Pマークとは
Pマークとは? プライバシーマークが事業者にもたらす影響を解説
Pマーク(プライバシー)マークは、個人情報の取り扱いに対して適切な体制が整えられていることを示すマークで、定められた基準を満たしている事業者に対して付与されます。2022年1月時点でPマークを付与されている事業者は、全国で16806社あります。
近年、個人情報保護に対する意識は世界的に見ても高まっています。日本では2015年に個人情報保護法が改正されましたが、その際に個人情報を取り扱う全ての事業者に個人情報法保護法が適用されることになりました。また定期的に見直しが行われることも取り決められ、現在は3年ごとに見直しが行われています。
1.付与事業者数の推移(1998年度〜2021年9月30日時点)
Pマークを取得する事業者は年々増加している。
2022年4月、改正個人情報保護法が施行されました。 今回の改正では、昨今急激に進むICT化も影響してか、個人情報の保護強化と事業者の個人データの活用を促進する内容が強化されています。事業者の責務が追加され、法令違反をした場合のペナルティも強化されました。
数年前と比べ、個人情報に対する取り扱いは、もはや知らないでは済まされなくなってきています。現段階では、Pマークの取得は義務ではありません。しかし、近年の社会的背景を踏まえると、Pマークの存在を無視することもできなくなってきています。
Pマークを取得する意味とは
先ほど、Pマークの取得は義務ではないとお伝えしました。義務でないなら、Pマークを取得する意味がないのでは?と思ってしまいます。しかし実際には、義務でないにもかかわらず費用をかけてPマークを取得している企業も多く存在します。ということは、少なくともPマークを取得するメリットがあるということです。ここでは、Pマークを取得するメリットとデメリットをそれぞれ説明します。
Pマークを取得するメリット
事業者にとってPマークを取得するメリットは、次の3つです。
- (1) 信頼性の高い事業者であることを、対外的に示せる
- (2) 社員の意識を高め、情報漏えいが起こりにくい体制が築ける
- (3) プライバシーマークの取得を条件にした仕事を受注できるようになる
信頼性の高い事業者であることを、対外的に示せる
Pマークを取得するには、指定された機関からの審査を受け、定められた基準を満たしていることが認められなければなりません。ですから、Pマークを付与されることにより、個人情報の取り扱いに対して適切な体制が整えられる企業であることを対外的に示すことができます。消費者だけでなく、取引先や採用候補者に対しても、信頼できる事業者であることを伝えられます。
社員の意識を高め、情報漏えいが起こりにくい体制が築ける
時々、個人情報漏えいで世間からバッシングを受けている企業があります。一度このようなバッシングを受けてしまうと、それまで築き上げてきた社会的な信用は一気に墜落します。そうした事態を防ぐには、個人情報に対する社員の意識を高め、社内に適切な体制を整えておくことが大切です。一度失った信頼を回復するのは、簡単なことではありません。Pマークを取得すると、個人情報を適切に取り扱う体制が整いますから、結果として情報漏えいが起こりにくい環境が作れるようになります。
プライバシーマークの取得を条件にした仕事を受注できるようになる
Pマークを取得する事業者の中には、「Pマークの取得が取引条件になっているから」と言う理由で取得するケースも少なくありません。特に、よりセンシティブな個人情報を取り扱う業種においては、Pマークを付与されていることが取引の安心材料になっていると言えます。Pマークを取得するだけで一気に仕事が急増するわけではありませんが、Pマークを取得すれば、得られる仕事の幅が広がります。記事の冒頭では、2022年4月に個人情報保護法の改正が行われ、改正によって社会的な関心が高まり、Pマーク取得に対する信用力は一層増してきました。
Pマークを取得するデメリット
では、Pマークを取得することのデメリットは何があるのでしょうか。デメリットとして考えられることは、次の3つです。
- (1) 取得のための準備と手間が大変
- (2) 費用が高い
- (3) 取り消しがある
取得のための準備と手間が大変
Pマークの取得は一見簡単そうに見えますが、申請書類が多く作成に多くの時間がかかります。Pマークの申請資格には
- ・「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づいた個人情報保護マネジメントシステム(PMS)を定めていること。
- ・個人情報保護マネジメントシステム(PMS)に基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。
という条件が定められています。簡単にいうと、個人情報の運用ルールを明確にし、規定を作成すること。またその運用のための体制と人員配置を行わなければならないということです。Pマークを新規で取得したい事業者は、ゼロからこれらのことを行わなければなりません。社内に知識のある人がいるケースはほとんどありませんから、自社だけで行うとなると手探りで進めていくことになります。書類作成の工数や体制づくりの大変さを考えるとコンサルなしでは難しいかもしれません。
