【初心者向け】Pマークの審査の流れ・注意点をイチから徹底解説！

企業がPマークを取得するためには、申請→形式審査→文書審査→現地審査という一連のステップをクリアする必要があります。そのため、各ステップのポイントをしっかり押さえることが重要です。

しかし、初めての申請では「何から手をつければいいのか分からない」「どのような書類が必要なのか」といった戸惑いや不安を感じる方も多いのではないでしょうか。

本記事では、Pマーク取得を支援してきたコンサルタントの視点から、審査をスムーズに進めるための具体的な方法を分かりやすくまとめました。これまで数多くの企業をサポートしてきた経験をもとに、Pマーク審査の概要や基準、具体的な準備物、申請から現地審査までの流れ、さらには審査機関の種類や特徴についても詳しく解説しています。

初めてPマーク審査に挑む方がスムーズに準備を進められるよう、ぜひ本記事をご活用ください。

1. Pマークの審査とは

Pマークの審査とは、企業が個人情報保護マネジメントシステム（PMS）を適切に構築・運用していることを証明するためのプロセスです。

審査は、企業が個人情報を適切に管理し、保護する体制を整えているかを確認することを目的としています。
そのため、申請書類の形式確認（形式審査）、
内部規定や運用状況の確認（文書審査）、
実際の現場での運用状況の確認（現地審査）といった項目が審査対象になります。
Pマークの審査自体をしっかり把握して、スムーズに進めていきましょう。

2.Pマーク審査基準

Pマークの審査は、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指標」に基づいて実施されます。
決められた基準に従って審査が進められますが、審査機関によっては基準や付与までの期間に違いが生じる場合があります。

3.Pマークの審査に落ちることはある？

Pマークの審査では、合格や不合格といった明確な判定があるわけではないため、「審査に落ちる」という概念は存在しません。

ただし、審査を進める上で注意すべき点があります。

例えば、審査料金を安くする目的で従業員数を偽る行為や、申請や審査に必要な料金を支払わないといった不正行為は、当然ながら認められません。また、審査後に指摘された改善事項を長期間放置したり、改善の意思が見られない場合も、Pマークの継続が難しくなる可能性があります。

基本的に、Pマークを取得・更新したいという意思を持つ企業に対して、審査機関が意図的に「落とす」ことはありませんのでご安心ください。

4.Pマークの審査機関

Pマークにおける審査機関とは、「Pマークを付与してよいかを審査し、判断する機関」です。
審査機関の種類や違い、そして付与機関との関係について詳しく解説します。

⑴審査機関

Pマークの審査を行う審査機関は、申請者が提出した書類や運用状況を確認し、個人情報保護マネジメントシステム（PMS）が適切に構築・運用されているかを評価します。
審査機関は業種や地域によって異なり、特定の業種に特化した審査機関も存在します。

① JIPDEC(日本情報経済社会推進協会)
JIPDECはPマーク制度の中心的な組織であり、付与機関としての役割も担う審査機関です。
東京都に本部を構えており、関東圏の事業者が利用するケースが多いですが、全国どの地域の事業者でも審査を受けることが可能です。

審査基準が厳格で、指摘事項が多くなる傾向があるため、細部までしっかりと審査を受けたい事業者に適した審査機関といえます。

② 本社が地方にある事業者対象の審査機関
地方に本社を構える企業でJIPDECでの申請が難しい場合は、以下の地域ごとに指定された審査機関で申請が可能です。

• 北海道：一般社団法人北海道IT推進協会（DPJC）
• 東北：特定非営利活動法人みちのく情報セキュリティ推進機構（TPJC）
• 中部：一般社団法人中部産業連盟（中産連）
• 関西：一般財団法人関西情報センター（KIIS）
• 中国・四国：特定非営利活動法人中四国マネジメントシステム推進機構（中四国MS機構）
• 九州・沖縄：公益財団法人くまもと産業支援財団（KPJC）

これらの審査機関は、JIPDECから正式に指定された各地域のPマーク認定審査機関です。
遠方に本社がある場合は、該当する地域の審査機関に申請することで、スムーズに審査を進めることができます。

③ 特定の業種のみを対象とした審査機関
審査機関には特定の業種のみを対象とした審査機関もあります。

• 保健・医療・福祉分野：一般財団法人医療情報システム開発センター（MEDIS-DC）
• IT関連事業者：一般社団法人情報サービス産業協会（JISA）
  一般社団法人日本情報システム・ユーザー協会（JUAS）

これらの業種特化型の審査機関で審査を受ける際には、会員登録が必要で、入会金や年会費を支払う必要がある場合があります。

⑵付与機関

付与機関は、審査機関の審査結果をもとに、正式にPマークを付与する役割を担います。日本におけるPマークの付与機関は「一般財団法人日本情報経済社会推進協会（JIPDEC）」です。

