Pマークの取得方法を流れに沿って紹介! 費用相場も解説
重要な経営資源である個人情報の管理は、企業経営において優先度の高いタスクの1つです。正しく管理すれば競争力の源泉として機能しますが、管理方法を誤ると取引先や顧客からの信頼が失墜し、企業の存続を脅かすことにもなりかねません。そこで、多くの企業では、適切に個人情報を取り扱っていることを客観的に証明するPマーク(プライバシーマーク)を取得して、取引先や消費者からの信頼が得られるように役立てています。では、Pマークはどのような流れで取得できるのでしょうか。
本記事では、これからPマークの取得を目指す企業に向けて、Pマークを取得する条件や、取得に必要な準備、申請、審査の流れのほか、費用相場などについて解説します。
Pマークとは、適切に個人情報の管理を行う事業者に付与されるマーク
Pマークとは、組織や企業における個人情報の管理について、「適切である」と第三者機関に評価された事業者に付与されるマークです。個人情報は、生存する個人に関する情報で、氏名、生年月日、住所などによって特定の個人を識別できる情報を指し、メールアドレスや電話番号といった別の情報との組み合わせによって個人を識別できる情報も含まれます。
Pマークの審査では、「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報マネジメントシステム構築・運用指針」に基づいて、適切な個人情報保護体制が構築されているか否かが審査されます。JIS Q 15001は、個人情報保護法よりも要求する管理事項が多く、厳格な基準です。
Pマークを取得した企業は、「個人情報の取り扱いを経営課題として重視し、ふさわしい取り組みを行っている企業」として、Webサイトや名刺などにPマークを使用することができます。2024年9月30日現在で、1万7,766社がPマークを取得しています。
Pマークを取得する条件
Pマークは、希望するすべての企業に付与されるわけではありません。Pマーク付与の対象になるのは、下記の条件を満たす企業です。
- Pマークを付与されるための条件
-
- 国内に活動拠点を持つ企業である
- 代表者を含め、役員や正社員が2名以上いる
- JIS Q 15001に基づいて個人情報保護マネジメントシステム(PMS:Personal information protection Management Systems)を確立している
- PMSに基づいて体制を整備し、適切な個人情報の取り扱いを実践している
- 外国企業でないこと、付与機関が指定する業種、業態、サービスを営んでいないことなど、「プライバシーマーク付与に関する規約(JIP-PMK500)」が定める欠格事由に該当していない
役員、正社員の人数については、PMSを構築する際、個人情報保護管理者と個人情報保護監査責任者が1人ずつ必要になるため、2名以上の在籍が条件になっています。個人情報保護管理者にはPMS運用の責任者としての役割があり、個人情報保護監査責任者はその運用の是非を判断する責任者です。また、規約の欠格事由に該当するか否かは、企業が提出する書類と現地審査で確認します。
Pマーク取得までの流れ
Pマークを取得するためには、一定の流れに沿ってPMSの構築や申請などを進める必要があります。Pマークを取得するまでの一般的な流れは、下記のとおりです。
1.取得に向けた計画の策定とPMS文書の準備
Pマークを取得する場合、取得に向けた計画を策定し、PMSの構築や運用に関するルールをPMS文書として可視化します。
まずは、Pマーク取得のためのプロジェクトを推進する社内責任者を決めます。社内における個人情報保護対策の現状や社内システムの全体像を把握している人、従業員に個人情報保護の意識づけができる人、審査対応ができる人といった条件を満たす人を選ぶのがお勧めです。
責任者が決まったら、スムーズな計画進捗のため、Pマークを取得する具体的な期日を設定して行動計画を立ててください。なお、Pマークの取得までにかかる期間は、およそ半年から1年程度です。
続いて、審査機関を選定します。Pマークの審査機関は20あり、どの審査機関で審査を受けても取得できるPマークの効力は同じですが、審査の進め方や手法は機関によって異なります。
