Pマークの取得条件とは?対象企業や取得できない事由・必要な設備
プライバシーマーク(Pマーク)は、「個人情報を適切に管理している」と評価された事業者だけが使用できる認証制度です。取引先や消費者からの信頼向上につながる一方で、「取得条件が複雑でよく分からない」「自社でも取得できるのか判断できない」と悩む担当者は少なくありません。
この記事では、Pマークの主な取得条件、申請できない事業者の条件、最低限必要とされる設備、審査の流れなどを解説します。Pマーク取得に向けた具体的なステップが明確になれば、自社に適切な計画を立てられるでしょう。
目次
プライバシーマーク(Pマーク)の取得条件とは
プライバシーマーク(Pマーク)を取得するためには、企業として一定の条件を満たしている必要があります。ここでは、取得の対象となる企業に求められる基本要件として、国内拠点の有無や人員体制、個人情報保護マネジメントシステム(PMS)の構築状況について分かりやすく解説します。
国内に活動拠点を持っている
Pマークを申請するためには、まず事業者が日本国内に活動拠点を持っていることが条件となります。これは、Pマーク制度が日本の法制度を基盤とした国内向けの規格であり、審査や運用も国内基準に沿って行われるためです。
したがって、日本に拠点を持たない外国企業は申請の対象とはならず、国内で個人情報保護を適切に運用できる体制を整えていることが前提となります。
正社員が2名以上いる
Pマークの申請には、社会保険・労働保険に加入した正社員または登記上の役員が2名以上在籍していることが必須条件です。これは、Pマーク取得に欠かせない個人情報保護マネジメントシステム(PMS)を運用する上で、個人情報保護管理者と個人情報保護監査責任者の2つの役割を、別々の従業者が担当しなければならないためです。
両者を同一人物が兼任することは認められず、さらに監査責任者は代表者が務めることもできません。そのため、適切な体制を整えるためには、最低でも2名の正社員などが必要になります。
出典:プライバシーマーク制度「代表者は、個人情報保護監査責任者になれますか。」(外部リンク))
個人情報保護マネジメントシステム(PMS)が構築されている
Pマークを取得するためには、事前に個人情報保護マネジメントシステム(PMS)を構築し、運用していることが求められます。PMSは、個人情報を安全に取り扱うためのルールや手順を体系化した仕組みであり、Pマーク付与事業者はPMSの運用を通じて高い保護水準を維持します。
したがって、取得申請時点でPMSが整備されていなければ審査に進むことができず、日常業務の中で継続的に改善しながら運用していることが大切です。
Pマークの取得ができない事業者の条件
Pマークは一定の条件を満たした事業者のみが申請できますが、反対に、満たしていない場合は申請が受理されません。ここでは、どのような事業者が取得の対象外となるのかを解説します。
Pマークの欠格事由に該当している
Pマークは信頼性の高い事業者にのみ付与されるため、欠格事由に該当する場合は申請そのものが受け付けられません。その根拠となるのが「プライバシーマーク付与に関する規約(JIP-PMK500)」で、ここに申請不可となる具体的な条件が定められています。代表的なものとして、国内に拠点を持たない外国会社(登記済み営業所を除く)、役員に個人情報保護法や番号法違反などで刑を受けて2年以内の者が含まれている場合、暴力団関係者が含まれる場合などが挙げられます。
さらに、インターネット異性紹介事業に関する法律に違反している場合や、事業が性風俗関連特殊営業に該当する場合も対象外です。また、制度の信頼性を損なう活動を行っていると判断される場合も欠格事由に該当します。
申請不可期間内に再申請している
Pマークは、申請ができない期間(申請不可期間)が明確に定められています。これは、「プライバシーマーク付与適格性審査の実施基準(JIP-PMK220)」に基づき、過去の契約状況や審査における問題点に応じて設定されています。たとえば、付与契約の解除や取消を受けた事業者は1年間、申請内容に虚偽があり審査が打ち切られた場合も1年間は申請ができません。
また、その他の理由で審査が打ち切られた場合は3か月、付与の適格性なしと判断された場合も3か月の申請不可期間となります。個人情報の漏えいなどの重大な事故により付与が一時停止された事業者は、その停止期間中は申請できません。