簡単に言えば、審査機関は「審査を行う場所」、付与機関は「最終的にPマークを発行する場所」です。審査機関での審査を通過した後、付与機関であるJIPDECが最終的にPマークを付与します。

5.審査を受けるために必要な準備物

審査を受けるためには、申請書類を提出する必要があります。申請書類は、審査のための申込書にあたりますが、単にフォーマットを用意すれば良いというわけではありません。

Pマークの申請には、運用の実績が求められます。
具体的には、PDCAサイクル（計画・実行・確認・改善）を一通り実施した後に申請する必要があります。このPDCAサイクルには、個人情報の洗い出し、リスク分析、内部監査の実施、マネジメントレビューの実施などが含まれます。

PDCAサイクルを適切に回し、チェック機能を確立するためには、少なくとも約2か月の運用期間が必要です。そのため、申請までには最低でも約2か月の準備期間が必要であると認識しておきましょう。

認証パートナーでは、審査前の不安や対策など月額4万円からサポートいたします。詳しいサポート内容などお気軽にお問い合わせください。

6.申請から現地審査までの流れ

Pマークの申請から現地審査までの流れは、申請→形式審査→文書審査→現地審査です。
期間の目安は以下の通りです。

⑴申請

現地審査を受けるためには、事前に申請が必要です。
※Pマークの要求事項に基づき、最低でも2か月以上の運用実績が求められます。その後、申請が可能となります。

【申込方法】
各審査機関のウェブサイトから申請書フォーマットをダウンロードし、申請書に記載されている手順に従って必要な添付書類を準備します。
準備が整ったら、各審査機関が指定する方法で申請書類一式を提出してください。

【必要書類】
申請書
Pマーク関連の帳票類・フォーマット類一式
登記簿謄本（原本）
定款（コピー）
※必要書類は審査機関によって若干異なる場合がありますので、事前に確認してください。

⑵形式審査

申請料の振り込みが確認されると、審査機関によって形式審査が実施されます。
形式審査では、提出された申請書類に不備がないかを確認するとともに、申請資格の有無や業種・規模の判断が行われます。

【形式審査の流れ】
形式審査では、以下の内容が確認されます。
提出書類に不備がないか
申請資格があるか
業種や規模の適合性

必要に応じて、申請書類の修正や追加提出を依頼される場合があります。

【結果通知】
形式審査が完了し、申請書が受理された場合、受理した旨と業種・規模についての通知が書面で届きます。
この通知をもって、次の審査ステップへ進むことができます。
以上のプロセスを経て、申請が正式に受理され、現地審査へと進む準備が整います。

⑶文書審査

文書審査は、申請時に提出した個人情報マネジメントシステム（PMS）文書が、JIS Q 15001に基づいたプライバシーマーク付与適格性審査基準に適合しているかを確認する審査です。
審査機関が書類を精査し、内部規定が審査基準に適合しているか、全従業員が内部規定を守るための手段が策定されているかを確認します。

【場所】
文書審査は審査機関にて実施されます。
申請者側での対応は特に必要ありませんが、審査結果に基づき修正が求められる場合があります。

【審査内容】
PMSの運用に必要な手順が内部規程に定められているか
必要な手順が文書で証明されているか
運用が適格性審査基準を満たしているか

【対応】
文書審査の結果、不適合や「現地審査時に確認」とされた項目については、現地審査までに修正や改善が必要です。不適合が多い場合には、再文書審査が行われることもあります。

【所要期間】
申請受理から文書審査終了までは約1.5カ月かかります。
審査結果は現地審査の約3週間前に郵送で通知されます。

【注意点】
文書審査で指摘事項が確認された場合、現地審査までに改善対応を完了させる必要があります。
指摘事項に対しては「指摘事項対応表」を作成し適切に対応することが求められます。
審査機関からの通知をしっかり確認し、必要な対応を行いましょう。

⑷現地審査

現地審査では、審査員が直接会社を訪問し、文書審査で指摘された内容が修正されているか、Pマークの運用書類と実際の業務内容が一致しているか、また現場のセキュリティ体制に問題がないかを確認します。審査は丸1日かけて実施されます。

【場所】
審査は、個人情報の取り扱いが最も多い拠点で行われることが一般的です。
通常は本社で実施されます。

【準備物】
文書審査の結果
Pマークのマニュアル・規定類
Pマークの帳票類・フォーマット
Pマークの記録類
※関連書類や記録はファイリングし、付箋をつけてわかりやすく整理しておくとスムーズです。

