セキュリティ用語

  •  PR 

Pマーク(プライバシーマーク)の取得方法や費用、取得するメリット5つを紹介

Pマーク(プライバシーマーク)

「Pマークの取得方法が知りたい」
「そもそもPマークを取得するメリットは?」

など、Pマークの取得について詳しく知りたいと考えている企業様はいませんか?

Pマーク(プライバシーマーク)制度とは、日本工業規格(JIS Q 15001)に基づき、個人情報保護に関する適切な管理が行えている企業・組織に対して、認定機関がPマークを付与する制度のことです。

このPマークを取得していることで、会社が個人情報を守るための体制がしっかりと整っていることをアピールすることができます。

この記事では、

  • Pマーク(プライバシーマーク)制度とは
  • Pマークの取得方法【6つの手順で紹介】
  • そもそもPマークを取得するメリット5つ

などを解説していきます。

本記事を一読すれば、初めての企業や組織でもスムーズにPマークを取得することができるでしょう。

Pマーク(プライバシーマーク)制度とは

Pマーク

※引用:JiPDEC 一般財団法人 日本情報経済社会推進協会

Pマーク(プライバシーマーク)制度とは、日本工業規格(JIS Q 15001)に基づき、個人情報保護に関する適切な管理が行えている企業・組織に対して、認定機関がPマークを付与する制度のことです。

会社が個人情報を守るための体制が整っていることを社外にアピールするためには、このPマークの取得は必須です。

Pマーク付与事業者は、現在17,000社以上あります。

なお、当サイトを運営するかっこ株式会社も、このPマークを取得しています。

プライバシーマーク付与事業者検索

※参考:JiPDEC 一般財団法人 日本情報経済社会推進協会

Pマークが付与される対象は?

Pマークは、基本的に法人単位での取得になりますが、医療法人や学校法人なども対象となるケースもあります。(※参考:プライバシーマーク制度)

またPマークが付与される対象は、上記以外にも以下の条件をクリアしていなければいけません。

  • 日本国内の企業・組織であること
  • 2名以上の従業員がいること
  • 日本工業規格(JIS Q 15001)に基づいたPMS(個人情報保護マネジメントシステム)を構築していること
  • PMSに基づいた実施可能な組織体制により個人情報を適切に取り扱っていること
  • プライバシーマーク付与に関する規約」で定められた欠格事項に該当していないこと

自社がPマークが付与される対象がどうか分からない場合は、プライバシーマーク制度からお問い合わせしてみてください。

プライバシーマーク付与対象

Pマークの取得方法【6つの手順で紹介】

ここからは、Pマークの取得方法を6つの手順で紹介していきます。

「初めてPマークの取得を目指している」という企業にも分かりやすいように紹介していくので、ぜひ参考にしてください。

【手順1】Pマーク取得に向けての方針決定・PMS文書を作成する

まずは、Pマーク取得に向けての方針を決定し、PMS(個人情報保護マネジメントシステム)文書を作成しましょう。

PMS文書:個人情報保護の具体的な対策を考えて、実際に運用できるような仕組みを文書にしたもの

Pマーク取得に向けての方針決定では、

  • 従業員への「個人情報の取り扱いに関する意識付け」などの方針の決定・統一を行う
  • Pマーク取得を推進するための企画作りに取り組む
  • 業務で取り扱う個人情報を洗い出し、リスク分析や対策を決定する
  • Pマーク取得をいつまでにするのか明確にし、作業進捗を管理する

などを行う必要があります。

上記の方針決定が完了したら、次はPMS文書を作成しましょう。

作成するPMS文書には、

  • 個人情報保護マニュアル
  • 安全管理規定
  • 個人情報保護方針

を記載する必要があります。

作成するPMS文書の内容詳細
個人情報保護マニュアル「従業員1人ひとりがどんな立場で個人情報と向き合うのか」「どのような役割を果たしていくのか」などのマニュアルを作成する
安全管理規定・事業所への入退室の管理
・個人情報を送るリスクへの対策
・機器類の盗難対策
などをまとめたもの
個人情報保護方針組織としての個人情報取り扱い方針を記したもの

