1.プライバシーマークの更新について

プライバシーマーク（Pマーク）には2年という有効期間があり、何もしないでいると失効となってしまいますので注意が必要です。
プライバシーマーク（Pマーク）を更新するには、有効期限までに審査を受け合格する必要があります。
取得して終わりではなく、2年毎に審査があることに留意しないといけません。

2. プライバシーマーク（Pマーク）更新審査とは

更新審査は、プライバシーマーク（Pマーク）を取得した組織や事業者が引き続き個人情報の保護に努めているかどうかを確認することを目的として、行われます。
審査は、公正かつ中立な立場であるPマークの認定を行っている第三者機関によって実施されます。

プライバシーマークの更新審査で必要なことは、
「PDCAサイクルを1回は回していること」「前回指摘事項のその後の対応をしていること」の２点です。
事前に準備をしておきましょう。

プライバシーマークを更新するためには、有効期間内に更新審査の申請をし、審査に合格することが必要です。

3. 更新申請の時期

Pマーク（プライバシーマーク）には自動車の免許更新のように有効期間が定められています。
原則、付与契約に定めた日から2年です。

プライバシーマーク(Pマーク)を更新するためには、更新審査を受ける必要があります。
更新申請については、有効期間を超えてプライバシーマーク(Pマーク)が失効となってしまわないように、適切な時期に審査機関へ申請する必要があります。

更新申請は、有効期間の満了日の８か月前から４か月前に申請しなければなりません。
例えば、2023年12月1日が有効期間満了日の場合、2023年4月2日～2023年8月1日の4か月の間に更新申請を実施することになります。

この場合、申請開始日は2023年4月2日、申請期限日は2023年8月1日、更新期日は2023年12月1日と言えます。
※プライバシーマーク有効期限の詳細記事はこちら

4．Pマーク更新までの流れ

Pマークの更新について、更新申請から更新完了までの流れを説明します。

① 実施することリスト

プライバシーマークは、2年間の有効期限内に個人情報保護運用を行っていたという証明（実施記録）が必要です。
(1)企業が取得・作成・収集している個人情報の一覧
(2)業務に関わる法令の一覧
(3)１で洗い出した個人情報にかかわる危険性とその対策一覧
(4)個人情報を委託している企業の個人情報保護水準評価
(5)従業員への個人情報保護教育
(6)定期的な個人情報保護点検
(7)代表者による１年間のプライバシーマーク運用についてのインタビュー

大きく分けるとこの7つの実施を毎年繰り返し、審査では2年分の実施確認が行われます。

② 申請書提出期間について

更新申請書はプライバシーマークの有効期限から逆算し、8ヶ月から4ヶ月の前に提出する必要があります。提出に際し、2年目の運用の途中である場合は実施予定として提出することも可能です。

この申請書を提出すると、送付した審査機関内で申請書内容に誤記や前回からの大幅な変化がないかなどの形式審査が行われ、形式審査が済むと文書審査が行われます。

③ 形式審査と文書審査について

形式審査時では不備のない場合、連絡が来ないという事例が多いです。

一方、文書審査の場合は不備のありなしにかかわらず、JISQ15001:2017の要求事項に基づいた審査結果が審査機関から郵送もしくはメールで共有されます。

◯・△・✕・現地審査で結果表記されることが多く、△・✕の項目に関しては、現地審査までに書類の修正をお願いします。現地審査と記載されているものに関しては、現地審査時に審査員が確認しますので書類や手順説明の準備をお願いします。という内容です。

文書審査の修正は現地審査時に確認されます。文書審査に前後して、もしくは同時に現地審査の案内という当日のスケジュールや来訪される審査員の名前記載がされていることが多く、該当日時が現地審査となります。

④ 現地審査について

現地審査には通常、リーダー審査員，サブ審査員の2名が来訪し、2年分の文書審査の修正内容と実施記録の確認が行われます。

その際に、プライバシーマーク上の役職に就いている方にヒアリングが行われます。

これは審査員が、普段行われている仕事内容と記録内容が整合しているかを確認するためです。

⑤ 改善指示事項について

現地審査時に改善指示が下る場合があります。

例えば取り扱っているはずの個人情報が一覧に記載されていない、個人情報を委託している企業がたくさんあったがその企業に対しての個人情報を預けて良いかという評価がされていないなどです。

改善指示内容は現地審査から通常は2週間以内に郵送もしくはメールにて審査機関から共有されます。
最初の改善期間には3ヶ月の期間があり、その期間内に改善した結果を提出する必要があります。
この期間を過ぎるとプライバシーマークの失効となる場合もあります。

1度の改善書類提出では改善しきれない可能性があります。
弊社のお客様事例では、審査機関からの改善書類は平均3回ほど届き、2回目以降の改善期間は1ヶ月と初回よりも短くなります。

⑥ 改善指示事項対応後について

改善が確認されると審査員が月に1度行われる審査会で協議、その後プライバシーマークが無事更新されます。

更新されたら、プライバシーマーク付与番号の後ろにある枝番という、更新回数を新たにした書類とデータが届きますので掲示物の更新を行っていただく必要があります。

5．更新までにしなければいけないこと一覧

(1) 2年分の実施記録の収集
(2) 申請書類の作成
(3) 申請書類の提出
(4) 形式審査で不備のあった場合の修正
(5) 文書審査結果の修正
(6) 現地審査時にヒアリングが行われる代表者や個人情報保護管理者、監査責任者、マイナンバー取り扱い者のスケジューリング
(7) 現地審査時の応対
(8) 現地審査後に送られてくる改善書類への対応

大きく分けてこの8つが必要です。
また更新書類を送る際に注意したいのは前回申請時との変更です。

例えば従業員がこの2年で大きく増加したという場合、審査費用が2年前の倍になる可能性があり、代表者や申請担当者が変わった場合は登記事項証明書や定款、変更届を送付する必要も出てきます。

さらに企業内での変更がない場合でも前回申請書から審査機関の発行している申請書様式が刷新されており、提出に必要な書類が増えている・減っているという場合もあります。

書類作成前には必ず会社の現状確認、審査機関が書類更新を行っていないかの確認をしましょう。

6. 更新に必要な費用

プライバシーマークを更新するためには、新規認証時と同様に、
(1) 申請料
(2) 審査料
(3) 付与登録料
の３つがかかります。

会社の規模によって金額が異なります。

新規でも更新でも変わらないのが、(1)申請料と(3)付与登録料です。
(2)審査料だけ、新規よりも更新のほうが安くなります。

「費用についてもっと詳しく知りたい」
「自社が小規模・中規模・大規模のどれに当たるか分からない」
という方はこちらのコラムもご覧ください。
Pマークの取得費用を抑えるためには｜費用相場と３つのポイント

7. 更新の申請先

更新の時も新規認証の時と変わらず、審査機関に申請します。
審査機関は複数ありますが、新規認証時と同じ審査機関に申請する場合がほとんどです。

審査機関についてはこちらの記事もご覧ください。
意外と知らないPマーク審査機関のあれこれ

8.更新のための申請書類一覧

更新申請手続きのときに提出する書類は、下記です。
(1)～(7)を準備しましょう。

(1) 申請書
(2) 最新のPマーク文書一式
(3) 「個人情報管理台帳」の１ページ目
(4) 「リスク分析結果」の１ページ目
(5) 登記事項証明書の写し
(6) 定款の写し
(7) 変更報告書（社名・本社住所・責任者に変更があった場合）

また、(8)～(11)は任意でご提出いただく書類です。
可能であれば申請時、一緒に提出するのがよいでしょう。

(8) 教育記録一式
(9) 内部監査記録一式
(10) マネジメントレビュー記録一式
(11) 会社パンフレット等

9. 申請から更新完了までのスケジュール

申請から更新完了までのスケジュールは下記の通りです。いつ何があるか把握しておきましょう。

(1) 更新申請　有効期限8か月前～4か月まで
(2) 形式審査　申請後0.5か月
(3) 文書審査　形式審査後1.5か月
(4) 現地審査　文書審査後1か月
(5) 指摘改善　現地審査後1～6か月
(6) 更新完了　指定改善完了後1～2か月

10. プライバシーマーク(Pマーク)更新審査のタイムスケジュール

現地審査当日のタイムスケジュールです。まる１日かかります。
また、審査員のために、審査結果をまとめるための作業スペースか控え室を用意するのが良いかと思います。

11. プライバシーマーク(Pマーク)更新審査で審査員が見るポイント

審査員が見るポイントは2点あります。

１.PDCAサイクルを1回は回せているか
マネジメントレビューまで少なくとも1回はPDCAサイクルを回せているかを見られます。
これは内部監査やマネジメントレビューなど、マネジメントシステムを運用していくにあたって最低限必要なものとして見られているので、PDCAサイクルが1回も回せてないとなると、マネジメントシステムが運用できていないとなり、最悪はPマーク返上や再審査になります。

２.前回指摘事項のその後について
前回審査を受けた時に出された指摘事項について、どう対応するかを提出したかと思います。

その対応が実施されているのか、同じことが起きていないのかは必ず確認されると思ってください。

マネジメントシステムなので、基本的には同じことが起きないようにしていく対応が必要です。再発していてもそのままほうっていないかどうかをしっかり確認しておきましょう。

12. 更新審査でやってはいけないこと

とりつくろわない、嘘をつかないようにしましょう。
できていないことをその場しのぎで取り繕ってしまうと、その後の審査の内容でつじつまが合わなくなったり、かえって審査を進めづらくなります。

特に従業員人数などは、審査費用が変わるため、実際より少し少なく伝えたりすると、給与台帳などをもとに確認され、最悪の場合、審査中止などになりかねません。

13. 更新をお手伝いするコンサルを特徴別に紹介

個人情報の把握や管理という意味では、自社で実施することが最善かもしれません。

しかしながら、人材や時間の確保が難しいという場合も大いにあると思います。
その場合は、プライバシーマークコンサルタントに依頼してみるといいでしょう。

① アドバイス型
② 丸投げ型
③ 並走型

主にこの3つに分けられます。

① アドバイス型

会社の現状を聞き、プライバシーマークに必要な助言を行うコンサルタントです。
コンサルタントと聞いたときに最初に想像する型がこれかもしれません。

基本的に書類作成には携わらず、定期的に訪問もしくはメールや電話相談を受け、それぞれの企業に必要なアドバイスを行い、会社内での担当者やプライバシーマークグループが書類などの作成・修正にあたります。

メリットは会社内の人材で書類を作成しますので実務に沿った内容作成ができることです。

デメリットは業務時間での作業となるため人件費換算したときの損失、従業員の残業時間となることもことも多く担当者の心身にも負担となることが挙げられます。

② 丸投げ型

文書の構築から書類の作成までを請け負ってくれるコンサルタントです。

いくつかヒアリングの時間を取られる可能性はありますが、基本的に助言などは行わず書類作成を担い、現地審査時には2年分の必要書類が揃っています。

メリットは審査機関とのやり取り以外ほとんど従業員の時間が取られないことです。

デメリットは以下の3点が挙げられます。
・書類の作成が知らぬ間に行われているために現状とは相違が出てしまう
・現地審査時に不備の指摘が多く出てしまい審査後の対応時間がかかってしまう
・企業での個人情報保護のための活動というプライバシーマーク本来の意義から逸脱するおそれがある

③ 並走型

アドバイス型、丸投げ型の間に位置するのがこの並走型です。

定期訪問やメールや電話での連絡をもとに企業の現状を確認、それに基づいた書類からコンサルタントが書類を作成、内容の確認をその場で行うというものです。

メリットは会社の状況に沿った書類が作成され従業員の時間が現地審査以外にはほとんど取られないことです。
デメリットは又聞きでの書類作成となるため特に他部門での情報不備が出やすいことが挙げられます。

まとめ

プライバシーマークの更新申請時には申請書と必要書類を審査機関に提出する必要があることがわかりました。
その後提出した書類をもとにした形式審査・文書審査が行われた後に実際に審査員が企業訪問を行う現地審査となります。

現地審査審査の際には2年分の運用記録が必要となりいますが、日々の業務の中でプライバシーマークのために従業員の勤務時間を割くのが難しいという企業も多いのではないでしょうか。

そのためにコンサルタントを活用するのもひとつの手段でしょう。
その際には助言がメインのアドバイス型や、実態に沿った記録や文書が作成されない可能性の高い丸投げ型ではなく、実態を確認しながら記録や文書の作成が行われる並走型のコンサルタントを活用されてみてはいかがでしょうか。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約