費用が高い
Pマークの取得・更新の費用も事業者にとっては負担です。費用は事業者の規模によって異なりますが、更新は2年おきにやってくるので、長期で考えると大きな負担に感じる事業者もいます。
ちなみに新規取得・更新のために必要な費用は次の通りです。
料金表(2019年10月1日適用)
単位:円(消費税10%込)
| 新規のとき | 更新のとき | |||||
|---|---|---|---|---|---|---|
| 事業者規模 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 |
| 審査料 | 209,524 | 471,429 | 995,238 | 125,714 | 314,286 | 680,952 |
| 付与登録料 | 52,382 | 104,762 | 209,524 | 52,382 | 104,762 | 209,524 |
| 合計 | 314,288 | 628,574 | 1,257,144 | 230,478 | 471,430 | 942,858 |
| 新規のとき | |||
|---|---|---|---|
| 事業者規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 |
| 審査料 | 209,524 | 471,429 | 995,238 |
| 付与登録料 | 52,382 | 104,762 | 209,524 |
| 合計 | 314,288 | 628,574 | 1,257,144 |
| 更新のとき | |||
| 事業者規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 |
| 審査料 | 125,714 | 314,286 | 680,952 |
| 付与登録料 | 52,382 | 104,762 | 209,524 |
| 合計 | 230,478 | 471,430 | 942,858 |
取得や更新の費用をコンサルに依頼する場合は、上記に加えコンサル料が必要です。
取り消しがある
Pマークを付与されている間は、常にPMS(個人情報保護マネジメントシステム:Personal Information Protection Management Systems)を運用し続ける必要があります。定期的な社員教育も必要で、更新時には定められた基準を満たせているかどうかの審査があります。更新時に審査の基準を満たしていない場合は是正する必要があり、是正されなければ取り消しになる可能性もあります。
また、個人情報の流出・漏えい、紛失、減失・棄損、不正、不適正取得、目的外利用が発覚した場合も一時停止もしくは取り消しになる可能性があります。しかも取り消しになった事業者や一時停止措置を受けている事業者は、一般財団法人日本情報経済社会推進協会(JIPDEC)のホームページで社名が公開されてしまいます。
※措置の状況はこちらから閲覧できます https://privacymark.jp/certification_info/rlist.html
Pマーク取得は絶対必要?
メリットもありますが、コスト面や取り消しといったデメリットも多いPマーク。デメリットを考えると、取得しなくてもいいのではと思ってしまいますが、本当にそれでいいのでしょうか。ここからは、Pマークを取得しない場合にどのような影響が考えられるのかについて説明します。
Pマークを取得しない場合の影響
Pマークを取得しない場合の影響として考えられることは2つあります。1つは、仕事が受注できないなど機会損失になる可能性があること。もう1つは、社内に個人情報漏えいに対する危機感が浸透しないことで、漏えいリスクが高まることです。
機会損失になる可能性がある
Pマークを取得の有無は仕事の受注における機会損失につながる可能性があります。なぜなら、仕事の案件によっては取引要件としてPマークの取得が定められているケースがあるからです。用件になっていることがわかった時点ですぐに取得しようと思っても、Pマークの新規取得には時間がかかります。ですから、場合によっては失注もしくは機会損失になることが可能性として考えられます。
また、Pマークを取得していることで対外的な信用を得られていることを踏まえると、 “Pマークを取得しない企業=信用できるか不安”ということで、気付かないうちに依頼の検討リストから外されてしまうこともあるかもしれません。
個人情報漏えいに対する意識が浸透しにくい
個人情報漏えい事故の多くは、従業員の不注意や知識不足が原因で起こっていると言われています。ということは、個人情報に関する様々なトラブルを防ぐには、管理体制や社員教育を徹底することが大切になってきます。Pマークを取得していないと、体制や取り扱いルールなどがしっかりと定められないため従業員個々の判断に委ねることになってしまいます。特に個人情報を多く取り扱う企業にとっては、万一の事態を考慮し予防的にPマークを取得する方が安心かもしれません。
Pマークを取得した方が良い事業者とは
Pマークの取得は自由ですが、特にPマークを取得した方がいいと思われる事業者は、「国や自治体の入札へ参加する意思がある事業者」や「業務上、多くの個人情報を取り扱わなくてはならない事業者」です。ここではその理由について、説明します。
国や地方自治体の入札に参加する意思がある
国や地方自治体等、官公庁の事業を請け負う事業者は、原則入札方式で決まります。事業によってはPマークの取得を条件にしているものもありますから、官公庁の事業を受注したいと考えている場合は予め取得しておく方がよいでしょう。
業務上、多くの個人情報を取り扱っている
サービス業など、業務の中で多くの個人情報を取り扱う必要がある事業者も、Pマークを取得した方がよいです。
このグラフは、2021年度に一般財団法人日本情報経済社会推進協会(JIPDEC)が公開した、Pマークの付与事業者を事業別に分類したグラフです。グラフを見れば明らかですが、Pマークを取得している事業者のほとんどがサービス業です。
時々、何万件という大量の個人情報が流出したというニュースを目にすると思いますが、個人情報に関する問題でニュースとして取り上げられやすいのは、個人情報が大量に流出したケースか、センシティブな個人情報(金融情報や病院のカルテ等)が漏えいしたケースです。たとえニュースにならなくても、漏えいが発覚するとその後の対応がとても大変。発覚後のリスクを考えると、コストや体制作りなどで負担があったとしても、Pマークを取得しトラブルを未然に防げるようにした方が賢明といえます。
PマークとISMS(ISO27001)の違いとは
Pマークと比較される個人情報に関する規格で、ISMS(ISO27001)があります。はじめて知ったという人もいるかもしれませんが、PマークとISMS(ISO27001)は一体何が違うのでしょうか。このパートでは、2つの違いについて説明していきます。
ISMS(ISO27001)とは
PマークとISMS(ISO27001)の違いを説明する前に、まずISMS(ISO27001)について簡単に説明します。ISMSとは「Infomation Security Management System」の略で、国際規格に適合した情報セキュリティを管理する仕組みのことです。ISMSとISO27001は、どちらか一方だけの名称でやりとりされることがありますが、国際標準規格(ISO)の規格番号が27001ということなので、ISMSとISO27001は同じものを指していることになります。
PマークとISMS(ISO27001)の違いを大きく分けると、4つの違いがあります。
| Pマーク | ISMS | |
|---|---|---|
| 準拠している規格 | 日本産業規格 JIS Q | 国際標準規格 ISO27001 |
| 取得範囲 | 会社全体(法人単位) | プロジェクト、部門・部署単位でも取得が可能 |
| 保護対象 | 個人情報 | 取得範囲の情報資産(個人情報を含む) |
| 認証の更新 | 2年ごと | 3年ごとに更新審査 |
| 1年ごとに維持審査(更新審査の年は含まない) |
規格の違い
まずは規格の違いです。 PマークとISMS(ISO27001)は、準拠する規格が違います。Pマークは日本産業規格が定める「JISQ15001」に準じた「国内規格」であり、ISMSは「国際標準規格」です。国内のみの企業経営であればPマークで構いません。一方海外との取引のある企業であれば、PマークよりもISMS認証を取得したほうがよいでしょう。
取得単位の違い
PマークとISMS(ISO27001)は、取得単位も違います。取得単位とは、認証を受ける範囲のことです。Pマークの取得は法人単位と定められていますが、 ISMS(ISO27001)は取得する範囲を決めることが可能です。そのため、本社のみ管理部門のみというように、支社単位で取得することができます。
保護対象の違い
PマークとISMS(ISO27001)では、保護の対象も異なります。Pマークの場合は、定められた個人情報のみが保護対象になりますが、ISMS(ISO27001)では、個人情報を含む企業全体の情報資産が保護対象になります。ISMSの方が保護対象が広いのです。
更新の違い
PマークもISMSも、一度付与されたら終わりではありません。定期的に更新審査を受け、更新費用を支払う必要があります。
Pマークの更新期間は2年ですが、ISMS(ISO27001)は1年に1回の維持審査と3年に1度更新審査があります。更新費用は、PマークもISMSも事業者の規模によって変わりますが、Pマークの場合は2年おきに22〜90万円程。ISMS(ISO27001)の場合は維持審査20〜50万円、更新審査50〜150万円程かかります。
PマークとISMS/ISO27001のどちらを取得すべきか?
