【完全版】Pマークの取得方法・申請の流れをわかりやすく解説
- Pマークは個人情報保護マネジメント(PMS)に関する日本国内で有効な規格
- 取得するためには一般財団法人日本情報経済社会推進協会(JIPDEC)やその指定機関による審査を受けることが必要
情報セキュリティの必要性が高まっている現代では、企業のセキュリティ体制がどのようになっているかを消費者や取引先に示すことが、信頼関係を高めるうえで必要な要素となっています。
そこで、ISMSやPマーク(プライバシーマーク)などの情報セキュリティに関する規格の取得を目指す企業が増えています。
この記事では、プライバシーマークの概要や取得方法、取得するメリットなどを解説しています。プライバシーマークの取得を検討している企業の方は、ぜひ参考にしてください。
目次
Pマーク(プライバシーマーク)を取得する方法
Pマーク(プライバシーマーク)とは、「個人情報保護マネジメントシステム(PMS:Personal Information Protection Management Systems)に関する第三者認証
」のことです。
第三者認証であるため、Pマークを取得するには組織外部の第三者機関による審査を受けることが必要です。この審査は正式には「プライバシーマーク付与適格性審査」と呼ばれており、審査基準として定められている申請規格や要求事項を満たしているかどうかが確認されます。
外部であればどの機関でも良いわけではなく、Pマークを運営する一般財団法人日本情報経済社会推進協会(JIPDEC)によって指定された民間事業者団体から選ぶ必要があります。
審査に通過することでPマークが付与され、店頭や説明書、ホームページなどに表示可能です。
Pマーク(プライバシーマーク)取得の対象となる事業主
ここでは、Pマークを取得できる対象事業主や対象外となる事業主の条件について解説します。
取得対象となる事業主の条件
Pマークの申請資格は、「日本国内に活動拠点がある事業者」かつ「2名以上の従業員が在籍している事業者」です。また付与は法人単位であるため(医療法人・学校法人などには例外あり)、企業グループでの申請はできません。
さらに以下の3つの要件を満たす必要があります。つまりPマークを取得するには個人情報の保護における仕組みを構築・運用している組織のみとなります。
- JIS Q 15001「個人情報保護マネジメントシステム-要求事項」に基づいた個人情報保護マネジメントシステム(PMS)を定めていること
- PMSに基づき実施可能な体制が整備されて個人情報の適切な取扱いが行われていること
- 「プライバシーマーク制度における欠格事項及び判断基準(PMK500)」に定める欠格事項のいずれかに該当しない事業者であること
取得できない事業主の条件
Pマークには取得資格の他に、取得の対象外となる欠格事由が定められています。Pマークを申請する前に、以下の欠格事由について該当しないかどうかを確認しましょう。
- 外国会社(日本の法律に基づいて営業所として登記している場合を除く)
- 役員のうち、次のいずれかに該当する者が在籍している事業者
- 「個人情報の保護に関する法律」「行政手続における特定の個人を識別するための番号の利用等に関する法律」の規定により刑に処せられ、その執行を終わり、または執行を受けることがなくなった日から2年を経過しない者
- 前号に規定する法律の規定以外の法令の規定に違反し、禁錮以上の刑に処せられ、その執行を終わり、または執行を受けることがなくなった日から2年を経過しない者
- 暴力団、暴力団員、暴力団員でなくなった時から5年を経過しない者
- 暴力団準構成員、暴力団関係企業、総会屋など、社会運動等標ぼうゴロもしくは特殊知能暴力集団またはこれらの構成員、その他これらに準ずる者
- 付与機関が指定する業種や業態、サービスなど
- 「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」に反している場合
- 「風俗営業等の規制及び業務の適正化等に関する法律」第2条第5項に規定する「性風俗関連特殊営業」を営む事業者
- この他、プライバシーマーク制度に対する一般の信頼を毀損すると認めるに足る理由がある事業活動を行う事業主
取得が多い業種
Pマークの取得が多い業種は、サービス業や製造業、卸売・小売業、飲食店、運輸・通信業などです。これらの業種では、自社の社員や一般の消費者の個人情報を大量に取り扱うことが多くあるため、Pマークを取得する傾向にあります。
こうした実情から、一般財団法人日本情報経済社会推進協会により2024年10月21日に公表されている、業種別のPマーク取得企業数は以下のようになっています。
- サービス業:13,617社
- 製造業:1,405社
- 卸売・小売・飲食料業:990社
- 運輸・通信業:764件
Pマークを取得することで、個人情報保護に関する体制の質を証明できるため、自社の「個人情報セキュリティ体制」を外部にアピールできます。
Pマーク(プライバシーマーク)を取得する流れ
ここでは、Pマークを取得する流れを解説します。
1.取得計画の作成
まず、Pマークを取得するための計画を立ててください。自社で取るべき個人情報保護における方針や目標を立て、人材や資材、費用などの社内のリソースをどれくらい確保して取り組むかを決定します。
2.個人情報保護マネジメントシステム(PMS)の構築・運用
次に、Pマークの肝となる個人情報保護マネジメントシステムを構築・運用していきます。Pマークを取得するためには、「JIS Q 15001個人情報保護マネジメントシステム」の要求事項に適合しなければなりません。
Pマーク取得の要求事項は以下のとおりです。
- マニュアル、個人情報管理規程、個人情報保護方針の作成
- 個人情報の特定
- 関連する法規制、その他要求事項の特定
- 個人情報に対するリスクアセスメント
- 個人情報を含む業務を委託している取引先の評価
- 全従業員に対する教育
- 内部監査
- マネジメントレビュー
※その他日常の運用(採用時の同意書取得、アクセスログ点検、来訪者記録など)
個人情報保護マネジメントシステムの運用は、PDCAサイクルを回して1回以上記録することが必要です。
3.申請
申請は、JIPDECのホームページにある申請書類をすべて用意し、提出することが必要です。のちほど、必要な申請書類や任意で提出する書類についてまとめていますので、参考にしてください。
4.審査(文書審査・現地審査)
第三者機関による審査は、「文書審査→現地審査」の順番で行います。
文書審査
文書審査では、個人情報保護マネジメントシステム文書が、要求事項に適合しているかを審査します。主に以下の2つの観点から審査が行われます。
- 内部規程のプライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針への適合状況
- すべての従業者が内部規程を遵守するための、具体的な手順、手段等の策定状況
現地審査
文書審査を通過したら、審査員が組織を訪問し、実際に個人情報保護マネジメントシステムが有効に運用されているのかについて確認します。
現地審査は、主に以下の流れで実施されます。
- トップインタビュー
- 個人情報保護マネジメントシステム運用状況の確認
- 現場での実施状況の確認
- 総括
審査によって、個人情報保護マネジメントシステムの運用に改善が必要と判断された場合には、その説明が行われます。基本的には6か月以内の改善が必要となります。
6.Pマークの取得
問題がなければ、Pマークが付与されます。審査機関から、決定結果の通知が行われます。通知を受け取ったら、契約に関する手続きを行う必要があるため、忘れずに対応してください。
詳細は、JIPDECのホームページ「プライバシーマーク制度:付与適格決定後の手続き」をご覧ください。
Pマーク(プライバシーマーク)の申請書類一覧
ここでは、Pマーク(プライバシーマーク)の申請書類一覧を解説します。
必須書類
以下に、Pマーク申請の必須書類一覧をまとめました。
- 【申請様式0新規】プライバシーマーク付与適格性審査申請チェック表
- 【申請様式1新規】プライバシーマーク付与適格性審査申請書①及び②(代表者印の捺印必須)※コピー不可
- 【申請様式2新規】個人情報保護体制
- 【申請様式3新規】事業者概要
- 【申請様式4新規】個人情報を取扱う業務の概要
- 【申請様式5新規】すべての事業所の所在地及び業務内容
- 【申請様式6新規】個人情報保護マネジメントシステム文書の一覧
- 【申請様式7新規】教育実施サマリー(全ての従業者に実施した教育実施状況)
- 【申請様式8新規】内部監査・マネジメントレビュー実施サマリー
- 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を証す公的文書の原本(申請の日前3か月以内の発行文書。コピー不可)
- 定款
- 最新の個人情報保護マネジメントシステム文書一式(【申請様式6新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本)
- 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)
- 上記13に対応する、いわゆる「リスク分析結果」
郵送の場合には、11~14はコピーを提出します。オンラインで提出する場合には、1~4はポータルサイト上で入力します。
任意で必要な書類
以下の書類を事前に提出していると、審査が効率・効果的なものとなり、所要時間の短縮につながる場合があります。
- 教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」などの運用記録や教材、「理解度確認テスト」などの雛形)
- 内部監査を実施したことが確認可能な記録一式(「内部監査計画書」、「内部監査実施報告書」、「内部監査チェックリスト」など)
- マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式(「マネジメントレビュー議事録」)
- 会社パンフレットなど
教育や内部監査の記録は、すべてを提出する必要はありません。それぞれ数ページ分の提出が求められています。
Pマーク(プライバシーマーク)取得にかかる費用と期間
Pマークの取得にかかる費用と期間について解説します。Pマークを取得する組織の規模や適用範囲、コンサルティング会社を利用するかどうかによって大きく変動するため、目安として参考にしてください。
Pマーク取得にかかる費用相場
Pマークの取得には、事業規模に応じて申請料・審査料・付与登録料がかかります。ただし、変更になる可能性もあるため、最新情報をJIPDECのホームページから確認することをおすすめします。
小規模 | 中規模 | 大規模 | |
---|---|---|---|
申請料 | 52,382円 | ||
審査料 | 209,524円 | 471,429円 | 995,238円 |
付与登録料 | 52,382円 | 104,762円 | 209,524円 |
合計 | 314,288円 | 628,573円 | 1,257,144円 |
引用:プライバシーマーク付与に係る料金表(2019年10月1日適用)
またコンサルティング会社に依頼すると、コンサルタント料金が別途かかります。ただし、コンサルタントに依頼することで、作業工数や時間を低減できるため、従業員が本業に従事する時間を確保できるでしょう。
そのため、目に見えにくい人件費を低減できることから、結果としてコンサルティング会社に依頼した方がコストを安く抑えられる可能性があります。
Pマーク取得にかかる期間
Pマーク取得にかかる期間の目安は、従業員50名で自主取得を目指した場合、数カ月ほどで取得できるでしょう。ただし、場合によっては数年かかることもあります。
信頼できるコンサルティング会社を利用すると、取得にかかる期間の短縮が見込めます。
まとめ
Pマークを取得することで、個人情報保護における自社の体制を整えられます。また、第三者認証であることから、対外的に自社の取り組みを証明できるでしょう。
そのため、顧客や取引先からの信頼獲得や取引の拡大につながる可能性があります。長期的に取り組むことが必要となるため、準備を整えてから臨みましょう。
Pマークにより自社の企業価値を高められるため、取得を検討してみてはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい