2016年1月からマイナンバー制度が導入されるなど、行政機関や医療機関、民間企業などが個人のプライバシーにかかわる情報を保護する範囲はますます広がっています。

一方で、東京商工リサーチが2023年1月に発表した調査によると、2012年から2022年までの11年間に漏えいした個人情報は、累計1億2,572万人分にものぼるといいます。これは日本の人口に匹敵するスケールに相当します。

参考:東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年『上場企業の個人情報漏えい・紛失事故』調査 ~」

個人情報が漏えいする原因は、インターネットを経由した不正アクセスや、コンピューターウイルス感染などのサイバー攻撃の増加もさることながら、依然として名簿の紛失や誤送信といった、ヒューマンエラーによるものも少なくありません。

本記事では、個人情報を適切に保護できる体制を整備したことを、第三者の視点から認証するプライバシーマーク(Pマーク)制度について、取得方法や取得するメリットなどを説明します。

自社でPマークを取得する、しないの検討材料に活用できることはもちろん、業務委託先にPマーク取得企業を選定するメリットもご紹介します。

アランくん

自社でPマークを取得する、しないの検討材料に活用できることはもちろん、業務委託先にPマーク取得企業を選定するメリットもご紹介します。

プライバシーマーク(Pマーク)とは

プライバシーマーク(Pマーク)とは、個人情報を適切に保護できる体制を整備している企業・事業者・団体などを、外部から見てわかりやすく示す制度です。

Pマークは、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム」の要求事項に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいています。

アランくん

この指針に基づいて審査員が厳密に企業を審査し、Pマークを認証しています。

PマークとISMSの違い

Pマークと間違われやすい資格にISMS(Information Security Management System)があります。

ISMSとは、日本語で「情報セキュリティマネジメントシステム」のこと。文字通り情報セキュリティについての制度ですが、個人情報の取り扱いについて定めたPマークとは、目的や情報を保護する範囲、認証取得についてやらなければいけないことなどが異なります。

PマークとISMSの違いをまとめると、以下のようになります。

項目PマークISMS
認証範囲個人情報のみ個人情報を含む、企業や組織全体の情報資産
対象法人全体で取得(全部署・全従業員)しなければならない事業所・部門・事業単位で認証を取得できる
規格日本産業規格「JISQ15001」「ISO/IEC 27001」に準じた国際標準規格
更新時期2年ごとに更新審査1年に1度の維持審査に加えて、3年に1度の更新審査
取得企業の特徴サービス業を営んでおり、個人情報を取り扱うことが多いある程度規模が大きく、BtoB取引が多い

Pマークのメリット

申請を行ってPマーク事業者と認定されることで、次のようなメリットが得られます。

個人情報漏えいリスクの低下

Pマークの取得に至るまでには、個人情報保護の方針を社内で作成し、実際に自社で運用しなければなりません。また、JIPDEC(一般財団法人日本情報経済社会推進協会)の厳密な審査を受ける過程で、数多くのチェックを受けられます。

Pマークの取得基準や取得方法は公開されており、専門の審査員に書類および実地検査を受けることで、自社内の個人情報漏えいのリスクを改めて洗い出すことができます。

Pマークでは2年ごとの更新審査はもちろん、少なくとも年1回内部監査を実施することが定められています。担当者を定め、日々PDCAサイクルを回す体制づくりも求められているため、社内全体に個人情報を保護する意識が根付き、結果として個人情報漏えいリスクが低下します。

なお、Pマークでは手順や作成文書の種類が定められており、セキュリティ対策も決められた手順に沿って対策を講じることになります。このため、自社だけでなく、委託、連携する企業もPマーク取得企業を選定することが大切です。

消費者との信頼構築

Pマークを取得すると、店頭や、ホームページ、会社で用いる名刺や封筒など、消費者の目に触れる場所に認定マークを記載できるようになります。Pマークは、個人情報保護の基準を満たしていると客観的に認められた証拠になるため、消費者からの信頼を高めることにつながります。

ビジネスチャンスの拡大

Pマークは、個人情報を保護する手続きを明確に定めています。このことから、官公庁で住民や利用者などの個人情報を扱う案件の入札では、Pマークを取得していることを求められるケースが少なくありません。会社の規模が小さくても、Pマークを取得していることで、公共事業に取り組むビジネスチャンスが生まれます。

一般の企業でも自社がPマークを取得している場合には、取引先にPマークを求めるケースが少なくありません。Pマークの取得によって、相手先企業からの信用も得られやすくなります。

アランくん

Pマークを取得していることは、自社ならびに取引先などから預かった個人情報を適切に取り扱える証明になります。ビジネスチャンスの拡大にもつながるのです。

Pマークの取得方法・維持

以下では、Pマークの申請資格や取得方法、維持について説明します。

申請資格

Pマークの審査(付与適格性審査)を申請できる事業者には、以下のような条件があります。

  • 国内に活動拠点を持つ事業者であること
  • 事業所や部署などの組織単位でなく、法人単位で取り組むこと(医療法人、学校法人などには一部例外あり)
  • 「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づいた「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(構築・運用指針)」に応じ、個人情報保護マネジメントシステム(PMS)を実行していること
  • 個人情報保護マネジメントシステム(PMS)に基づいて、実施可能な体制を整備していて、個人情報を適切に取り扱っていること
  • PMSの運営体制として、社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)が2名以上いること

参考:日本情報経済社会推進協会(JIPDEC)「申請資格|申請手続き |プライバシーマーク制度|」

このように、Pマークを取得するためには、法人全体で取り組まなければなりません。また、事前に個人情報保護マネジメントシステム(PMS)を定め、PMSに基づいて個人情報を適切に取り扱う体制を整備していることが求められます。つまり、Pマーク取得には準備が必要で、すぐ申請ができるわけではないのでご注意ください。

なお、JIPDECで公表されている規約の欠格事由に該当する場合は、Pマーク付与の対象から外れることがあります。詳しくは、下記で説明します。

事前準備

PMSとは、自社でどのように個人情報を保護するか、それらをどのように管理するかを定めた、個人情報を保護するしくみです。PMSでは、PDCAサイクルに基づいて、社内の個人情報保護水準を継続的に高めることを目指しています。

PMS構築は、以下の手順に沿って行われます。

1.Pマークの要求事項に基づいたルール(個人情報保護規程や安全管理規定など)を決定する

2.ルールに定めた文書類を作成する

文書類には、方針や取り扱いのように作成、掲示すればよいものと、日々、運用状況を記録するものの2種類があります。

2-1.記録を必要としないもの

ホームページや契約書などに使う、「個人情報保護方針」「個人情報保護に関する規程」 といったものが該当します。

2-2.Pマークの運用を行った記録を必要とするもの

これらの書類はPマーク取得申請にあたって提出が求められます。

  • 個人情報(社内にどういった個人情報があり、どう管理するか)
  • 個人情報に関するリスクと対策(取得から廃棄までに生じるリスクと対策)
  • 遵守すべき法令など(個人情報の保護だけでなく、通常の業務を行ううえで遵守しなければならない法令やガイドライン)
  • 委託先(個人情報の取り扱いを委託する業務、委託先企業、委託先での管理方法など)
  • 個人情報取得に関する同意書(お客様や従業員から個人情報を取得した場合)
  • 教育に関する資料(社内教育の実施計画書と実施記録)
  • 内部監査に関する資料(内部監査の計画書、監査時に使用するチェックリスト、実施記録)
  • PMSの構築・運用状況を確認した記録
  • その他(上記の文書や記録をまとめた台帳、ルールが守られていない場合などに起票する「是正処置に関する記録」や、個人情報に関する苦情や相談があった場合には「苦情や相談への対応記録」など)

3.実際に運用を行う

4.運用状況を記録し、チェックする

PMS構築の流れについての詳細は「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」に定められており、JIPDECが編集したガイドブックを始め、参考書籍も多数発行されています。

参考:一般社団法人日本情報経済社会推進協会(JIPDEC)「新規申請をお考えの方へのご案内|申請手続き |プライバシーマーク制度」

後述するように、PMS構築からPマーク申請までを支援するコンサルティング会社も存在しますが、やるべきことが明確に定められているので自社で取得することも可能です。

申請

事前準備ができ、PDCAサイクルを回したことが確認できたら、必要書類を作成して審査機関に申請します。

Pマークは、JIPDECをはじめ、いくつかのプライバシーマーク指定審査機関があります。業種や会社の立地などを鑑みて選ぶとよいでしょう。

提出書類はフォーマットが定められていますが、詳細は審査機関によって異なります。詳しくは以下を確認してください。

一般財団法人日本情報経済社会推進協会(JIPDEC)「1.申請書類の作成|申請手続き |プライバシーマーク制度|」

審査機関では、提出書類をもとに文書審査を行います。

現地での審査

文書による審査が終了すると審査員が実際に会社を訪問し、現地審査を実施します。

現地審査では、個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用されているかなどを以下の手順で確認します。

  • トップインタビュー
  • PMS運用状況の確認
  • 現場での実施状況の確認

最後に、審査員からPMS運用で改善が必要であると判断された事項などについて、指摘事項の確認と説明の総括が行われます。

なお、現地審査で指摘事項があった場合は、現地審査後に審査員から指摘事項文書が送られます。3ヵ月以内に、改善のエビデンスを添えて改善報告書を提出する必要があります。

合否

文書審査と現地審査の結果に基づき、各審査機関の審査会で審査が行われ、合格するとプライバシーマーク付与適格性審査決定結果の通知文書が送られてきます。

合格した事業者には、付与機関と契約を締結後にプライバシーマークが付与されます。

取得後の更新

Pマークは更新手続きが必要な認証で、有効期間内に更新手続きをすることで有効期間が延長される仕組みになっています。認証を一度取れば永遠に使い続けられるものではありません。

有効期間は2年間で、審査機関による更新審査を受けることになります。

更新審査も、新規取得の審査と同様、運用の記録などを取りまとめて審査機関に送り、審査を受けたうえで指摘事項に対応する流れです。前回の審査から今回の審査までの間に変更があった点と、実施記録を網羅する書面を提出する必要があります。

このように、Pマークは取得時のセキュリティオペレーションが維持され続けるシステムになっているのです。

Pマークの取得費用

Pマークを取得するための費用は、企業の規模と新規もしくは更新申請かで変動します。費用は以下に区分されます。(消費税込み)

申請料約5万円(企業規模や新規・更新に関わらず一定)
審査料新規約20万〜100万円、更新約12万〜68万円
Pマーク付与登録料新規、更新とも約5万〜20万円
合計新規約30万〜120万円、更新約23万〜94万円

最新の料金は以下URLからご確認ください。

一般財団法人日本情報経済社会推進協会(JIPDEC)「費用|申請手続き |プライバシーマーク制度|」

なお、上記の金額の他、現地審査に赴く審査員の旅費交通費が企業負担になります。注意してください。また、取得にあたりコンサルティング会社に委託する場合は、別途費用が発生します。

Pマークの取得期間

Pマーク指定審査機関によると、新規申請する際は主要な個人情報を取り扱った事業の実績が1年以上、また、申請までに少なくともPMSを1ヵ月以上運営している必要があります。

このうえで審査機関に申請し、審査を受けることになります。申請から審査までは約1〜2ヵ月かかるのが一般的です。また、審査機関によっては審査が混み合うこともある他、現地審査の審査員の調整のために待ち時間がかかることもあるため、注意が必要です。

参考:一般社団法人日本データ通信協会Pマーク審査部「申請関係 | Q&A 」

Pマーク取得時のポイント、注意点

ここまで、Pマークの取得方法やコストなどをご紹介しました。

Pマーク取得はやるべきことが明確に定められており、手順に沿って準備を進めれば問題ありません。しかし、手順や用意する書類の種類が多岐にわたっているため、現業のかたわら自社でPマークを取得しようとして挫折してしまう場合もあるでしょう。

ここでは、Pマークを取得するときのポイントや注意点をまとめてご紹介します。

内部体制の整備

Pマークでは、JIS Q 15001に基づいた組織体制を作る必要があります。

まず、PMS運用にあたって、以下の担当者を割り当てなければいけません。

  • 個人情報保護管理者
  • 個人情報保護監査責任者

その他には、以下に示す担当者を据えるのが現実的であるといわれています。

  • 教育担当者
  • 問い合わせ担当者
  • 開示請求などの担当者
  • 苦情・相談担当者
  • 監査員
  • 各部門、階層の責任者・担当者 など

また、人の割り当てだけでなく、PMS運用に合わせ、社内ルールやシステムの更新も必要になってきます。

このため、Pマークを取得する場合には、まずは社内で責任者を定め、いつまでにPマークを取得するか期日を定めてプロジェクト化して進めていくのがおすすめです。

外部サポートの活用

Pマークを取得する必要があるけれど、申請準備などの社内リソースが足りない場合や、できるだけ速やかに取得したい場合は、外部のコンサルティング会社に依頼するのもひとつの方法です。補助金や助成金の中には、Pマーク取得のコンサルティング費用を補助対象とするものも見られます。気になる方は自治体に問い合わせてみてください。

Pマークが不適格な企業もある

「申請資格」の項で紹介しましたが、おおまかにいえば次のようなケースはPマークの申請が不適格と定められています。

・役員に個人情報保護に関する法令に反している者がいる
・暴力団など公序良俗に反する者がいる

また、Pマークは日本の規格になりますので、日本の法律に基づかない外国の会社は対象外です。詳細を知りたい方は以下をご覧下さい。

参考:日本情報経済社会推進協会(JIPDEC)「申請資格|申請手続き |プライバシーマーク制度|」

安全な委託先をお探しなら、オーダー!におまかせください

物流や事務代行など、お客様の個人情報を扱う機会の多いオーダー!では、Pマークを取得済み。BPO(ビジネス・プロセス・アウトソーシング)拠点や物流倉庫も、Pマークの厳しい基準に沿った業務体制で日々運用されています。

オーダー!では、BPOの対象となる作業はオフィスで一貫して行います。ビルへの入館チェックや執務室の施錠などを実施し、限られたスタッフしか入退室しません。Pマーク運用ルールに従ったセキュリティ体制もしっかり整えられています。

委託先を迷っておられるご担当者さまも、安心しておまかせ下さい。


【個別相談メニュー】
・Webサイト構築サービス
・ホームページからの問い合わせ対応代行
・SNS運用代行
・CMS導入
・CMSセキュリテイ対策
・SSL化

など


【まるっとおまかせ!定額運用メニュー】

(スタンダードプラン)
・料金:12万円(税抜)/月
・契約期間:3ヵ月毎
・実働時間:30時間/月
※依頼内容や条件により、金額が変わる場合があります。

(対象業務例)
ホームページ更新作業
セキュリティ対応
その他運用、保守業務

など


お客様のニーズに合わせてご相談に応じますので、ぜひお気軽にご相談下さい。

Pマークのまとめ

本記事では、プライバシーマーク取得を考える企業担当者、個人情報保護が厳格に求められる企業・担当者の方向けに、プライバシーマークの基本情報を解説しました。自社でPマークを取得する第一歩としてご活用下さい。

個人情報の取り扱いを含む業務を外部委託する際も、管理体制が整った業者を選ぶことが重要です。アウトソーシングを検討されている場合は、ぜひセキュリティ体制の整ったオーダー!へお問い合わせ下さい。