Pマークの取得に最低限必要な設備
Pマーク認証取得の際には、事業規模や業種に関わらず、最低限備えるべき設備があります。審査では事務所環境・機器の状態・個人情報管理体制・情報セキュリティ対策などを細かく確認されるため、以下の設備を整えておくことで、審査をスムーズに進められるでしょう。
鍵付き書類ロッカー
顧客情報や履歴書、給与明細など、紙媒体での個人情報を安全に保管するための鍵付きロッカーは必須です。扉がガラス製で内部が見えるタイプは審査で指摘される恐れがあるため、不透明のものを準備しておきましょう。
シュレッダー
不要になった書類を適切に処分するために必要です。個人情報が含まれた紙をそのまま廃棄すると漏えいリスクがあるため、着実に破棄できる環境が求められます。
パソコン用セキュリティソフト
業務用パソコンへのウイルス感染は個人情報漏えいにつながるため、セキュリティソフトの導入は必須です。インストールだけでなく、最新版に更新されているかどうかも審査で確認される場合があるため、常にアップデートしておきましょう。
TLS/SSL認証
お問い合わせフォームなど、Web上で個人情報を入力する仕組みがある場合、TLS/SSLによる暗号化が必要です。個人情報を扱うページがあるかどうかは審査で確認される場合があり、TLS/SSL認証に対応していない場合は指摘の対象となります。
Pマークを取得するまでの流れ
Pマークの取得を目指す際は、全体の流れをあらかじめ理解することで、どの段階で何をすべきか把握しやすくなります。ここでは、Pマーク取得までのステップを順に紹介します。
| 1 | まず行うべきは、Pマーク取得に向けた基本方針の決定と、個人情報保護マネジメントシステム(PMS)の構築です。組織として個人情報をどのように扱うか方針を明確にし、個人情報の洗い出し・リスク分析・対応策の策定を進めます。その内容を踏まえ、個人情報保護方針や安全管理規程など、PMS文書を整備します。 |
|---|---|
| 2 | 整備したPMSを実際の業務に落とし込み、一定期間運用します。従業員への情報セキュリティ教育や委託先の評価、リスク分析結果の見直しなどを行い、運用記録を蓄積します。その後、内部監査を実施し、PMSが規程通りに運用されているか確認します。問題が見つかった場合は、この段階で改善します。 |
| 3 | PMSの構築・運用が完了したら、審査機関へ申請します。申請書や登記事項証明書、PMS文書、教育記録、内部監査記録など、多数の書類の提出が必要です。任意提出書類も揃えると審査がスムーズになる場合があります。 |
| 4 | 提出された書類は審査機関により詳細にチェックされます。PMS文書の整合性は取れているか、運用記録が実態に即しているかが確認され、不備があれば修正が求められます。 |
| 5 | 書類審査を通過すると、審査員が実際に事業所を訪れ、現地審査を行います。代表者や責任者へのヒアリング、PMS運用状況の確認、安全管理措置のチェックなどが行われます。指摘事項があれば改善し、期限内に報告書を提出します。 |
| 6 | 書類審査と現地審査を通過すると、付与適格の判断が下されます。付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)と契約を結び、登録料を支払うことでPマークを使用できます。取得後は、日常業務でPMSを継続的に運用し、2年ごとの更新審査に備えることが求められます。 |
まとめ
プライバシーマーク(Pマーク)は、企業が個人情報を適切に扱う体制を整えていることを示すための認証です。取得条件を満たすためには、JIS Q 15001に基づくPMSの構築と運用記録の整備、内部監査の実施など、段階的で精度の高い取り組みが求められます。
Pマーク取得は、顧客からの信頼向上や取引機会の拡大にもつながる大きなメリットがあります。自社の個人情報保護体制を強化したい場合は、外部の専門家を活用するのも1つの方法です。
Pマーク取得を検討している企業の方は、Pマーク支援の専門家集団「ISOプロ」へぜひご相談ください。豊富な支援実績と独自ノウハウをもとに、御社に最適な取得プロセスをサポートいたします。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい