【Pマーク運用の要】守るべき「規約」と企業がとるべき行動について詳しく解説

「Pマーク（プライバシーマーク）を取得したあとに守るべきことは何？」

このような疑問をお持ちの企業担当者様、いらっしゃるのではないでしょうか。

Pマークの付与後、取得企業が守るべき規約があります。

その規約のことを「プライバシーマーク付与に関する規約」といいます。

Pマークの取得をしても、規約を守らなければPマーク付与の一時停止や、Pマーク付与の取り消しになってしまう可能性があります。

ここでは、「プライバシーマーク付与に関する規約」とはどのようなものか、また、Pマーク付与後守るべき項目について解説します。

本コラムを読み終えれば、Pマーク取得後、企業が行ってはいけない行動がわかり、Pマークの付与を継続することができるでしょう。

1.「プライバシーマーク付与に関する規約」の遵守は義務

「プライバシーマーク付与に関する規約」とは、数あるPマーク制度の内の一つです。

運営要領は大きく6つに分かれており、全体、審査機関、研修機関、審査員登録、付与事業者、その他となっています。

プライバシーマーク付与に関する規約は、その中の付与事業者、つまりPマーク取得企業に向けた規約を主に指します。

例えば、Pマークを付与された企業が、個人情報の取り扱いを誤ってしまい、そこから個人情報が流出してしまったとします。

その時企業は、必ず審査機関に報告しなければなりません。

そういった内容のルールが記載されているのが「プライバシーマーク付与に関する規約」です。

では、「プライバシーマーク付与に関する規約」の詳細はどのようなものなのか、本章で解説していきます。

（1）プライバシーマーク付与に関する規約は7章編成

「プライバシーマーク付与に関する規約」の内容は、7つの章からできています。

1. 総則
2. 付与契約の締結
3. 事業者の登録及び付与内容の変更
4. 付与契約の更新
5. 付与事業者の監督
6. 異議の申出
7. 改正

こちらの原文は、JIPDECのホームページにて掲載されていますので、そちらも併せてお読みください。

サイトURL：JIPDECのホームページ

（2）各章の内容を解説

「プライバシーマーク付与に関する規約」が7つの章からできていることがわかったところで、その内容について簡単に説明します。

①総則

規約の目的、用語の定義、適用範囲の規定などが記載されています。

各Pマーク制度の法的・概念的な基盤などが記載されている章です。

②付与契約の締結

各審査を経て、Pマークを付与する際の契約成立に関する手続きについて記載されています。

③事業者の登録及び付与内容の変更

社名や所在地、代表者などの登録情報の管理と、変更が生じた場合の報告義務について記載しています。

④付与契約の更新

有効期限満了に伴う更新審査の申請期限や、更新後の有効期限の規定について記載しています。

⑤付与事業者の監督

JIPDECによる運用状況の監督や指導、および重大な違反行為に対する処分を規定する内容が記載されています。

⑥異議の申出

審査結果や監督上の処分に対し、事業者が異議を申し立てる際の手順について記載されています。

⑦改正

規約自体が変更された場合の周知方法や適用時期について記載されています。

Pマーク取得後、上記に記載した「プライバシーマーク付与に関する規約」を遵守しなければ、組織の社会的信頼や評判は大きく低下する可能性があります。

2.Pマーク維持のために実務で注意すべき5つのポイント

個人情報保護マネジメントシステム（PMS）を運営するにあたり、「プライバシーマーク付与に関する規約」に基づく手続きとして特に注意が必要な項目があります。

第一章でも述べた通り、Pマークを取得したからといって、そこがゴールというわけではありません。

「プライバシーマーク付与に関する規約」に基づき手続きを行わないと、期限や金銭、リスクに関わるリスクが発生する可能性があります。

本章では、そのリスクについて注意すべきポイント5つについて解説していきます。

（1）Pマークの付与登録料について

「プライバシーマーク付与に関する規約」は、Pマークの付与に対して、2年分の付与登録料を納付することを義務付けています。

この登録料は、新規取得時だけでなく、更新時にも発生する固定費用です。

付与登録料は業種と事業規模によって変わります。

