プライバシーマーク(Pマーク)の更新とは?手続きの流れと必要準備を解説
個人情報保護に特化した情報セキュリティマネジメントシステム規格であるプライバシーマーク(Pマーク)。日本では最もメジャーなマネジメントシステム規格であるため、認証取得を目指す企業も多いかもしれません。しかし、マネジメントシステム認証というものは、一度取得したからといって、終わりではありません。マネジメントシステムが有効な状態にあるかということを、定期的に審査されることになるためです。
もしマネジメントシステムが有効でなかったり、規格に適合しない状態で運用されていたりすると、プライバシーマークの認証を更新できず、認証剥奪ということになってしまいます。
当記事では、プライバシーマークの更新審査時に必要な手続きややるべきこと、また更新に必要な費用、更新するメリットなどを解説します。
目次
プライバシーマーク(Pマーク)の更新とは?
プライバシーマーク(Pマーク)は一度認証を取得すると2年間は有効です。つまり、プライバシーマーク認証を維持し続ける場合は、2年に一度は更新審査を行うことが必要です。 また、プライバシーマークの更新審査は公式サイトでも記載されている通り、以下のようなレギュレーションがあります。
プライバシーマーク付与契約で定められているとおり、プライバシーマーク付与の有効期間満了の8か月前の日から4か月前の日までに、更新申請を行ってください。
引用日:2026/3/17
たとえば、2026年1月1日に認証を取得したとすると、2027年12月31日まではプライバシーマーク認証は有効ですが、認証の維持を行う場合には2027年の9月までには更新申請を行う必要があります。しかし、9月に申請すれば良いというわけではなく、審査の結果規格不適合とみなされる可能性も考えておく必要があります。
規格不適合となってしまうと、是正措置を行う必要が出てきますが、是正措置を行っている間に有効期限をすぎてしまったなんてことも考えられます。プライバシーマークの更新申請は有効期限の8か月前から申請が可能であるため、なるべく早めの更新申請を行う必要があるでしょう。
プライバシーマーク更新の流れと必要な手続き
プライバシーマーク更新には、書類提出から審査、改善対応まで一連の手続きが必要です。ここでは、申請準備から更新完了までの流れを手順ごとに解説します。
申請に必要な書類を提出する
更新時は、申請に必要な書類を期限内に提出する必要があります。更新申請書の提出期間は、有効期限の8か月前から4か月前までで、期間を外れると原則受け付けてもらえません。申請時には、更新申請書類一式に加えて、2年分の運用記録を提出します。2年目の運用が完了していない場合でも、「実施予定」として提出できる書類があります。
あわせて、代表者、所在地、従業員数などに変更がないかを確認し、必要に応じて変更報告書や登記事項証明書、定款なども準備しましょう。法人番号を有し、前回契約後に登記事項や定款に変更がない場合は、一部書類を省略できることもあります。提出書類や様式は審査機関の最新情報に基づいて確認し、電子データでの提出方法も含めて早めにそろえておきましょう。
形式審査・文書審査を受ける
申請書類を提出すると、まず形式審査で書類の不備や不足がないか、あわせて業種や規模の確認が行われます。不備があれば修正や追加提出を求められ、受理された場合はその旨が通知されます。
続く文書審査では、提出した個人情報保護マネジメントシステム(PMS)文書が、プライバシーマークの構築・運用指針に適合しているかを確認します。審査では、内部規程が基準に合っているかだけでなく、従業者が規程を守るための具体的な手順や運用方法が定められているかも見られます。
審査結果は書面やメールで共有され、不備がある項目は現地審査までに改善が求められます。現地確認となった項目については、後の審査で説明できるよう関連資料や運用状況を整理しておきましょう。
現地審査・ヒアリングを受ける
現地審査・ヒアリングでは、文書審査後に審査員が事業者を訪問し、個人情報保護マネジメントシステム(PMS)が文書どおりに整備・運用されているかを確認します。審査では、代表者へのトップインタビューに加え、個人情報保護管理者や監査責任者などへのヒアリングが行われ、申請内容と実際の運用にずれがないかを見ていきます。
あわせて、執務室や作業場で安全管理措置の実施状況も確認されます。文書審査で指摘を受けた項目がある場合は、その改善内容も現地で確認されるため、関連資料や運用記録を事前に整理しておくことが大切です。審査後に指摘事項が示された場合は、定められた期限内に改善報告書と根拠資料を提出する必要があります。審査料や現地審査に伴う費用は、審査後の案内に従って速やかに対応しましょう。