そもそも取得計画の立て方がわからなかったり、準備に不安があったりする場合は、Pマークの取得・更新をサポートしてくれるコンサルティング会社を利用するのも1つの方法です。コンサルティング会社ごとにサポートの内容や範囲が異なるため、「スケジュールを組んで作業の進捗を管理してほしい」「他社の事例が知りたい」「書類作成を手伝ってほしい」といった希望に合わせて依頼先を選定しましょう。
スケジュールの全体感がつかめたら、社内に存在する個人情報を洗い出し、それらを実際に運用・管理するPMSの仕組みやルールを文書化した「PMS文書」を作成します。作成すべき主なPMS文書の代表例は下記のとおりです。
- 主なPMS文書
-
- JIS Q 15001に沿った個人情報保護マニュアル
- 個人情報保護方針
- 事務所の入退室管理や機器の盗難対策など、個人情報に関する安全管理規定
上記のほか、PMSの実施に関わる事項はすべて書面として残す必要があります。
2.PMSの運用体制の構築と内部監査の実施
Pマークの取得計画の策定とPMS文書の準備が終わったら、PMSを確立するフェーズに入ります。作成したPMS文書に沿って、実際にPMSを構築・運用しましょう。Pマークの申請を行う際には、申請前に、社内で定めたルールに沿ってPDCAサイクルを回さなければなりません。一通り実施して、必要があれば社内ルールを変更したり、システムを更新したりして、継続的な運用が可能な仕組みに修正します。
また、社内ルールの他にも、実際にPMSを運用した際の状況やその評価、改善策に関する書類も書類審査の際に提出するため、文書化する必要があります。Pマーク取得で必要となる主な記録書類は、下記を参考にしてください。
記録書類 | 内容 |
---|---|
個人情報管理台帳 | 事業における個人情報を特定し、利用目的や保管場所について記した書類 |
法令などの管理台帳 | 業務に関連する法令、個人情報保護に関連する法令について、概要や指針などを記載した書類 |
リスク分析 | 個人情報を取り扱う際に想定されるリスクの検証内容と、対策方法について記載した書類 |
委託先評価記録 | 個人情報の取り扱いを委託している企業を特定し、評価した記録 |
内部監査記録 | PMSの内部監査についての計画と、実施記録をまとめた書類。監査の結果、PMSに適合しないルールや運用があった場合は、その是正措置の記録も必要 |
各種帳票 | 採用時などに従業員から預かった個人情報同意書、個人情報保護に関するトラブルの記録などの帳票類 |
教育記録 | 自社の従業員に向けた個人情報保護のための教育・研修の計画書と実施記録 |
入退室記録 | 従業員および顧客などの入退室を記録した書類 |
マネジメントレビュー | 経営層がPMSの運用について振り返り、成果や課題を分析して見直した記録 |
これらの書類については、フォーマットを作って仕様を定めておきます。これにより、PMSの運用を継続的に行っていること、社内で実施体制が確立されていることを証明できます。
また、PMSの運用時には、運用の実態を確認するために、客観的な内部監査を実施しましょう。監査の結果、問題点があれば代表者へ報告をして、改善の指示につなげます。
3.Pマークの申請
PMS運用体制を構築し、内部監査を実施したら、Pマークの申請を行います。これまで記録・保管してきた書類と一緒に、申請書類を作成して審査機関に提出してください。
申請書類には、下記のように提出が必須の書類と任意提出の書類がありますが、任意の書類も提出すれば、審査がスムーズに進みます。
提出が必須の書類
- 【申請様式0新規】プライバシーマーク付与適格性審査申請チェック表
- 【申請様式1新規】プライバシーマーク付与適格性審査申請書(1)および(2)
- 【申請様式2新規】個人情報保護体制
- 【申請様式3新規】事業者概要
- 【申請様式4新規】個人情報を取り扱う業務の概要
- 【申請様式5新規】すべての事業所の所在地および業務内容
- 【申請様式6新規】個人情報保護マネジメントシステム文書の一覧
- 【申請様式7新規】教育実施サマリー(すべての従業者に実施した教育実施状況)
- 【申請様式8新規】内部監査・マネジメントレビュー実施サマリー
- 登記事項証明書(履歴事項全部証明書または現在事項全部証明書)など申請事業者(法人)の実在を証す公的文書の原本(申請の日前3かヵ月以内の発行文書。コピーは不可)
- 定款のコピー
- 最新の個人情報保護マネジメントシステム文書一式のコピー(【申請様式6新規】に記載の内部規程・様式のすべて。なお、様式は未記入で空欄のままの見本)
