• Pマークは、個人情報を保護するPMSに関する規格
  • ISO27001とPマークは対象とする情報資産の範囲に違いがある
  • PマークはISO27001と比べるとBtoC事業を行っている組織が取得している傾向にある

昨今、個人情報流出のニュースなど年々、企業や組織における個人情報の取り扱い方が問われる時代になりました。このような時代だからこそ、個人情報の取り扱い方を厳重になっている企業も多く、Pマークの取得など意識し始めているかと思います。では、Pマーク(プライバシーマーク)を取得するには、何を理解し、どのように進めればよいのか悩んでいる人も多いのではないでしょうか?
企業や組織がPマークを取得する理由として、「社会的信用を得ること」が最も多い理由だと思います。Pマークを取得することで、従業員の個人情報に対する取り扱い方も向上し、会社全体で「コンプライアンス意識向上」など相乗効果も見込めることでしょう。
このページでは、Pマークをこれから学ぼうとする人向けに基本的な情報を抜粋してPマークを理解できる内容になっています。これからPマークを取得するにあたって何をどのように理解すればよいのか解説していきます。

そもそもPマークはISO規格と異なり、日本の事業者を対象とした日本独自の規格です。
そのため、取得したとしても日本国内で通用する規格ということになります。海外ではPマーク相互認証団体がある国であれば、Pマーク認証は有効です。
Pマークとは?
プライバシーマーク(Pマーク)とは、日本国内でのみ有効な個人情報保護マネジメントシステムのことです。
JISという日本産業規格によって要求事項が定められています。
個人情報に対する「漏えい」「紛失」「改ざん」などのリスクをマネジメントするための規格です。

目次

PMS(個人情報保護マネジメントシステム)とは

個人情報保護マネジメントシステム(PMS)とは、個人情報の「漏えい」「紛失」「滅失・毀損」「改ざん、正確性の未確保」「不正、不適正取得」「目的外利用・提供」「不正利用」「開示等の求めなどの拒否」を防ぐために管理・監督するためのシステムです。
個人情報保護法に基づいた、厳格な対策を導入することで、個人情報に対するリスクを排除することを目的としています。

PMSとISMSとの違い

情報セキュリティを守る仕組みとして「ISMS」があります。個人情報を守る仕組みである「PMS」と共有する部分があります。情報の取り扱いについての仕組み、従業員の意識向上など、第一印象は似たような仕組みだと捉えてしまいますが、保護対象である“情報”に大きな違いがあるのです。
PMSは『個人情報保護マネジメントシステム』の略称なので、保護対象である情報は“個人情報”になります。一方、ISMSは“情報資産”と呼ばれる資産の価値がある情報であり、事業者の財務情報や人事情報、技術情報はもちろん、個人情報も含まれます。

日本国外でグローバル展開をする企業の場合、PマークとISMS どちらが良いのでしょうか?
Pマークは日本特有の規格 であり、一部の国では相互認証 としてPマーク認証が有効となる場合がありますが、国際規格である ISO27001 の方が有利に動く場合があります。Pマークを取得する場合はこの知識も身に付けておいたほうが良いでしょう。
【ISO27001入門】規格の詳細から要求事項・取得のノウハウまで徹底解説

Pマーク取得の要求事項

Pマークを取得するには、要求事項を満たす必要があります。下記に記載しているものが全てではなく、事業者の規模や業態などによって、追加で実施しなければならないこともあるので注意が必要です。Pマーク自体はさまざまな事業者の規模や種類に適用できる内容であり、個人情報を守る為に規定しています。
Pマーク取得の要求事項
  1. マニュアル、個人情報管理規程、個人情報保護方針の作成
  2. 個人情報の特定
  3. 関連する法規制、その他要求事項の特定
  4. 個人情報に対するリスクアセスメント
  5. 個人情報を含む業務を委託している取引先の評価
  6. 全従業員に対する教育
  7. 内部監査
  8. マネジメントレビュー
※その他日常の運用(採用時の同意書取得、アクセスログ点検、来訪者記録など)
個人情報保護方針・個人情報保護目標
『個人情報保護方針』とは企業や組織がPMSを構築、運用する際に“個人情報の保護”についての対策です。企業によっては企業サイトで個人情報の対策を記載した「プライバシーポリシー」と同じ意味を保つ場合があります。厳密には「プライバシーポリシー」は自社が実施しているもので、『個人情報保護方針』はPマークの要求事項を満たして作成されるものとなります。
『個人情報保護目標』は企業や組織が個人情報保護に対して達成すべき目標のことです。Pマークを取得する場合は「JIS Q 15001」の要求事項に設定している項目となるので、目標を設定し目標達成に向けての取り組みが必要です。
Pマークの個人情報保護方針・個人情報保護目標とは