例えば、サービス業で5名であれば小規模、サービス業で6名であれば中規模といった形です。

付与登録料は、資本金額によっても変わってくるため注意が必要です。

企業の成長や組織変更により規模が大きくなった場合、更新時の登録料が増額する可能性があります。

規約を理解し、将来を見越した計画を立てることが重要です。

（2）登録事項に変更があった場合の対応

Pマークの付与登録情報に変更があった場合、事業者は速やかに関係審査機関へ届け出を出さなければなりません。

この作業は単なる事務手続きではなく、企業の実態とPMSの適用範囲が一致していることを保証するための規約上の義務です。

社名・所在地・代表者の変更

最も頻繁に発生し、遅延なく報告が必要です。

事業内容の変更

個人情報の利用目的や取り扱い方法が変わる可能性があるため、PMSへの影響も考慮し報告します。

合併・分社・事業承継

組織の根幹に関わるため、Pマークの承継や再審査の必要性について、事前に審査機関と協議することが求められます。報告に不備があると、登録情報と実態に差異が発生し、重大な規約違反とみなされるリスクがあります。

（3）更新・有効期限について

Pマークの有効期間は2年間であり、継続して使用するためには更新審査を受けなければなりません。

「プライバシーマーク付与に関する規約」では、この更新審査の申請期間が、有効期間満了日の8ヶ月前から4ヶ月前までと厳格に定められています。

この期間内に申請が行われない場合、特別な理由がない限り、Pマークは失効します。

失効は企業の信用に直結するため、Pマークを管理する企業担当者は、有効期間の満了日を常に意識し、申請期間が開始する前に必要な内部監査やマネジメントレビューを完了させるなど、計画的な準備が不可欠です。

（4）個人情報に関する内容の事故が発生した場合の報告

「プライバシーマーク付与に関する規約」の中で、最も重要かつ緊急性の高い義務が、個人情報の漏えい、滅失、き損など、本人の権利や利益を侵害する事故が発生した場合の報告義務です。

「プライバシーマーク付与に関する規約」は、事故の大小に関わらず、発生した場合は速やかに審査機関に報告することを求めています。

これは、事故への隠蔽を防ぎ、Pマークに関する制度全体のリスク管理を行うための仕組みです。

即時報告

事故が発生または発覚した際は、まず審査機関に連絡し、発生事実と初期対応を報告します。

自己判断はしない

事故の影響を事業者が自己判断で過小評価したり、報告を遅延させたりすることは、規約違反となるだけでなく、後の公的機関への報告（個人情報保護委員会など）にも悪影響を及ぼします。

審査機関の判断を仰ぐ

審査機関に報告し、指導や助言を得ながら対応を進めることが、「プライバシーマーク付与に関する規約」に沿った適切な行動といえます。

（5）Pマークの一時停止・取り消しの基準

「プライバシーマーク付与に関する規約」は、事業者が法令やJIS Q 15001への適合性を満たさなくなった場合、または重大な違反行為があった場合に、Pマークの付与を一時停止または取り消すための詳細な基準を定めています。

特に、虚偽の申請が判明した場合や、社会的に重大な個人情報漏えい事故を引き起こした場合は、Pマークの取り消し処分を受ける可能性が高くなります。

これにより、単にロゴを失うだけでなく、組織が社会的に信頼を失ってしまうリスクもあります。

日頃からPMSに対して、名ばかりの運用はせず、誠実に対応することが、「プライバシーマーク付与に関する規約」に反した内容に該当することを防ぐ唯一の方法になります。

3.まとめ

いかがでしたか？

本コラムでは、第一章に「プライバシーマーク付与に関する規約」の簡単な概要を説明しました。

第二章では、付与されたPマークを維持するために、実務で注意すべき5つのポイントを解説しました。

1. Pマークの付与登録料は2年分納付が必要。登録料は固定費である。
2. 登録事項に変更があった場合、都度報告を行う必要がある。
3. Pマークには更新するための有効期限がある。
4. 個人情報に関する内容の事故が発生した場合の報告は必須。
5. 重大な違反行為や、JIS Q 15001への適合性を満たさなくなった場合、Pマークの一時停止・取り消しに該当する。

上記のポイントを知ることで、Pマークの継続的な運用を行えるはずです。

ぜひ、本コラムを読んで、Pマーク付与事業者が守るべき内容や取るべき行動を理解し、組織の改革に役立ててください。