手順1の最後には、審査機関の選定も行うようにしましょう。

Pマーク指定審査機関一覧については、プライバシーマーク制度からご確認ください。

Pマーク取得 手順1

【手順2】PMSを構築・運用する

手順1でPMS文書を作成したら、次は書類の内容に沿ってPMSを構築・運用していきます。

Pマークの取得には、日本工業規格(JIS Q 15001)の要求事項に基づいたPMSを構築し、PDCAサイクルを最低でも1回は回して課題を発見・改善する必要があります。

PDCAサイクル

また、実際にPMSを運用した状況を記録した書類の提出も求められるため、作成する必要があります。

作成するべきPMS運用の記録書類は、以下の表にまとめました。

作成するべきPMS運用の記録書類
個人情報管理台帳個人情報利用目的や保管場所などを記載・管理するための書類
法令・業務に関連する法令
・個人情報取り扱いに関する法令
・国が定める指針
などを記した書類
リスク分析個人情報管理台帳に記された個人情報を取り扱う上で想定されるリスク検証と対策をまとめた書類
委託評価記録個人情報を委託している事業者が適切な委託先であるかの評価を行った記録書類
教育記録全ての従業員に対して個人情報保護のための教育・研修を行う計画書且つ、それを実施した記録書類
内部監査記録PMSの内部監査を行う計画書と、それを実施した記録書類
是正処置に関する記録内部監査の結果でPMSが不適合と判断された場合に作成すべき書類
マネジメントレビュー企業・組織の代表者による個人情報保護の取り扱い方針見直しを実施した記録書類

・PMSの運用報告
・PMSの運用にあたって行われた会議の記録
などを含む
帳票類・自社への訪問者の記録
・従業員の入退室記録
・採用活動で取得した個人情報の同意書
・従業員の個人情報の同意書
・個人情報保護に関する事故の報告書
など

【手順3】PMS運用について問題がないかを確認する

手順3では、PMS運用について問題がないかを、内部監査を実施して確認するようにしましょう。

内部監査で行うべきことは、

  • 自社で定めたルールが日本工業規格(JIS Q 15001)の要求事項を満たしているか
  • 自社で定めたルールに沿って各部署の業務が回せているか
  • 定めたルールを遵守できているかどうか

などです。

内部監査の結果により、もし問題が見つかればこの段階で改善する必要があります。

ちなみに、Pマーク取得後も日本工業規格(JIS Q 15001)では、年1回以上内部監査を行うことを求めています。

質問

内部監査は、個人情報保護監査責任者と内部監査員を選出し、後述の内部監査員が監査を行います。

ただし、個人情報保護監査責任者と内部監査員を選出する際は、以下に注意する必要があります。

▼個人情報保護監査責任者と内部監査員の選出する時の注意点
・事業者の代表が選出を行う
・代表自身が責任者や監査員になることはできない
・監査対象となる部署に所属する人を責任者や監査員にすることはできない

以上の注意点から、個人情報保護監査責任者と内部監査員を選出する時は、客観的に監査できる立場にある人を選ぶことが求められるということです。

なお、社内に適任者がいない場合は、外部の専門家に内部監査員をお願いすることも可能です。

手順3

【手順4】Pマークの取得を申請する

PMS文書や運用記録などの必要書類が全て揃い、内部監査でも問題ないようなら、ようやくPマーク取得の申請に移ります。

Pマーク取得の申請では、指定されている申請書類を作成し、これまでにまとめてきた書類と全て一緒に審査機関へ提出してください。

申請時に提出する書類には、必ず提出するべき書類の他に、任意で提出する書類もあります。

できれば任意の書類も提出することで、審査時間の短縮に繋がることもあるので一緒に提出しておくのがおすすめです。

手順4

必須の申請書類や、任意で提出する書類については、こちらから確認できます。

【手順5】審査機関による「書類審査」「現地審査」が行われる

Pマークの申請後は、審査機関による「書類審査」→「現地審査」が行われます。

「現地審査」は、基本的に1日で完了します。

「現地審査」で実施される内容については、以下をご覧ください。

実施される内容詳細
日本工業規格(JIS Q 15001)に基づいたPMSが構築・運用できているかのヒアリング・評価▼ここでヒアリングされる対象
・Pマーク取得の申請を行った人
・個人情報管理者や内部監査責任者
▼主なヒアリング内容
・内部監査の状況
・従業員の教育について
事業の代表者へのヒアリング▼主なヒアリング内容
・経営方針/事業内容
・Pマーク取得の理由
・個人情報保護の目的
・個人情報保護方針についての質問
・個人情報保護体制についての質問
・個人情報事故の有無
・マネジメントレビューの結果
・PMSの継続的な改善を行えているか
安全管理措置が適切に行われているか個人情報を取り扱っている場合、漏えい、滅失、毀損などを防ぐ対策が適切に行われているのかの評価
総括・評価PMSの改善が必要である場合、その内容の説明が行われる

総括・評価で特に指摘事項がなければ、審査合格となります。

もし、総括・評価において指摘事項があった場合は、後日「指摘事項文書」が送付されます。

「指摘事項文書」が届いたら、記された日付から3ヵ月以内に改善報告書を提出してください。

手順5

【手順6】Pマーク取得・運用を開始する

「書類審査」「現地審査」で合格になったら、審査機関がPマーク付与の適正がある企業・組織であるかの最終判断をします。

そこでPマーク付与の適正があると判断されれば、Pマーク付与機関と「プライバシーマーク付与契約」を締結し、Pマーク取得が完了します。

プライバシーマーク付与締結

※引用:プライバシーマーク制度

ただし、Pマークは2年ごとに行われる更新審査に合格できなければ維持できないので注意してください。

よって、Pマーク取得後も常に課題を発見・改善することを意識しながらPMSの運用を行っていきましょう。

手順6

Pマーク取得にはどれくらいの期間がかかるの?

Pマーク取得には、概ね6ヵ月~1年ほどかかると言われています。

Pマーク取得期間

※参考:プライバシーマーク制度

最短でPマーク取得を目指したい場合は、コンサルティングを活用するのもおすすめです。

コンサルティング活用については、「5. Pマークの取得はコンサルティングを活用することもできる」で詳しく解説しています。

Pマークを取得するためにかかる費用

ここでは、Pマークを取得するためにかかる費用を紹介していきます。

Pマークを取得するためにかかる申請料・審査料については、以下の表をご覧ください。

Pマーク取得費用

※引用:一般財団法人放送セキュリティセンター

自社がどの事業者規模に該当するのか分からない場合は、こちらから確認をお願いします。

Pマーク付与登録料については、以下の表をご覧ください。

Pマーク費用

※引用:一般財団法人放送セキュリティセンター

現地審査後に、事業または体制の著しい変更などが生じた場合には、現地審査を再度実施することがあります。

現地審査を再度実施する場合の費用については、以下をご覧ください。

再現地審査費用

※引用:一般財団法人放送セキュリティセンター

また、Pマーク付与適格決定後に個人情報漏洩などの事故発生やPマークの不正使用が発覚した場合は、現地審査を実施することがあります。

その時にかかる費用については、以下の表をご覧ください。

現地審査費用

※引用:一般財団法人放送セキュリティセンター

Pマーク取得にかかる費用は、審査機関ごとに変わることはありません。

ただし、申請料と審査料の支払い時期については、審査機関により異なる場合があるので注意してください。

そもそもPマークを取得するメリット5つ

ここまでPマークの取得方法についてお話してきましたが、そもそもPマークを取得するメリットも知っておきましょう。

Pマークを取得するメリットは5つです。

  • 取引先・顧客からの信頼向上
  • 社内全体の意識向上
  • 官庁などの入札への参加が可能になる
  • 優秀な人材が確保できる
  • 情報漏洩防止に繋がる