- 個人情報管理台帳の運用記録(様式ではない)の冒頭1ページのコピー
- 個人情報管理台帳の運用記録に対応するリスク分析結果のコピー
任意提出の書類
- 教育を実施したことが確認可能な記録一式(教育計画書、教育実施報告書などの運用記録や教材のコピー、理解度確認テストなどの雛形)
- 内部監査を実施したことが確認可能な記録一式(内部監査計画書、内部監査実施報告書、内部監査チェックリストなどのコピー)
- マネジメントレビューを実施したことが確認可能な記録一式(マネジメントレビュー議事録のコピー)
- 会社パンフレットなど
4.審査
審査機関に書類を提出すると、申請受理までの約1か月のあいだに欠格事項の審査、訂正事項のチェックなどが行われます。不備があると差し戻しになりますが、問題がなければ書類審査に進みます。申請受理から書類審査終了までの期間は、約1か月半です。
書類審査に合格した後は、審査員による現地審査に移ります。現地審査は、原則として審査を受ける企業の本社で、1日かけて行われます。現地審査の内容は下記のとおりです。現地審査の結果、JIS Q 15001に適合しない点や、社内ルールに違反した運用などが見つかった場合、審査機関から指摘事項文書が発行され、指摘事項が伝達されます。
審査方法 | 審査内容 |
---|---|
マネジメント層へのインタビュー | 業務内容や、Pマーク申請の理由、PMS構築において注力した点などのヒアリング |
現場における運用状況、実施状況の確認 | 記録書類の確認や、各部署の担当者へのヒアリング、実施状況のチェック |
5.指摘事項の改善とPマークの取得
書類審査と現地審査が終わったら、審査後にフィードバックされた指摘事項について改善を行います。具体的な対応策を記載した指摘改善文書を作成して、提出してください。提出期限は、指摘事項文書が発行されてから3か 月以内です。一度で指摘事項の改善が完了しなかった場合は、再度指摘があるため対応します。
指摘事項がなくなり、審査会で合格が出たら、Pマーク付与機関とプライバシーマーク付与契約を締結してPマークを取得します。
ただし、Pマークには更新があり、一度取得したら終わりではありません。取得後は2年ごとに行われる更新審査への対応が必要です。次回の審査に備えて体制の充実に努めつつ、運用を進めていきましょう。
Pマークの取得にかかる費用
Pマークの取得にかかる費用は、自社の事業規模、業種などによって決まります。Pマーク制度を運用する日本情報経済社会推進協会(JIPDEC)が公表している新規申請の審査費用は、下記の通りです。また、下記に加えて、現地審査に派遣される審査員の交通費・宿泊費や、コンサルティング会社に依頼した場合はその費用がかかります。
種別 | 小規模事業者 | 中規模事業者 | 大規模事業者 |
---|---|---|---|
申請料 | 5万2,382円 | 5万2,382円 | 5万2,382円 |
審査料 | 20万9,524円 | 47万1,429円 | 99万5,238円 |
付与登録料 | 5万2,382円 | 10万4,762円 | 20万9,524円 |
合計 | 31万4,288円 | 62万8,573円 | 125万7,144円 |
条件や流れを把握して、Pマークを取得しよう
個人情報の取り扱いに対する姿勢が問われる今、企業には個人情報のセキュリティ対策に関する方針の表明と実践が求められています。Pマークを取得すれば、個人情報保護体制のレベルの高さを証明することが可能です。取引先や顧客との信頼関係の構築、取引や入札の優位性の獲得などのためにも、できるだけ早くPマークを取得して、社内の体制を万全にしておきましょう。
しかし、Pマークの取得までには様々な手続きが必要で、体制の構築や書類の準備にかなりの時間と労力がかかります。特に、情報セキュリティ対策の構築と運用を手作業で行うと膨大な時間がかかるため、個人情報を効率的に管理できるIT資産管理ツールを導入してはいかがでしょうか。
インターコムが提供する情報漏洩対策・IT資産管理ツール「MaLion」シリーズでは、個人情報検出・管理システムと連携することで社内に散在している個人情報を検出し、検出した個人情報に対するアクセスを管理・制御できるため、PMSに求められている個人情報の特定やリスクへの対策に必要な機能が搭載されています。Pマーク取得を効率的に進めたい方は、ぜひご検討ください。