Pマークの改定

プライバシーマーク(JISQ15001:2017)では、要配慮個人情報や特定個人情報といったものへの対応も要求されています。
具体的には個人の病歴や本籍地などを要配慮個人情報とし、そもそも取得しないように求められています。また、マイナンバーを特定個人情報とし、管理責任者の設置も求められています。
これらは、個人情報保護法をより厳格に遵守するために規定されています。
Pマークと8つの原則(OECD)
  • 収集制限の原則
  • データ内容の原則
  • 目的明確化の原則
  • 利用制限の原則
  • 安全保護の原則
  • 公開の原則
  • 個人参加の原則
  • 責任の原則
プライバシーマーク(JISQ15001:2017)では、要配慮個人情報や特定個人情報といったものへの対応も要求されています。
具体的には個人の病歴や本籍地などを要配慮個人情報とし、そもそも取得しないように求められています。また、マイナンバーを特定個人情報とし、管理責任者の設置も求められています。
これらは、個人情報保護法をより厳格に遵守するために規定されています。
Pマークと8つの原則(OECD)

どのような目的で取得されるのか

取引先からの要求
Pマークは日本国内で評価される規格です。信用の証になるので、取引先からPマークが求められることがあります。
公共事業の入札加点に
公共工事の中にはPマークを取得していることが参加条件となることがあります。そうでなくても、とりわけ建設関係の企業は入札加点の対象となることもあります。
業務効率化
Pマークを取得するにあたって、作業工程の見える化を行います。その過程でこれまで見えなかった業務の無駄などを削減することができるため、業務効率の見直しを行うことができるのです。
社内の意識改革
Pマークを取得する過程で組織図や業務の割り振りを整えていきます。こうすることで、社員各々の役割や目指すものが明確になり、一人ひとりの意識が変わっていきます。

取引や契約を優位にする・社内の改善が主な理由

プライバシーマークを取得する目的は企業によってさまざまです。
主な理由としては、取引先からの信頼獲得、公共事業の入札加点、業務の効率化、社内の意識改革などがあります。
取引や契約を優位にするためや社内整備などに重きを置いていると考えられます。

Pマークはどんな企業が取得しているのか?
プライバシーマーク(Pマーク)は主にBtoC事業を行っている企業が取得しています。
ネット通販など、不特定多数のユーザーと取引するような業態の場合、プライバシーマークを取得することで利用者に安心感を与えることができます。

Pマーク取得の流れについて

Pマークの内容を把握したら次はISO取得の流れについて理解してみましょう。
最初はどこから着手するのか、全体像を把握することで取得に向けた動き方が理解できます。

取得のスケジュール例

ISO認証取得までの基本的な流れは各規格で同様です。
ISO取得のための準備を行い、ISO規格の要求事項に沿ったマネジメントシステム を構築し、実際に運用をします。その上で審査を受け、通過することでISO規格の認証取得となります。詳しい詳細はこちらで確認できます。

コラム > Pマーク(プライバシーマーク)コラム一覧 > Pマーク(プライバシーマーク)専門コンテンツ

Pマーク認証を取得する方法と流れを知ろう

これからPマーク(プライバシーマーク)の認証取得を考える企業にとって、どのような流れで認証取得に向けて動くのか気になるポイントではないでしょうか? この記事では、現役のコンサルタント監修のもと、Pマ…

ISOプロでは月額4.4万円(税込)から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4.4万円(税込)からご利用いただけます。