【審査当日の流れ】
審査の説明（15～30分）
審査員から当日のスケジュールや審査の進め方について説明があります。

トップインタビュー（30分程度）
代表者が出席する必須項目です。
審査員がPマーク取得の経緯やセキュリティに関する課題、今後の展望などをヒアリングします。

業務のヒアリング（60～90分）
個人情報の流れについて、取得から保管、移送、廃棄までの全体的なプロセスを担当者に確認します。

Pマークの記録確認（2～3時間）
業務ヒアリングで確認した内容と、作成した記録が一致しているかを審査します。
不一致があれば不適合として指摘されます。この項目が最も時間を要します。

現場のセキュリティの確認（30～60分）
情報の保管場所、サーバーの設置状況、パソコンの設定（パスワード、スクリーンセーバー、セキュリティソフトのバージョンなど）を確認します。審査員によって確認ポイントは多少異なりますが、重要な項目は必ずチェックされます。不備があれば不適合となります。

総括（30分程度）
審査の結果、不適合の数や内容について共有されます。ただし、具体的な改善方法については審査員からの指導はありません（審査員がコンサルティングを行うことは禁止されているため）。

【注意点】
現地審査では、文書審査で指摘された不適合が修正されていることが重要です。また、現場のセキュリティ体制が適切であることを確認するため、事前準備をしっかり行いましょう。

7.審査後の対応：指摘改善作業

現地審査が終了すると、1〜2週間後に審査員から「指摘文書」が送付されます。
この文書には、審査中に確認された不適合箇所が記載されています。申請者は、この「指摘文書」に基づき、改善内容をまとめた「指摘改善文書」を作成し、審査員に提出する必要があります。

1回目の「指摘改善文書」の提出期限は、指摘文書の受領から3か月以内です。
ただし、1回目の対応で全ての不適合が解消されることは少なく、2回目、3回目と繰り返し対応が求められる場合があります。
2回目以降の提出期限は1か月以内となるため、迅速な対応が求められます。

指摘改善対応は、Pマークの専門用語が多用されているため、内容を正確に理解し、適切に対応することが難しい場合があります。そのため、指摘改善対応が最も大変な工程だと感じる方も少なくありません。

8.Pマークの審査に必要な費用

Pマークの取得には以下の3つの費用が必要です。
申請料
審査料
登録料

企業は従業員数や資本金に応じて、小規模・中規模・大規模のいずれかに分類されます。
新規取得か更新かによっても料金が異なるため、事前に確認しておきましょう。
新規取得の場合の料金表

更新の場合の料金表

費用｜申請手続き｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会(JIPDEC)

9.Pマークの審査を進めるときの注意点

Pマークの現地審査を受ける際には、いくつか押さえておくべき注意点があります。

まず、現地審査に立ち会えるのは、Pマーク制度上「従業者」として認められる組織内部の職員に限られます。
そのため、外部のコンサルタントや業務委託の方が審査に同席することは、JIPDECが定める規約に違反するのでルール違反となります。

審査当日は、社内の担当者がしっかりと準備を整え、審査員からの質問や確認事項に対応できるようにしておくことが大切です。
事前に必要な書類や情報を整理し、スムーズに対応できる体制を整えておきましょう。

さらに、審査後に指摘事項が出された場合は、指定された期限内に改善内容をまとめた書類を提出する必要があります。
この期限を守らないと、審査が中断または打ち切られる可能性があるため、迅速かつ正確な対応が求められます。
指摘内容が専門的で分かりにくい場合もあるため、社内での連携を強化し、必要に応じて専門家のアドバイスを受けるなど、効率的に改善作業を進めることが重要です。

まとめ

この記事では、Pマークの審査について詳しく解説しました。

Pマークの取得は、企業にとって個人情報保護の体制を強化し、顧客からの信頼を得るために重要な取り組みです。

審査は、申請から始まり、形式審査、文書審査、現地審査を経て、最終的にPマークの付与に至るまでの流れとなっています。それぞれの審査段階で求められる要件を理解し、適切な準備と対応を行うことが重要です。

特に、現地審査では、審査員が直接会社を訪問し、文書審査で指摘された内容が修正されているか、Pマークの運用書類と実際の業務内容が一致しているか、また現場のセキュリティ体制に問題がないかを確認します。企業は、審査員からの質問や確認事項に対応できるよう、事前に必要な書類や情報を整理し、スムーズに対応できる体制を整えておく必要があります。

また、審査後に指摘事項が出された場合は、指定された期限内に改善内容をまとめた書類を提出する必要があります。この期限を守らないと、審査が中断または打ち切られる可能性があるため、迅速かつ正確な対応が求められます。指摘内容が専門的で分かりにくい場合もあるため、社内での連携を強化し、必要に応じて専門家のアドバイスを受けるなど、効率的に改善作業を進めることが重要です。

Pマークの取得は、企業にとって時間と労力を要するプロセスですが、個人情報保護の重要性が高まる中、その意義はますます大きくなっています。この記事を参考に、Pマークの審査をスムーズに進め、企業の信頼とブランド価値向上に繋げていただければ幸いです。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する