Pマークを取得している企業は、「個人情報保護の標準を満たしている」と評価されているので、取引先や顧客は安心して個人情報を預けることができます。

また、Pマークを取得する際に行う従業員教育により、社内全体の意識向上を実現できます。

社内全体の意識向上により、従業員のうっかりミスによる情報漏洩も起こりにくくなるでしょう。

Pマークの規格である日本工業規格(JIS Q 15001)では、Pマークの取得・更新にあたって従業員教育を実施することを求めています(※年1回の従業員教育を実施する)

さらにPマーク取得は、個人情報を取り扱う官公庁などと取引を行う際にも有利に働きます。

個人情報を取り扱う官公庁などとの取引では、「Pマークの取得が入っていること」を取引条件にしていることが多いので、Pマークを取得していれば新規開拓が容易になりやすいと言えるでしょう。

Pマークの取得はコンサルティングを活用することもできる

Pマークの取得は、コンサルティングを活用することもできます。

Pマーク取得に関する知識がない状態から取得を目指すには、取得するまでに相当な時間がかかってしまうこともあります。

コンサルティングを活用すれば、もちろんコストはかかりますが、時間や負担を軽減でき最短でPマーク取得を目指すことができるでしょう。

Pマーク コンサル活用

Pマーク取得でコンサルティングを活用するメリットについては、以下で詳しく解説していきます。

コンサルティングを活用するメリット

コンサルティングを活用するメリットは6つあります。

  • 「何をいつまでにするべきなのか」などToDoを明確化できる
  • 日本工業規格(JIS Q 15001)に書かれている内容を分かりやすく説明してもらえる
  • セキュリティに関して専門的なアドバイスが得られる
  • 多くの他社事例を参考にできる
  • PMS文書や運用記録に記載する内容に悩まないので負担を最小限に抑えることができる
  • 文書審査、現地審査後の指摘事項への対応の仕方や改善対応のフォローをしてもらえる

先程も言ったように、Pマーク取得に関する知識がない状態から取得を目指すには、取得するまでに相当な時間がかかるでしょう。

また、セキュリティに関する知識が乏しい方がPMS文書の作成を行うとなれば、まずは専門的な知識をつけることから始めるので、その分負担も増えてしまいます。

よって、業務負担をなるべく抑えながら、確実に最短でPマークの取得を目指したいとお考えの企業様は、コンサルティングの活用を検討してみるといいでしょう。

コンサルティング活用

Pマーク取得についてよくある質問3つ

最後に、Pマーク取得についてよくある質問と回答を紹介していきます。

  • 【質問1】PマークとISMSどちらを取得するべきですか?
  • 【質問2】小さな会社でもPマークは取得できますか?
  • 【質問3】Pマークを取得してからの有効期限はありますか?

それぞれの質問に対しての回答は、以下を参考にしてください。

【質問1】PマークとISO27001(ISMS)どちらを取得するべきですか?

PマークとISO27001(ISMS)では、そもそもの目的が異なるので目的に応じて取得するようにしましょう。

▼それぞれの目的
Pマーク(プライバシーマーク):「人権の保護」を目的としている
ISO27001(ISMS):「企業の情報資産の保護」を目的

例えば、社内の情報を資産とみなし(個人情報も含む)、「自社を守る仕組み作り」をしたい企業様は、ISO27001(ISMS)を取得するのがいいでしょう。

対して、「個人を守る仕組み作り」をしたい企業様は、Pマークの取得を目指すのがおすすめです。

その他のPマークとISO27001(ISMS)の違いについては、以下の表を参考にしてください。

※引用:Secrity Magazin

【質問2】小さな会社でもPマークは取得できますか?