改善事項の対応と再提出を行う
現地審査の結果、改善指示事項が出た場合は、その内容に沿って修正を行い、改善報告書と必要な資料を再提出します。指摘内容には、保有個人情報台帳の記載漏れや委託先管理の確認不足などが含まれることがあります。初回の改善対応は、通常、現地審査後3か月以内に行いますが、初回提出で承認に至らなかった場合は再提出となります。
2回目以降の改善期間は1か月程度に短くなることが多いため、指摘内容を正確に読み取り、優先順位を付けて対応を進めることが大切です。改善では、単に書類を直すだけでなく、運用面も含めて見直し、再発防止の観点から整理しておく必要があります。指摘事項文書の内容が分かりにくい場合は、審査基準と照らし合わせながら、何をどこまで直すべきかを明確にしてから着手すると進めやすくなります。
プライバシーマークが更新される
提出した改善結果が審査機関に承認されると、審査員による審査会での協議を経て、プライバシーマークが正式に更新されます。更新が完了すると、新しい付与番号が記載された付与決定通知書やデータが送付され、更新回数を示す番号も新しいものに切り替わります。企業側は、その内容を確認した上で、ウェブサイトや会社案内、掲示物などに表示しているプライバシーマークの表記を順次更新します。
改善対応の承認から表示内容の差し替えまで終えることで、一連の更新手続きが完了します。更新後も次回の申請に向けて、日常の運用記録や教育、監査の記録を継続して残していくことが大切です。
プライバシーマーク更新前にやるべき準備
プライバシーマークの更新申請を行っただけでは、更新手続きが完了したことにはなりません。申請後は、自社の個人情報保護マネジメントシステムが、プライバシーマークの要求事項に適合しているかどうかについて審査を受けることになります。つまり、更新申請の時点で、すでに審査を受けられる状態まで整えておく必要があります。
そのため、更新直前になってから準備を始めるのではなく、少なくとも有効期限の10か月前を目安に、必要な確認や見直しを進めておくことが望ましいでしょう。もっとも、日頃から適切な運用が継続できていれば、更新前に大きな修正が必要にならない場合もあります。
ここでは、更新審査を受ける前に準備しておきたい事項について紹介します。
個人情報台帳の更新
自社がどのような個人情報を取得しているか、あるいは、どのような個人情報を取得するのかをまとめたリストのことを個人情報台帳と呼びます。台帳は、少なくとも1年に1回は更新する必要があります。
個人情報台帳が適切に運用されているかどうかは、更新審査でも確認されるポイントです。そのため、内容が実態に合っているかを見直し、しっかりと更新が行われているかどうかを確認しておきましょう。
リスク分析の見直し
個人情報台帳とあわせて、リスク分析も1年に1回の更新が必要です。取得する個人情報が増えたり減ったりした場合は、当然ながら想定されるリスクも変動します。そのため、個人情報台帳の更新とあわせて、リスク分析についても同時に見直しを行うようにしておきましょう。
法令・規程の確認
ここ数年で、個人情報保護法などの情報関連法案に改正がなかったかどうかについても確認しておきましょう。法令の改正があった場合は、その内容を踏まえた上で、自社が適切に遵守できているかどうかを確認する必要があります。
委託先評価の更新
委託先の評価についても、1年に1回は更新を行う必要があります。実際の現場では、確認や見直しに比較的時間がかかることもあるため、できるだけ早めに取り掛かっておくことが望ましいでしょう。
教育実施と記録
プライバシーマークでは、従業員に対する教育を年に1回以上実施することが求められます。あわせて、教育を行ったことを証明できるように記録を残しておく必要もありますので、こちらも忘れずに実施しておきましょう。
内部監査の実施
認証取得時にも内部監査を行うことになりますが、更新審査時にも内部監査は必要です。内部監査員が自社内にいる場合は対応しやすいものの、適切な人材がいない場合は、外部のコンサルタントなどに依頼することもあるでしょう。その場合は、社内稟議を通す必要が生じることも考えられます。そのため、内部監査についても、できるだけ早めに準備を進めておいたほうがよいでしょう。
マネジメントレビュー
内部監査の結果をもとに、マネジメントレビューを行いましょう。マネジメントレビューでは、その結果を踏まえてISMSの方針や目標について見直しや整備を行い、PDCAサイクルを回していくことが求められます。
プライバシーマークの更新にかかる費用の目安
JIPDEC公表の料金では、プライバシーマーク更新時の費用は「申請料+審査料+付与登録料」の合計で決まり、事業者規模によって異なります。さらに、2026年10月1日から料金改定が予定されており、申請日が2026年9月30日以前か、10月1日以降かで適用料金が変わります。
| 事業者規模 | 現行料金 | 2026年10月1日以降の新料金 |
|---|---|---|
| 小規模 | 230,478円 | 244,200円 |
| 中規模 | 471,430円 | 518,100円 |
| 大規模 | 942,858円 | 1,037,300円 |
| 再現地審査料 | 現行料金 | 2026年10月1日以降の新料金 |
| 基本料金 | 52,382円 | 57,200円 |
| 現行料金(更新時・税込) | 20,952円 | 23,100円 |
※税込価格
プライバシーマーク制度「費用」/https://privacymark.jp/p-application/cost/index.html
プライバシーマーク制度「再現地審査の調査費用(2019年10月1日適用)」https://privacymark.jp/p-application/cost/reexamination.html
プライバシーマーク制度「料金改定のお知らせ(2026年10月より)」/https://privacymark.jp/news/2025/system/1020.html
2026年10月1日以降に申請した場合は、申請料・審査料・付与登録料・再現地審査料のすべてに新料金が適用されます。一方、2026年9月30日以前の申請であれば現行料金が適用されます。更新費用を見積もる際は、事業者規模だけでなく、申請日が改定日前か後かもあわせて確認しておくことが重要です。
プライバシーマークを更新しない場合の手続きは?
プライバシーマークを更新しない場合でも、有効期間満了日までは使用できます。ただし、更新を辞退する場合は手続きが必要であり、直近の審査を受けた審査機関へ問い合わせる必要があります。対応を後回しにすると、社内外の表示や運用に混乱が生じやすいため、満了前に整理しておくことが大切です。
- 直近の審査機関へ連絡する
更新辞退の詳細な手続きや様式は審査機関ごとに案内されるため、まずは直近の審査機関へ確認します。 - 辞退届を提出する
更新辞退を行う場合は、辞退届の提出が必要です。必要書類や提出方法は審査機関の指示に従います。 - 有効期間満了日を確認する
プライバシーマークは有効期間満了日までは使用できますが、満了後は使えません。切替時期を社内で共有しておく必要があります。 - Webサイトや印刷物の表示を外す
満了後はロゴや登録表示を使えないため、Webサイト、会社案内、名刺、提案書などの表記を見直します。これは制度上の誤認防止にもつながります。
プライバシーマークを更新するメリット
プライバシーマークを更新するメリットは、個人情報を適切に管理している事業者であることを継続して示せる点にあります。更新を続けることで、取引先や顧客に安心感を与えやすくなり、商談や委託先選定の場面でも信頼につながります。
また、入札や取引条件としてプライバシーマークの有無が重視される場合には、事業機会を維持しやすくなることも利点です。更新に向けて教育、監査、見直しを継続することで、社内の個人情報保護意識や管理体制を保ちやすくなります。単に資格を維持するだけでなく、対外的な信用の維持と、社内運用の改善を両立しやすい点が大きなメリットです。
まとめ
プライバシーマークの更新は、有効期限の8か月前から4か月前までに申請し、形式審査・文書審査・現地審査・改善対応を経て完了します。更新を円滑に進めるには、個人情報台帳やリスク分析の見直し、委託先評価、内部監査など、日頃からの継続的な運用が重要です。まずは有効期限と申請期間を確認し、早めに準備を始めることで、審査での指摘を最小限に抑えやすくなります。
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。また、マニュアル作成など御社に合わせたムダのない運用を心がけており、すでに認証を取得しているお客様においてもご提案しております。サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい