2025年12月5日
目次
Close
- 1.プライバシーマーク(Pマーク)の有効期限は2年間
- 2.プライバシーマークは更新審査を受ける必要がある
- ⑴更新申請は満了日の8ヶ月前から4ヶ月前
- ⑵更新時に必要な申請書類とは
- ⑶更新の申請先
- 3.プライバシーマークの更新申請から更新完了までの流れ
- ⑴ステップ1:申請準備と2年間の「実施記録」の準備
- ⑵ステップ2:申請書類の提出
- ⑶ステップ3:形式審査と文書審査
- ⑷ステップ4:現地審査とヒアリング
- ⑸ステップ5:改善指示事項への対応と再提出
- ⑹ステップ6:更新完了と認定
- 4. 更新に必要な費用
- 5.プライバシーマーク(Pマーク)更新審査のタイムスケジュール
- 6.プライバシーマーク更新審査で審査員が見るポイント
- 7.更新審査でやってはいけないこと
- ⑴アドバイス型
- ⑵ 丸投げ型
- ⑶並走型
- 9.まとめ
プライバシーマーク(Pマーク)の有効期限は「2年間」です。
せっかく取得したプライバシーマークも、更新手続きを怠ると、有効期限が切れて失効してしまいます。
「前回取得したから大丈夫だろう」「手続きが面倒でつい後回しにしてしまう」と感じている担当者の方も多いのではないでしょうか?
しかし、更新審査は2年間の運用記録が必要なため、計画的な準備が重要です。
この記事では、プライバシーマークの更新をを進めるために、重要な6ステップを解説します。
1.プライバシーマーク(Pマーク)の有効期限は2年間
プライバシーマーク(Pマーク)は、2年ごとの有効期限が設けられており、更新の手続きを怠ると失効してしまうので注意が必要です。
プライバシーマークを更新するためには、有効期限が来る前に更新審査を受けて合格する必要があります。
一度取得したからといって安心せず、2年ごとに審査が必要であることを忘れないようにしましょう。
2.プライバシーマークは更新審査を受ける必要がある
プライバシーマークを継続するためには、2年ごとに更新審査を受ける必要があります。
プライバシーマークの更新審査では、有効期間である2年間の運用記録の提出が必須となります。
⑴更新申請は満了日の8ヶ月前から4ヶ月前
有効期間を超えて失効しないよう、適切な時期に審査機関へ申請することが大切です。
更新申請は、有効期間の満了日の8ヶ月前から4ヶ月前の間に行わなければなりません。
例えば、2025年12月1日が有効期間満了日である場合、2025年4月2日から2025年8月1日の間に更新申請を行う必要があります。 具体的には、申請開始日は2025年4月2日、申請期限日は2025年8月1日、そして更新期日は2025年12月1日となります。
プライバシーマークの有効期限は、登録証またはJIPDEC(日本情報経済社会推進協会)のホームページで確認することができます。
⑵更新時に必要な申請書類とは
プライバシーマークを更新する際に必要な申請書類は、審査機関によって異なります。
どの記録を準備すべきかは、審査機関のホームページで確認しましょう。
例えば、JIPDECへの申請の場合、「必ず提出する書類」「該当する場合に提出する書類」「任意で提出する書類」があり、以下のような準備が求められています。
「必ず提出する書類」
1.【申請様式1更新】プライバシーマーク付与適格性審査申請書①~③(代表者印の捺印必須)
2.【申請様式2更新】個人情報保護体制
3.【申請様式3更新】事業者概要
4.【申請様式4更新】個人情報を取扱う業務の概要
5.【申請様式5更新】すべての事業所の所在地及び業務内容
6.【申請様式6更新】個人情報保護マネジメントシステム文書の一覧
7.【申請様式7更新】教育・内部監査・マネジメントレビュー実施サマリー(教育・内部監査・マネジメントレビューの実施状況)
8.【申請様式8更新】前回付与適格決定時から変更のあった事業報告
9.最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6更新】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。)
10.個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し
11.上記10に対応する、いわゆる「リスク分析結果」の写し
「該当する場合に提出する書類」※