PマークとISMS(ISO27001)のどちらを取得すべきかは、自社の方針や取引先からの要求、あるいは入札したい案件の条件に合わせて決めるのが良いでしょう。一概には言えませんが、Pマークを取得する企業は、BtoC取引がメインで一般消費者と接する機会が多くあるという企業が取得する傾向にあります。ISMS(ISO27001)は、BtoB取引や大手企業との取引などがメインとなる企業が取得する傾向にあります。
Pマークは更新や運用も大変
何度かお伝えしていますが、Pマークには2年ごとの更新があります。Pマークの更新は、よくあるような更新費用を支払って終わりではありません。きちんとPMSの運用が実施されているかなどの審査を受けなければならないのです。更新には費用もかかりますし、Pマークを付与されている間は定期的に規定に沿った運用を実施するのはもちろん、1年に1回程度社員への教育・研修も必要です。
Pマークの更新をやめる事業者もある
Pマークを付与されている事業者の中には、Pマークの更新時にやめてしまう事業者もあります。やめる理由は事業者によってそれぞれですが、多くの場合、メリットよりもデメリットの方が大きくなってしまったことが原因です。具体的には、「費用の負担が大きいから」「担当者の作業量が多すぎるから」「Pマークの効果を実感できなかったから」といったことがあります。
ただこのような理由は、いずれも取得前にある程度予測できること。取得前にしっかりとPマークについて理解し、取得する必要性を吟味しましょう。
Pマークの取得費用とは
Pマークの取得に必要な費用に関する表は既にお見せしましたが、ここでは費用についてさらに詳しく説明していきます。
Pマークを取得するために必要な費用は、大きく3つあります。その3つとは、「申請料」、「審査料」、「付与登録料」です。ちなみにこの3つの費用は、申請する事業者の規模によって金額が変わります(下の料金表を参照)。
料金表(2019年10月1日適用)
単位:円(消費税10%込)
| 新規のとき | 更新のとき | |||||
|---|---|---|---|---|---|---|
| 事業者規模 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 |
| 審査料 | 209,524 | 471,429 | 995,238 | 125,714 | 314,286 | 680,952 |
| 付与登録料 | 52,382 | 104,762 | 209,524 | 52,382 | 104,762 | 209,524 |
| 合計 | 314,288 | 628,574 | 1,257,144 | 230,478 | 471,430 | 942,858 |
| 新規のとき | |||
|---|---|---|---|
| 事業者規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 |
| 審査料 | 209,524 | 471,429 | 995,238 |
| 付与登録料 | 52,382 | 104,762 | 209,524 |
| 合計 | 314,288 | 628,574 | 1,257,144 |
| 更新のとき | |||
| 事業者規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 |
| 審査料 | 125,714 | 314,286 | 680,952 |
| 付与登録料 | 52,382 | 104,762 | 209,524 |
| 合計 | 230,478 | 471,430 | 942,858 |
「申請料」とは、プライバシーマーク付与適格性審査の申請時に必要な費用のことです。また、「審査料」はPマークの審査チームが実施する審査工程全てに要する工数に該当する費用で、審査を受ける全ての申請事業者は、審査の結果に関係なく審査料が必要になります。
「付与登録料」は、プライバシーマーク付与適格決定を受けたら、付与機関(JIPDEC)からの請求に基づき、付与の有効期間(2年間分)を支払うことになります。有効期間が過ぎたあとは、2年ごとに更新料を支払います。
「付与登録料」は、プライバシーマーク付与適格決定を受けたら、付与機関(JIPDEC)からの請求に基づき、付与の有効期間(2年間分)を支払うことになります。有効期間が過ぎたあとは、2年ごとに更新料を支払います。
事業者規模の区分とは?
Pマークの取得・更新費用は事業者の規模別に定められていますが、それぞれの規模は一体どのくらいなのでしょうか。Pマークの申請規定では、事業者の規模は次のように定められています。
事業者規模の区分(小規模、中規模、大規模)は、登記された資本金の額または出資の総額、従業者数、業種を基準として一律に判定します。
資本金の額または出資の総額が登記されていない無限責任の事業者(合名会社、合資会社等)の場合は、従業者数と業種のみで判定します。同様に、資本金の額または出資の総額が登記されていない一般社団法人や一般財団法人等も、従業者と業種のみで判定します。
なお、事業者が複数の事業を行っている場合は、プライバシーマーク付与適格性審査申請時にご提出された書類(※注)に基づき、売上高の一番高い事業を当該事業者の業種とします。
自社の規模がどのくらいなのかは、次の表を参考にしてみてください。
| 業種分類 | 資本金の額または出資の総額従業者数 | ||
|---|---|---|---|
| 小規模 | 中規模 | 大規模 | |
| 製造業・その他 | 2~20人 | 3億円以下または21~300人 | 3億円超かつ301人~ |
| 卸売業 | 2~5人 | 1億円以下または6~100人 | 1億円超かつ101~ |
| 小売業 | 2~5人 | 5千万円以下または6~50人 | 5千万円超かつ51人~ | サービス業 | 2~5人 | 5千万円以下または6~100人 | 5千万円超かつ101人~ |
また、資本金の額または出資の総額の登記がない事業者の場合は、次のような分類になっています。
一般社団法人、一般財団法人、公益社団法人、公益財団法人、特定非営利活動法人、学校法人、社会福祉法人、弁護士法人などの「士」業法人、合名会社、合資会社、民法上の組合、個人事業主など、資本金の額または出資の総額が登記されていない事業者は、以下のように従業者数と業種のみで判断します。
| 業種分類 | 資本金の額または出資の総額従業者数 | ||
|---|---|---|---|
| 小規模 | 中規模 | 大規模 | |
| 製造業・その他 | 2~20人 | 21~300人 | 301人~ |
| 卸売業 | 2~5人 | 6~100人 | 101人~ |
| 小売業 | 2~5人 | 6~50人 | 51人~ |
| サービス業 | 2~5人 | 6~100人 | 101人~ |
Pマーク取得で使える助成金
自治体によって、Pマークの取得で使える助成金制度を設けているところがあります。全ての自治体で行われているわけではありませんが、登記上の本店所在地が助成金制度を設けている自治体の管轄であれば申請ができます。助成金制度が使えるのであれば、制度を利用して初期コストの負担を軽減させることが可能です。
※スマートフォンの方は横スクロールで確認できます。
| 市区 | 支援団体 | 受付期間 | 補助金額 | ISMS | Pマーク |
|---|---|---|---|---|---|
| 東京都 | 公益財団法人 東京都中小企業振興公社 | 平成24年度の募集は終了 | 上限130万円 (1/2以内) | 〇 | |
| 東京都 港区 | 港区産業ネットワークMINATOあらかると 産業・地域振興支援部産業振興課 | 平成24年4月1日~平成25年1月末 | 上限50万円 | 〇 | 〇 |
| 東京都 新宿区 | 環境清掃部―環境対策課 | 随時 | ISO14001 上限20万円 | 〇 | |
| 東京都 墨田区 | 墨田区すみだ中小企業センター | 随時 | 3分の1の額又は27万円 | 〇 | |
| 東京都 江東区 | 江東区地域振興部経済課産業振興係 | 随時 | 20万円 | 〇 | |
| 東京都 江戸川区 | 生活振興部産業振興課計画係 | 随時 | 30万円~100万円 | 〇 | 〇 |
| 東京都 品川区 | 品川区ものづくり・経営支援課ものづくり支援係 | 平成24年度の募集は終了 | 60万円 (対象経費2/3) | 〇 | |
| 東京都 目黒区 | 目黒区ものづくり産業支援事業 | 随時 | 限度額80万円 (対象経費2/3) | 〇 | |
| 東京都 板橋区 | 板橋区産業振興公社 | 平成23年度の交付申請受付は終了 | 経費の3分の1以内上限50万円 | 〇 | |
| 東京都 足立区 | 足立区中小企業支援課経営支援係 | 毎年4月1日から定数に達するまで | 経費1/2(限度額50万円) | 〇 | |
