【Pマーク入門】規格の詳細から要求事項・取得のノウハウまで徹底解説
Pマーク(プライバシーマーク)とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が事業者などに対して、個人情報の管理を適切に取り扱える体制ができているのかを評価する認定制度です。
Pマークは日本産業規格のJIS Q 15001の要求事項 をベースとしており、JIS Q 15001の要求事項をクリアできる体制であれば、申請次第でPマークの 認証 を受けることができます。つまり、JIS Q 15001はPマークを認証する際の基準になる存在なのです。
目次
PMS(個人情報保護マネジメントシステム)とは
PMSとは個人情報保護マネジメントシステム (Personal information protection Management Systems)の略称です。個人情報は企業が厳重に取り扱わないといけないお客様の情報であり、外部へ流出してしまうとお客様に迷惑をかけることはもちろん、会社に対する社会的な信用も失ってしまいます。このような自体を防ぐためにPMSの仕組みを導入する必要が出てくるのです。PMSを導入することで、会社の情報セキュリティレベルの向上や従業員の情報セキュリティへの認識が向上し、個人情報流出のリスクを低減していくことができます。
では、PMSはどのように動かしていくのでしょうか?PMSは、個人情報を保護するための組織の仕組みのことで、管理体制を継続的に改善していきます。これは、PDCAサイクルを動かすもので、「計画(Plan)」、「実施(Do)」、「評価(Check)」、「改善(Act)」をサイクルで回すことで、継続的な改善をしていきます。例えば、従業員の情報セキュリティへの意識を高める勉強会もPMSと言えます。
ISMSとの違い
情報セキュリティを守る仕組みとして「ISMS」があります。個人情報を守る仕組みである「PMS」と共有する部分があります。情報の取り扱いについての仕組み、従業員の意識向上など、第一印象は似たような仕組みだと捉えてしまいますが、保護対象である“情報”に大きな違いがあるのです。
PMSは『個人情報保護マネジメントシステム』の略称なので、保護対象である情報は“個人情報”になります。一方、ISMSは“情報資産”と呼ばれる資産の価値がある情報であり、事業者の財務情報や人事情報、技術情報はもちろん、個人情報も含まれます。
Pマーク取得の要求事項
Pマークを取得するには、要求事項を満たす必要があります。下記に記載しているものが全てではなく、事業者の規模や業態などによって、追加で実施しなければならないこともあるので注意が必要です。Pマーク自体はさまざまな事業者の規模や種類に適用できる内容であり、個人情報を守る為に規定しています。
- マニュアル、個人情報管理規程、個人情報保護方針の作成
- 個人情報の特定
- 関連する法規制、その他要求事項の特定
- 個人情報に対するリスクアセスメント
- 個人情報を含む業務を委託している取引先の評価
- 全従業員に対する教育
- 内部監査
- マネジメントレビュー
Pマークと8つの原則(OECD)
Pマークには8つの原則があります。
- 収集制限の原則
- データ内容の原則
- 目的明確化の原則
- 利用制限の原則
- 安全保護の原則
- 公開の原則
- 個人参加の原則
- 責任の原則
これは、経済協力開発機構(OECD)と呼ばれる国際機関のガイドラインによって成り立っているもので、世界各国の個人情報保護やプライバシー保護に関する法律の基本原則を取り入れています。
Pマーク取得するまでの流れ
-
- PMS構築
-
- 運用
-
- 申請
-
- 審査
-
- 付与適格決定・契約締結
-
- マーク使用開始
- PMS構築
- 社内で個人情報保護のマネジメントシステム(PMS)を構築します。個人情報をどのように管理し、どのように運営するのかを決めるのです。
- 運用
- PMS構築を実際に運用します。
運用の際に発見した課題などは修正していきます。
- 申請
- PMS構築を運用して問題をクリアすれば、Pマーク取得に向けてプライバシーマーク指定審査機関に申請を行います。申請機関は地域や業種によって異なります。また、グループ会社の場合は、グループ単位ではなく、会社単位での申請が必要なので、1社ずつの申請が必要です。
- 審査
- プライバシーマーク指定審査機関が実際に個人情報を的確に管理し、運用しているのかを確認します。
- 付与適格決定・契約締結
- 審査をクリアすれば、Pマークの付与適格決定となり、審査機関とPマーク付与に関する契約を締結します。
- マーク使用開始
- Pマークを実際に使えるので、企業のホームページなどにPマークを記載することができます。
Pマークを取得するメリット
Pマークは、一般消費者向けにその事業者が個人情報を適切に取り扱っていることを示す制度です。しかし、昨今ではビジネスツールとしての一面も見せています。Pマークを取得したことで、企業からの委託契約がスムーズに進んだり、官公庁の入札に参加できたりと信用されるステータスとしての役割があります。
また、Pマークを取得することで、社内の情報セキュリティの向上はもちろん、社員一人ひとりの情報セキュリティに対する意識向上し、情報を流出してしまう人為的な情報漏えい事故などに対する意識向上が見込めます。
Pマークを取得するのはこのような企業
Pマークを取得する企業は主にBtoCの事業を行っている会社ですが、取得したメリットでも説明したとおり、ビジネスツールとしての一面もあるので、BtoBの事業を行っている会社も取得している側面もあります。
WEB系企業
通信業
セキュリティ会社
運送業
小売業
人材派遣業
情報セキュリティのISO規格
Pマークと同じ情報セキュリティマネジメントシステムのISO規格としてISO27001があります。ISO27001は企業に対しての情報セキュリティの国際規格であり、ISMSを構築する“方法”なのです。その結果、「機密性
」、「完全性
」、「可用性」の3つが維持されます。
この方法を実現するための“仕組み”が『ISMS』となり、ISO規格における情報セキュリティマネジメントは、“方法”のISO27001と“仕組み”のISMSが登場するわけです。
海外を意識するならISO27001
企業が海外を意識する場合、PマークとISO27001どちらが良いのでしょうか?Pマークは日本特有の規格であり、日本での知名度は高い反面、海外での知名度が低いです。そのため、国際規格であるISO27001の方が認知度が高く、有利に動くことがあります。
Pマーク取得に関してよくある質問
- Pマークを取得するメリットはどのようなものですか?
- Pマークは個人情報を適切に管理し運用していることを示すマークなので、“顧客に対する信用”をアピールすることができます。また、第三者機関(Pマーク審査機関)からの意見を取り入れることができるため、自社のみでは気づくことのできない改善点を見つけることができます。
- Pマークには有効期限があるのでしょうか?
- Pマークには有効期限があります。付与から2年間であり、更新申請を有効期限の終了する4ヶ月~8ヶ月前の間に行います。これは、情報セキュリティを取り扱うISMS(ISO27001)が有効期限が3年間であることを考えると更新頻度が高いです。
- Pマークは一部署のみでも取得できるのでしょうか?
- Pマークの認定は会社単位となります。そのため、本社、支店関係なく、全社取得となります。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
