1.Pマーク（プライバシーマーク）制度の概要と付与の対象

(1)概要

Pマーク制度とは、日本工業規格（JIS Q 15001）に基づき、個人情報の保護に関する適切な管理を行っている企業や組織に対して、認定機関がプライバシーマークを付与する制度です。

プライバシーマークを取得することで、会社が個人情報をしっかり守るための体制が整っていることを社外にアピールすることができます。

現在17,598社（2024年3月時点）の企業がプライバシーマークを取得しています。

(2)付与の対象

Pマークは個人情報を適切に管理していると認定された事業者のみが使用できるマークです。審査に合格した事業者に付与されます。

また、そもそも日本国内の企業で、代表者含む正社員が2名以上いる事業者でないと申請できません。つまり、海外の企業や従業員が１名の企業は取得できません。

そして、JIPDECが公表している規約の欠格事由に該当する場合、プライバシーマークの取得対象外となるため、事前に確認が必要です。欠格事由を確認される方は、下記のJIPDECのページをご覧ください。

参考URL : プライバシーマークとは｜プライバシーマーク付与に関する規約｜一般財団法人日本情報経済社会推進協会（JIPDEC）

2.Pマークを取得する流れ

まずはPマーク認証取得するまでの全体的なイメージを持ちましょう。大きく６つのステップがあります。

これを見るだけでは、やるべきことが少ないように感じられる方もいるかもしれません。
しかし、実際には個人情報の保護に関する様々な要件を満たす必要があります。それぞれのステップを説明していきます。

3.ステップ１　取得のための計画作成

(1)社内責任者の選定

社内責任者とは、プライバシーマーク取得を進めていく上での全体のリーダー役です。
審査でも社内責任者の方が対応を行うことが想定されるため、会社全体の業務内容を把握している方、もしくはシステム担当者が任命されるケースが多いです。また、社長自らが社内責任者となることもあります。

プライバシーマーク取得に向けて準備を進める際には、新たなルールが設けられ、社員がそれを遵守しなければならない場合もあります。そのため、統制を取ることができる人物を社内責任者として任命することが推奨されます。

(2)取得期日の決定

「〇月〇日までに取得完了をする」という具体的な期日を設定しましょう。
プロジェクトが長引くケースが多いため、具体的な日付を設定することでプロジェクトの進行がスムーズになり、目標達成に向けた行動計画を立てやすくなります。
また、全体のスケジュール管理がしやすくなり、必要なタスクの優先順位をつけやすくなるでしょう。

また、審査機関が混雑していることが多く、審査の日程調整が難しい場合もあります。
不安な方は審査機関に「審査は申請してからどのくらいになりますか？」と問い合わせると、審査機関側から回答を頂けることが多いです。

(3)審査機関の選定

プライバシーマーク（Pマーク）の審査機関は現在20の審査機関が存在しています。
審査機関によっては、審査の手法や傾向に違いがあることがあります。

どの審査機関を選んでも発行されるプライバシーマークのデザインは同じで、効力も変わりません。
また、審査費用も一律です。

参考URL : 費用｜申請・報告｜一般財団法人日本情報経済社会推進協会（JIPDEC）

ただし、審査機関によっては追加で「入会金」や「年会費」がかかる審査機関もあるので注意が必要です。
地域や業界によって審査機関が限定されるケースも多いため、まずは受けられる業界及び地域の審査機関がどこか調べるとよいでしょう。

ここまで読んでも「正直よく分からない…ウチの場合はどの審査機関に該当するの？」という方も多いと思います。

審査機関について知りたい方は下記のコラムもご参考下さい。

(4)コンサル会社のサポートを利用するか

コンサル会社のサポートを利用すると、ノウハウ不足・リソース不足・本業の時間の確保を補うことができるので、社内責任者や携わる従業員の負担は確実に減ります。

もちろんコンサルティング費用はかかりますが、それ以上にメリットが多くあります。ただし、コンサル会社によってサポート内容は大きく異なります。
実際にコンサル会社を選定する際には、サービス内容を確認し、自社にあったものを選ぶのが良いでしょう。

コンサル会社選びのポイントについては、こちらの記事に詳しく書いています。

4.ステップ２　Pマーク取得に必要な文書・記録を用意する

Pマーク取得に必要な文書・記録を解説します。

(1)文書類

プライバシーマークで求められている内容に対してのルール、セキュリティに関してのルールといったルールブックを作成する必要があります。

(2)記録類

自社で定めたルールブックにのっとり、Pマークの運用を行った記録を残す必要があります。
Pマークの審査は新規で取る際、必ず運用を行った記録を残す必要があります。
また、取って終わりではなく2年に1回更新審査があるため更新審査時は2年分の記録が必要になります。

記録類は以下の7つに分けられます。

• 個人情報の一覧
  自社で取り扱っている個人情報の書類を洗い出し、一覧にまとめたものです。
• 法令
  自社の業務に関係のある法令、個人情報の取扱いに関する法令、国が定める指針その他の規範を洗い出し一覧として見れる状態にしたものです。
• リスク分析・リスクアセスメント
  「個人情報の一覧」にある情報を取り扱う上でどういったリスクがあるか洗い出し、リスクに対してどういった対策を取るのかをまとめたものです。
• 委託先評価
  個人情報を委託している事業者を特定し、評価したものです。
• 認識
  従業者全員に個人情報保護についての教育を行います。
  実施する教育についての計画書と、実施した記録を作成したものです。
• 監査
  個人情報保護マネジメントシステムと自社のルールブックを見比べ「×」がないか確認し、個人情報保護マネジメントシステムと「○」になっているルールブックと実運用において問題がないかをチェックしたものです。また、監査によって「×」が出た場合は「×」を直した記録が必要です。
• マネジメントレビュー
  社内責任者から代表者へ全運用状況の報告を行い、報告を受け取った代表者から今後のプライバシーマークの運用に関して指示を行ったものです。

申請の際は以上7種類の記録が必要になります。

(3)帳票類

Pマークの運用をするために必要な様式の準備もしなければなりません。
こちらの様式もプライバシーマーク（Pマーク）の要求事項を反映し、作る必要があります。

従業者との同意書や委託先との個人情報に関しての契約書、上記(2)で挙げた記録の様式などがこの帳票に該当します。

5.ステップ３　申請

続いては申請です。申請とは、プライバシーマーク（Pマーク）の認定を受けるための審査の申込みのことです。

「申請書」には提出しなければならない書類の種類が約20種類ほどあります。
新規申請と更新申請では、提出する書類が審査機関により一部異なることがあります。そのため、各審査機関のウェブサイトで確認してください。

JIPDECにて新規で申請する際の書類はこちらです。

必ずご提出いただく書類

任意でご提出いただく書類

出典元 : 1.申請書類の作成｜新規申請方法｜一般財団法人日本情報経済社会推進協会（JIPDEC）

6.ステップ４　審査

(1)　 形式審査〜文書審査

いよいよプライバシーマーク（Pマーク）の審査を受けます。
審査は細かくわけると 「形式審査」「文書審査」「現地審査」と3つあります。

形式審査では、申請された書類に不備がないかどうか確認されます。
ここで足りない書類や不備等がある場合、審査機関より修正や追加での書類提出を求められます。
問題なく申請の受付ができましたら、次の文書審査へ移行します。

文書審査では、申請時に提出された書類がプライバシーマークの要求事項に沿って作成されたルールブックかどうか、要求事項を満たしているルールかどうかを確認されます。
文書審査の結果は現地審査の2〜3週間ほど前には届きますので、「×」の項目がある場合、現地審査までに修正する必要があり、できていなかった場合、現地での審査でも指摘をされます。

(2)　現地審査

現地審査では、審査員2名が会社に来訪し、実際に個人情報の管理ルールがあるか、ルール通りに運用されているかを1日かけて確認を行います。

時間調整が必要だと感じられる方もいらっしゃると思いますので、現地審査のタイムスケジュールについて以下の記事を参考にして頂けるとよいです。

7.ステップ５　指摘事項の改善

指摘事項とは、審査の結果、要求事項に適合していないと判断された点を指します。

この指摘事項は、現地審査が終了した後、1週間から2週間で審査員から「指摘文書」として送られてきます。
「指摘文書」に対して、1回目は3ヶ月以内に「指摘改善文書」を作成し、審査員に提出する必要があります。

しかし、一度の提出で全てが完了することは少なく、2回目、3回目と続くことが多いです。それぞれの回で、まだ改善が必要とされた箇所については、再度「指摘改善文書」を作り直し、審査員へ提出しなければなりません。
特に2回目以降は、提出期限が1ヶ月と短くなるため、早めの対応が求められます。

また、「指摘文書」にはPマークの専門的な用語が多く、理解するのが難しいため、この改善対応が一番大変だと感じる方も多いです。

「多くの指摘が出て、担当者だけでは対応できない」
「審査は自分たちで乗り切ったが、指摘改善対応からサポートが欲しい」
といったお客様の声もあります。

8.ステップ６　認証書発行、認証完了、取得

やっとここまできました。 ついにプライバシーマーク（Pマーク）の取得です。
『認証書』という証明書が発行され、認証完了になります。

ここで１つ注意点があります。
審査に受かっても、「付与登録料」の支払い、及び契約書締結の対応がないと認証書が送られてきません。
必ず対応をしましょう。

9.Pマーク取得にかかる費用

Pマーク取得にかかる費用は、大きく２つあります。

(１)Pマーク審査を受けるためにかかる費用(申請書＋審査料＋付与登録料)

Pマークの審査を受けるために必要な費用は、申請書、審査料、付与登録料から成り立っています。
これらはPマークを取得または更新する際に必ず必要となる費用で、審査機関や付与機関に支払うものです。どの審査機関を選んでも基本的に金額は同じです。

ただし、Pマークの審査に必要な費用は、企業の規模によって3つのカテゴリーに分けられています。
それぞれの規模を簡単に説明すると、以下の通りです。

• 小規模：5名以下
• 中規模：6名～100名
• 大規模：100名以上

企業の規模によって費用は変動しますが、最も小さい「小規模」に該当する場合でも、約30万円が必要となります。

下記は、Ｐマーク審査を受けるためにかかる費用(申請書＋審査料＋付与登録料)の一覧です。

新規取得の場合の料金表

更新の場合の料金表

出典元：費用｜申請・報告｜一般財団法人日本情報経済社会推進協会（JIPDEC）

プライバシーマークの取得費用について、詳しくはこちらをご参考ください。

プライバシーマークを取りたいけど、どの区分に該当するか分からないとなった場合は、JIPDECホームページに詳細がありますので、以下URLよりご確認することをお勧めします。
参考URL : 費用｜申請・報告｜一般財団法人日本情報経済社会推進協会（JIPDEC）

(２)コンサルティング費用

コンサルティング費用は、専門のコンサルティング会社のサポートを受けるために支払う費用です。
プライバシーマークの取得において、コンサルティング会社の利用は必須ではありません。

一方で、コンサルタントの利用には多くのメリットがあります。自社での取得に比べて作業負担が軽減され、認証取得までの期間が短縮されることなどが挙げられます。
そのため、多くの企業がコンサルティングを利用し、準備から手続きまでを行っています。
費用は、コンサルティング会社によって異なりますが、40万円～200万円程度です。

コンサルティングサービスの内容や費用には幅がありますが、高い費用が必ずしも良いサービスを意味するわけではありません。
費用について疑問がある場合は、担当者と相談し、サービス内容や自社で行うべき作業について詳細を確認しましょう。

10.まとめ

Pマークの取得方法は、プロジェクトを完結させるための計画作成、規程及び記録作成、申込み、審査、指摘事項の改善、認証完了の6ステップを進めることです。
Pマークの取得方法にある「審査」を細分化すると「形式審査」「文書審査」「現地審査」と3回もあるので、事前準備が必要かつ重要になっていきます。

お悩みごとや取得に向けて動いているがなかなか上手くいかないなどのお困りごとがありましたら、まずは無料でご相談も可能ですのでお気軽にお問い合わせください。
計画作成や必要な書類の用意を含めて、Pマーク認証取得のサポートも実施させていただきます。