| 神奈川県 横須賀市 | 経済部経済企画課 | 平成24年度の募集は終了 | 経費1/2(限度額30万円) | 〇 | 〇 |
| 千葉県 千葉市 | 財団法人千葉市産業素咽喉財団新事業創出班 | 随時 | 専門家派遣費用 Pマーク30万円 ISMS60万円 | 〇 | 〇 |
| 茨城県 ひたちなか市 | 商工振興課 | 随時 | 経費1/2(限度額10万円) | 〇 | |
| 愛知県 春日井市 | 産業部企業活動支援課 | 随時 | 経費1/2(限度額50万円) | 〇 | |
| 新潟県 佐渡市 | 観光商工課企業振興係 | 随時 | 経費1/2(限度額50万円) | 〇 | 〇 |
Pマーク取得の流れ
このパートでは、Pマークの取得の流れについて説明します。 Pマークを新規で取得する場合、申請からPマークの付与までの流れは次の図のようになります。
申請から付与までの流れ
Pマーク申請から付与までのモデルスケジュール
参照元:一般財団法人日本情報経済社会推進協会(JIPDEC)へ申請する場合のモデルスケジュール
モデルスケジュールを見ると、Pマークが付与されるまでの期間は申請からおよそ4ヵ月程度とあります。あくまで目安ですから、審査の状況によっては4ヵ月以上かかることもあると考えておきましょう。
ただ実際に全くのゼロから準備をはじめPマークを取得するとなると、取得までに半年以上かかります。それは、申請の前にPMSの構築と運用の実施実績がないと申請することができないからです。PMSの構築と運用の実施実績がないと申請することができないというのは、どういうことでしょうか。次にある「取得のための準備について」で説明していきます。
取得のための準備は?
申請までの準備
Pマークを申請するには、審査を受けるための事前準備が必要です。事前準備とは、PMS(個人情報保護マネジメントシステム)の運用を実際に行い、PDCAサイクルを最低1回以上行うことです。
というのも、Pマークの付与は事業者のPMS(個人情報保護マネジメントシステム)の運用や体制などが、規格の審査基準を満たしていることを証明するものだからです。ですから、実際の運用実績がない状態の事業者にPマークを付与することができないのです。一般財団法人日本情報経済社会推進協会(JIPDEC)のホームページには、事前の運用実績は最低1回以上でよいと記されています。体制の整備や規定策定だけでは審査を受けることができないので注意しましょう。
申請資格と条件
続いて、Pマークの申請資格と条件について説明します。申請の資格や条件は、一般財団法人日本情報経済社会推進協会(JIPDEC)のホームページに詳細が掲載されていますが、主に次のような条件があります。
【資格】
・申請できる事業者は、国内に活動拠点を持つ民間事業者で、法人のみ。
・申請できる事業者は、国内に活動拠点を持つ民間事業者で、法人のみ。
【条件】
・「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づきPMS(個人情報保護マネジメントシステム)を定めていること。
・「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づきPMS(個人情報保護マネジメントシステム)を定めていること。
・PMS(個人情報保護マネジメントシステム)に基づいた体制が整備され、個人情報の適切な取扱いが行なわれていること。
・申請事業者の社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること(JIS Q 15001が規定する個人情報保護マネジメントシステム(PMS)を構築するためには、個人情報保護管理者、個人情報保護監査責任者の任を負うものが1名ずつ必要であるため)。
必要な書類
Pマークの申請に必要な書類は次の通りです。
| 必須でご提出いただく書類 | |
|---|---|
| No. | 申請書類 |
| 1 | 【申請様式1新規】プライバシーマーク付与適格性審査申請書(代表者印の捺印必須) |
| 2 | 【申請様式2新規】事業者概要 |
| 3 | 【申請様式3新規】個人情報を取り扱う業務の概要 |
| 4 | 【申請様式4新規】すべての事業所の所在地及び業務内容 |
| 5 | 【申請様式5新規】個人情報保護体制 |
| 6 | 【申請様式6新規】個人情報保護マネジメントシステム文書の一覧 |
