常に課題を発見・改善することを意識しながらPMSの運用を行っていきましょう。
Pマーク取得にはどれくらいの期間がかかるの?
Pマーク取得には、概ね6ヵ月~1年ほどかかると言われています。
※参考:プライバシーマーク制度
最短でPマーク取得を目指したい場合は、コンサルティングを活用するのもおすすめです。
コンサルティング活用については、「5. Pマークの取得はコンサルティングを活用することもできる」で詳しく解説しています。
Pマークを取得するためにかかる費用
ここでは、Pマークを取得するためにかかる費用を紹介していきます。
Pマークを取得するためにかかる申請料・審査料については、以下の表をご覧ください。
自社がどの事業者規模に該当するのか分からない場合は、こちらから確認をお願いします。
Pマーク付与登録料については、以下の表をご覧ください。
現地審査後に、事業または体制の著しい変更などが生じた場合には、現地審査を再度実施することがあります。
現地審査を再度実施する場合の費用については、以下をご覧ください。
また、Pマーク付与適格決定後に個人情報漏洩などの事故発生やPマークの不正使用が発覚した場合は、現地審査を実施することがあります。
その時にかかる費用については、以下の表をご覧ください。
Pマーク取得にかかる費用は、審査機関ごとに変わることはありません。
ただし、申請料と審査料の支払い時期については、審査機関により異なる場合があるので注意してください。
そもそもPマークを取得するメリット5つ
ここまでPマークの取得方法についてお話してきましたが、そもそもPマークを取得するメリットも知っておきましょう。
Pマークを取得するメリットは5つです。
- 取引先・顧客からの信頼向上
- 社内全体の意識向上
- 官庁などの入札への参加が可能になる
- 優秀な人材が確保できる
- 情報漏洩防止に繋がる
Pマークを取得している企業は、「個人情報保護の標準を満たしている」と評価されているので、取引先や顧客は安心して個人情報を預けることができます。
また、Pマークを取得する際に行う従業員教育により、社内全体の意識向上を実現できます。
社内全体の意識向上により、従業員のうっかりミスによる情報漏洩も起こりにくくなるでしょう。
さらにPマーク取得は、個人情報を取り扱う官公庁などと取引を行う際にも有利に働きます。
個人情報を取り扱う官公庁などとの取引では、「Pマークの取得が入っていること」を取引条件にしていることが多いので、Pマークを取得していれば新規開拓が容易になりやすいと言えるでしょう。
Pマークの取得はコンサルティングを活用することもできる
Pマークの取得は、コンサルティングを活用することもできます。
Pマーク取得に関する知識がない状態から取得を目指すには、取得するまでに相当な時間がかかってしまうこともあります。
コンサルティングを活用すれば、もちろんコストはかかりますが、時間や負担を軽減でき最短でPマーク取得を目指すことができるでしょう。
Pマーク取得でコンサルティングを活用するメリットについては、以下で詳しく解説していきます。
コンサルティングを活用するメリット
コンサルティングを活用するメリットは6つあります。
- 「何をいつまでにするべきなのか」などToDoを明確化できる
- 日本工業規格(JIS Q 15001)に書かれている内容を分かりやすく説明してもらえる
- セキュリティに関して専門的なアドバイスが得られる
- 多くの他社事例を参考にできる
- PMS文書や運用記録に記載する内容に悩まないので負担を最小限に抑えることができる
- 文書審査、現地審査後の指摘事項への対応の仕方や改善対応のフォローをしてもらえる
先程も言ったように、Pマーク取得に関する知識がない状態から取得を目指すには、取得するまでに相当な時間がかかるでしょう。
また、セキュリティに関する知識が乏しい方がPMS文書の作成を行うとなれば、まずは専門的な知識をつけることから始めるので、その分負担も増えてしまいます。
よって、業務負担をなるべく抑えながら、確実に最短でPマークの取得を目指したいとお考えの企業様は、コンサルティングの活用を検討してみるといいでしょう。
Pマーク取得についてよくある質問3つ
最後に、Pマーク取得についてよくある質問と回答を紹介していきます。
- 【質問1】PマークとISMSどちらを取得するべきですか?
- 【質問2】小さな会社でもPマークは取得できますか?
- 【質問3】Pマークを取得してからの有効期限はありますか?
それぞれの質問に対しての回答は、以下を参考にしてください。
【質問1】PマークとISO27001(ISMS)どちらを取得するべきですか?
PマークとISO27001(ISMS)では、そもそもの目的が異なるので目的に応じて取得するようにしましょう。
Pマーク(プライバシーマーク):「人権の保護」を目的としている
ISO27001(ISMS):「企業の情報資産の保護」を目的
例えば、社内の情報を資産とみなし(個人情報も含む)、「自社を守る仕組み作り」をしたい企業様は、ISO27001(ISMS)を取得するのがいいでしょう。
対して、「個人を守る仕組み作り」をしたい企業様は、Pマークの取得を目指すのがおすすめです。
その他のPマークとISO27001(ISMS)の違いについては、以下の表を参考にしてください。
※引用:Secrity Magazin
【質問2】小さな会社でもPマークは取得できますか?
小さな会社でも、社員数2名以上いればPマークの取得は可能です。
なぜ2名以上必要なのかというと、Pマークを申請する際に、
- 代表者
- 個人情報保護管理者
- 個人情報保護監査責任者
の3つの役割が必要で、代表者、個人情報保護管理者は兼任することはできますが、個人情報保護監査責任者は別の人が担当する必要があるからです。
【質問3】Pマークを取得してからの有効期限はありますか?
Pマークには有効期限があり、付与された日から2年後までが有効期限です。
引き続きPマークの付与受けたい場合は、有効期間満了の8ヶ月前~4ヶ月前までに更新の申請をしないといけません。
更新申請では、新規申請と同様に「文書審査」「現地審査」を経て認定が決定されれば、更に有効期間(2年)が延長されます。
まとめ
この記事では、Pマーク(プライバシーマーク)の取得方法やPマーク取得にかかる期間や費用についてまで幅広くお伝えしてきました。
Pマークの取得方法については、初めてPマークを取得する場合でも理解しやすいように6つの手順で詳しく解説しています。(「2. Pマークの取得方法【6つの手順で紹介】」)
最近ではPマークを取得しようと考えている企業・組織が増えていますが、そもそもPマークを取得するメリットは5つあります。
- 取引先・顧客からの信頼向上
- 社内全体の意識向上
- 官庁などの入札への参加が可能になる
- 優秀な人材が確保できる
- 情報漏洩防止に繋がる
ただし、Pマークの取得には時間や労力を費やすことになるので、Pマークやセキュリティに関する知識を持っている人が社内にいない場合は、コンサルティングを活用することもおすすめです。
個人情報を取り扱っている企業・組織では、個人情報保護に関する適切な管理が行えていると認めてもらうためにも、ぜひPマーク取得を目指してみてください。
当サイトを運営するかっこ株式会社も、Pマークを取得して個人情報保護に努めています。
アクセスから注文まで一貫して対応-かっこの不正検知サービス- 