小さな会社でも、社員数2名以上いればPマークの取得は可能です。

なぜ2名以上必要なのかというと、Pマークを申請する際に、

  • 代表者
  • 個人情報保護管理者
  • 個人情報保護監査責任者

の3つの役割が必要で、代表者、個人情報保護管理者は兼任することはできますが、個人情報保護監査責任者は別の人が担当する必要があるからです。

【質問3】Pマークを取得してからの有効期限はありますか?

Pマークには有効期限があり、付与された日から2年後までが有効期限です。

引き続きPマークの付与受けたい場合は、有効期間満了の8ヶ月前~4ヶ月前までに更新の申請をしないといけません。

更新申請では、新規申請と同様に「文書審査」「現地審査」を経て認定が決定されれば、更に有効期間(2年)が延長されます。

まとめ

この記事では、Pマーク(プライバシーマーク)の取得方法やPマーク取得にかかる期間や費用についてまで幅広くお伝えしてきました。

Pマークの取得方法については、初めてPマークを取得する場合でも理解しやすいように6つの手順で詳しく解説しています。(「2. Pマークの取得方法【6つの手順で紹介】」)

最近ではPマークを取得しようと考えている企業・組織が増えていますが、そもそもPマークを取得するメリットは5つあります。

  • 取引先・顧客からの信頼向上
  • 社内全体の意識向上
  • 官庁などの入札への参加が可能になる
  • 優秀な人材が確保できる
  • 情報漏洩防止に繋がる

ただし、Pマークの取得には時間や労力を費やすことになるので、Pマークやセキュリティに関する知識を持っている人が社内にいない場合は、コンサルティングを活用することもおすすめです。

個人情報を取り扱っている企業・組織では、個人情報保護に関する適切な管理が行えていると認めてもらうためにも、ぜひPマーク取得を目指してみてください。

当サイトを運営するかっこ株式会社も、Pマークを取得して個人情報保護に努めています。

アクセスから注文まで一貫して対応-かっこの不正検知サービス- かっこの不正検知サービス

ピックアップ記事

  1. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  2. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説
  3. 【EC事業者必見】不正なチャージバックを防ぐ対策と不正対策システムの導入事例3つ…
  4. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  5. クレジットカードの不正利用を防ぐ方法は?消費者と事業者の両視点から原因を解説

関連記事

  1. 不正アクセス

    リスト型攻撃とは?攻撃を受けた場合の被害の例や対策を解説!

    「リスト型攻撃はどんな手口で行われるの?」「リスト型攻撃にはどんな…

  2. 不正検知・ノウハウ

    2016年改正、2018年施行の割賦販売法とは?「実行計画」の中身も解説

    割賦販売法とは、クレジットカードなどの信用取引において、消費者を保護す…

  3. 不正アクセス

    eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

    「eKYCとはどういう意味で、どのような特徴があるのだろう?」「e…

  4. セキュリティ用語

    サイバー攻撃とは?代表的な7つの種類と事例・対策など総まとめ

    行政機関や企業などを狙ったサイバー攻撃は減る気配がなく、被害も増加傾向…

  5. セキュリティ用語

    決済とは?代表的な種類や選び方、決裁との違いなどを解説

    決済とは、商品やサービスなどと交換する際にお金を支払い、売買取引を完了…

  6. セキュリティ用語

    決済代行の選び方は?失敗しない9つのポイントを徹底解説

    決済代行サービスは、料金形態や提供される機能がサービスごとに異なります…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正アクセス

    なぜ個人情報漏洩は起こる?最新の流出原因TOP4と被害事例
  2. ポケカ 転売

    消費者向け

    ポケモンカードを転売目的で購入することは禁止!逮捕された事例や販売店が行うべき対…
  3. 不正アクセス

    Webスキミングとは?主な2つの手口や対策・スキミングとの違い
  4. 3Dセキュア

    3Dセキュアに対応しているおすすめカードブランド。3Dセキュアの役割や利用上の注…
  5. コンプライアンス

    反社チェックとは?必要な理由や対象、調査方法などをまとめて解説
PAGE TOP