12.登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を証す公的文書(申請の日前3か月以内の発行文書)の写し
13.定款の写し
14.変更報告書(前回の付与契約の締結後に「事業者名、本店所在地」に変更があったが変更報告書を提出していない場合は必須)
※「プライバシーマーク付与適格性審査申請書類について」の2.(5)(7)を確認してください。
「任意で提出する書類」
15.教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形) ※注1 ※注2
16.内部監査を実施したことが確認可能な記録一式(「内部監査計画書」「内部監査実施報告書」「内部監査チェックリスト」等の写し) ※注1 ※注2
17.マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式(「マネジメントレビュー議事録」の写し) ※注1
18.会社パンフレット等
注1:事前に提出していただくと現地審査当日の審査がより効率・効果的になり、所要時間の短縮化につながります。
注2:教育や内部監査の記録については、それぞれ数ページ分の写しを提出してください(全ての写しを提出していただく必要はありません。)。
上述の通り、教育資料の提出は任意であり、必須ではありません。
そのため、紙の教材を使わず、eラーニングを活用して従業員教育を行うことも可能です。
⑶更新の申請先
更新時も新規認証時と同様に、審査機関に申請します。審査機関は複数存在しますが、新規認証時と同じ審査機関に申請することが一般的です。
審査機関についてはこちらの記事もご覧ください。
3.プライバシーマークの更新申請から更新完了までの流れ
プライバシーマークの有効期間は2年間です。プライバシーマークを継続的に使用するためには、計画的な更新手続きが不可欠です。
ここでは、更新申請に必要な2年分の運用記録から、申請、審査、認定に至るまでの6ステップを解説します。
⑴ステップ1:申請準備と2年間の「実施記録」の準備
更新審査では、有効期間(2年間)を通じて個人情報保護マネジメントシステム(PMS)が適切に運用されていたことを証明する「実施記録」の提出が求められます。
以下の7つの必須項目について、毎年漏れなく実施し、記録を収集・整理することが重要です。
- 個人情報台帳:企業が保有する個人情報の一覧、特定、及びリスク対策を明確にした文書。
- 業務に関わる法令の一覧:業務に関連する最新の法令(個人情報保護法など)への対応漏れがないか確認。
- リスク分析・対策の実施:個人情報に関するリスクを洗い出し、それに対する具体的な安全管理措置を実施。
- 委託先管理の徹底:個人情報を委託している企業の保護水準の評価・記録を収集。
- 従業員教育の実施:全従業員を対象とした個人情報保護に関する教育を毎年実施する。
- 内部監査の実施:PMSがJIS Q 15001の要求事項に適合しているかを確認し、評価した記録を残す。
- マネジメントレビューの実施:トップマネジメントによるPMS全体の評価と、今後の改善指示(見直し)の記録を残す。
⑵ステップ2:申請書類の提出
更新申請書の提出期間は、有効期限の8ヶ月前から4ヶ月前までです。この期間外の提出は原則として受け付けられず、期限を過ぎるとプライバシーマークが失効する恐れがあるため、スケジュール厳守が求められます。
申請時には、申請書類一式と2年分の実施記録を提出します。2年目の運用が完了していない場合は「実施予定」として提出が可能です。
申請前には、従業員数や代表者、所在地などの変更有無を必ず確認してください。これらの変更は審査費用や必要書類(変更届、登記事項証明書など)に影響します。また、審査機関の最新の申請書式が更新されている可能性もあるため、必ず確認しましょう。
⑶ステップ3:形式審査と文書審査
申請書提出後、審査機関による形式審査(提出書類の不備確認)が行われ、問題がなければ次の文書審査に進みます。
形式審査では、不備がない場合、連絡が来ないことが多いですが、文書審査では、不備の有無に関わらず、審査機関からJISQ15001:2023の要求事項に基づいた審査結果が郵送またはメールで共有されます。
審査結果は◯・△・✕・現地審査の4つの表記で示され、△・✕の項目については現地審査前に修正が求められます。
また、現地審査と表記された項目は、審査員が現地で確認するため、関連する書類や手順の説明を準備しておく必要があります。
文書審査の修正は現地審査時に確認され、現地審査の日程や審査員の名前などは、文書審査の前後または同時に案内されます。
⑷ステップ4:現地審査とヒアリング
現地審査では、通常2名の審査員(リーダー審査員・サブ審査員)が企業を訪問します。主な確認事項は以下の3点です。
- 文書審査で指摘された修正内容が適切に反映されているかの確認。
- 提出された2年分の実施記録の具体的な内容と、実際の運用実態の照合。
- 個人情報保護管理者や監査責任者などへのヒアリング。
特にヒアリングでは、審査員は「日常の業務と記録が一致しているか」を重視します。
特定個人情報(マイナンバー)の取り扱い手順や、個人情報漏洩時の対応フローなどについて、手順と実際の行動にあっているかを確認されます。
⑸ステップ5:改善指示事項への対応と再提出
現地審査の結果、「改善指示事項」(例:保有個人情報台帳の記載漏れ、委託先管理の評価不足など)が指摘される場合があります。
初回の改善期間は、通常、現地審査後3ヶ月以内です。初回の提出で全てが承認されない場合、再提出となります。2回目以降の改善期間は、初回よりも短縮され、1ヶ月程度となることが一般的です。
当社では、審査で不適合が発生された際、プライバシーマーク規格の専門用語で書かれた指摘事項文書をわかりやすく要約し、改善対応をサポートします。「指摘改善文書」の作成もお任せください。
⑹ステップ6:更新完了と認定
提出した改善結果が審査機関に承認されると、審査員による「審査会」での協議を経て、プライバシーマークが正式に更新されます。
更新完了後、新しいプライバシーマーク付与番号(更新回数を示す部分が更新されます)の付与決定通知書とデータが送付されます。
企業はこの新しい情報を基に、ウェブサイトや掲示物などのプライバシーマークの表記を更新して、全ての手続きが完了します。
4. 更新に必要な費用
プライバシーマークの更新時には、新規認証時と同じく、申請料、審査料、付与登録料の3つの費用が必要です。これらの費用は会社の規模によって異なります。
申請料と付与登録料は、新規申請でも更新申請でも同じ金額です。ただし、審査料は新規申請時よりも更新時の方が安くなります。
※すべて税込みの金額です
| 新規認証のとき | 更新のとき | |||||
|---|---|---|---|---|---|---|
| 種別 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382円 | 52,382円 | 52,382円 | 52,382円 | 52,382円 | 52,382円 |
| 審査料 | 209,524円 | 471,429円 | 995,238円 | 125,714円 | 314,286円 | 680,952円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 314,288円 | 628,573円 | 1,257,144円 | 230,478円 | 471,430円 | 942,858円 |
5.プライバシーマーク(Pマーク)更新審査のタイムスケジュール
現地審査当日のタイムスケジュールです。現地審査は一日を要します。
また、審柔員が審査結果をまとめるための作業スペースや控え室を用意すると良いでしょう。
- 9:00 – 9:30
- ・審査開始の挨拶
・代表者へのインタビュー
事故の有無、取得の目的、方針、組織体制、マネジメントレビュー - 9:30 – 12:00
- ・建物、執務室等の状況確認、安全管理措置に係る社内現場の確認
・個人情報保護管理者、事務局等への確認
申請書類内容、個人情報取り扱い状況・従業員数・体制の確認
ネットワーク・サーバーの確認
・各部署への確認
各業務内容や取り扱う個人情報、安全管理措置などの現地確認 - 12:00 – 13:00
- ・昼休憩
- 13:00 – 14:00
- ・各部署への確認 続き
- 14:00 – 16:30
- ・プライバシーマークの運用記録の確認
- 16:30 – 17:30
- ・文書審査結果に対する改善の確認
- 17:30 – 18:00
- ・総評及び指摘事項説明、審査終了の挨拶
6.プライバシーマーク更新審査で審査員が見るポイント
審査員が注目するポイントは2つあります。
1つ目は、PDCAサイクルが1回以上回っているかどうかです。
これは内部監査やマネジメントレビューなど、マネジメントシステムを運用する上で最低限必要な要素とされています。