| 7 | 【申請様式7新規】jisQ15001との対応表 |
| 8 | 【申請様式8新規】教育実施サマリー(全ての部門に実施した教育実施状況) |
| 9 | 【申請様式9新規】内部監査実施サマリー(全ての部門に実施した内部監査実施状況) |
| 10 | 【申請様式10新規】マネジメントレビュー(事業者の代表者による見直し)実施サマリー |
| 11 | "登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の 実在を証す公的文書の原本(申請の日前3か月以内の発行文書。写し不可。)" |
| 12 | 定款、その他これに準ずる規定類の写し |
| 13 | "最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6新規】、及び【申請様式7新規】に 記載の内部規定・様式の全て。なお、様式は未記入で空欄のままの見本。)" |
| 14 | 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し |
| 15 | 上記14に対応する、いわゆる「リスク分析結果」の写し |
| 任意でご提出いただく書類 | |
| No. | 申請書類 |
| 16 | "教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」等の運用記録や教材の写し、 「理解度確認テスト」等の雛形) " |
| 17 | "内部監査を実施したことが確認可能な記録一式(「内部監査計画書」、「内部監査実施報告書」、 「内部監査チェックリスト」等の写し)" |
| 18 | "マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式 (「マネジメントレビュー議事録」の写し) " |
| 19 | 会社パンフレット等 |
自力でPマークは取得申請できるのか
Pマークの取得や更新は、自社のみで行うことも可能です。 ただし、申請の際に必要な資料の作成や規定の策定、体制の整備などを全て自社で行わなければなりません。審査に不備があれば、改善するまで何往復もやりとりをしなければなりませんから、場合によっては余計な時間と費用がかかってしまうケースも少なくありません。
また、新規取得時だけでなく更新の際にも、審査があることはお伝えしました。 更新審査でも、新規取得時のように多くの書類を作成しなければならず、指摘があれば改善するまで付与してもらえません。Pマークの審査におけるガイドラインは、年に数回程度変更や追加になることもありますから、それらを通常の業務に加えて把握するのはいささか現実的ではありません。
PMSの構築や運用に関する知識がほとんどない状態で取り組むのはかえって多くの時間を無駄にしてしまうという理由から、コンサルタントに協力してもらえるよう依頼する事業者が多いです。
Pマークの運用サポートを依頼するならどこがいい?
Pマークの付与事業者が年々増加していることは、この記事の冒頭でもお伝えしています。Pマークの新規取得や更新には、費用がかかるだけでなくやらなければならないことが多いのが実際。取得も維持もラクにできるものではありません。
そうした事業者の負担や悩みにつけこんで、スピーディーに審査に通ることだけを訴求するコンサル会社や代行会社も増えてきました。これからPマークを取得したい事業者が注意すべきことは、そのようなコンサル会社や代行会社に依頼しようとしないことです。
Pマークを取得することの意味は、個人情報が適切に取り扱われている事業者であると第三者から評価を受け、きちんとした運用を行うことで個人情報に関する事故を防ぎ、自社の信用や信頼を維持するところにあります。
審査の通過だけを訴求するコンサル会社の多くは、審査におけるポイントのサポートのみで、自社できちんと運用していけるようなサポートを行ってくれません。したがって、取得スピードの速さや費用の安さを訴求するような会社に依頼することはおすすめできません。
Pマークの取得や運用を自社で全て行わず、コンサル会社のサポートを検討するのであれば、自社に合わせた実施運用を共に考えサポートしてくれるようなコンサル会社を選ぶ方がいいでしょう。
Pマークの取得や運用を自社で全て行わず、コンサル会社のサポートを検討するのであれば、自社に合わせた実施運用を共に考えサポートしてくれるようなコンサル会社を選ぶ方がいいでしょう。