PDCAサイクルが1回も回っていない場合、マネジメントシステムが適切に運用されていないと判断され、最悪の場合、プライバシーマークの返上や再審査が必要となります。
2つ目は、前回の審査で指摘された事項に対する対応状況です。
前回の審査で指摘された事項に対してどのように対応したか、同じ問題が再発していないかなどが確認されます。
マネジメントシステムの目的は、同じ問題が再発しないように対策を講じることです。したがって、問題が再発していても放置していないかどうかを確認することが重要です。
7.更新審査でやってはいけないこと
偽装や嘘は避けましょう。
できていないことをその場で取り繕うとすると、審査の進行が難しくなることがあります。
特に、従業員の人数などは審査費用に影響を与えるため、実際より少なく伝えると、給与台帳などを基に確認され、最悪の場合、審査が中止になる可能性があります。
8.更新をお手伝いするコンサルを特徴別に紹介
個人情報の把握や管理という観点からは、自社で行うのが最善かもしれません。
しかし、人材や時間の確保が難しい場合もあると思います。そのような場合は、プライバシーマークコンサルタントに依頼すると良いでしょう。プライバシーマークのコンサル会社は、3つのタイプに分けられます。
- アドバイス型
- 丸投げ型
- 並走型
なお、当社は⑶並走型のプライバシーマークコンサル会社に分類されます。
⑴アドバイス型
会社の現状を把握し、プライバシーマーク取得に必要なアドバイスを提供するタイプのコンサルタントです。
コンサルタントというと、このタイプが最初に思い浮かぶかもしれません。
基本的には書類作成には関与せず、定期的に訪問したり、メールや電話での相談を受け付け、各企業に必要なアドバイスを提供します。会社内の担当者やプライバシーマークグループが書類の作成や修正を行います。
メリットは、会社内の人材が書類を作成するため、実務に即した内容の作成が可能となることです。
デメリットは、業務時間内での作業となるため、人件費を換算した際の損失や、従業員の残業時間が増えることが多く、担当者の心身に負担がかかることが挙げられます。
⑵ 丸投げ型
文書の構築から書類の作成までを請け負ってくれるタイプのコンサルタントです。
何度かヒアリングの時間が必要になるかもしれませんが、基本的にアドバイスなどは提供せず、書類作成を行います。
そして、現地審査時には2年分の必要書類が揃っています。
メリットとしては、審査機関とのやり取り以外では、ほとんど従業員の時間を取られることがないという点が挙げられます。
一方、デメリットとしては以下の3点が考えられます。
書類作成が従業員の知らない間に進行してしまい、現状との相違が生じる可能性がある
現地審査時に不備が多く指摘され、審査後の対応に時間がかかる可能性がある
企業内での個人情報保護活動という、プライバシーマークの本来の意義から逸脱する恐れがある
⑶並走型
アドバイス型と丸投げ型の中間に位置するのがこの並走型です。企業の現状を定期訪問やメール、電話での連絡を通じて把握し、それに基づいた文書をコンサルタントが作成します。
メリットは、企業の状況に合わせた文書が作成され、従業員の時間が現地審査以外ではほとんど取られないことです。
デメリットは、情報が間接的に伝わるため、特に他部門の情報が不完全になりやすいことが挙げられます。
9.まとめ
プライバシーマークの更新申請を行う際には、更新期限内に申請書と必要な書類を審査機関に提出する必要があります。
出した書類に基づいて形式審査と文書審査が行われます。その結果を踏まえて、審査員が企業を訪問して現地審査を行います。現地審査の際には、過去2年間の運用記録が必要となります。
しかし、日々の業務の中でプライバシーマークのために従業員の勤務時間を使うのは難しいと感じる企業も多いのではないでしょうか。
そのような場合、コンサルタントの活用も一つの解決策となります。
コンサルタントを利用する際には、主にアドバイスを提供するアドバイス型や、実際の状況に即した記録や文書が作成されない可能性が高い丸投げ型ではなく、現状を確認しつつ記録や文書の作成を行う並走型のコンサルタントの活用をおすすめします。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
Pマーク(プライバシーマーク)・ISOの認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.