Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

Pマーク(プライバシーマーク)認証お役立ちコラム

【必見】Pマーク更新申請、審査の流れ、やるべきことを徹底解説

スタッフ写真
スタッフ写真

2023年7月14日

【必見】Pマーク更新申請、審査の流れ、やるべきことを徹底解説

プライバシーマーク(Pマーク)更新申請では必要書類を審査機関に提出する必要があります。提出した書類をもとにした審査が行われ、その後実際に審査員が企業訪問を行う現地審査となります。現地審査時に出た指示内容を期日までに改善、確認されるとプライバシーマーク(Pマーク)更新付与完了となります。

1.プライバシーマークの更新について

プライバシーマーク(Pマーク)には2年という有効期間があり、何もしないでいると失効となってしまいますので注意が必要です。
プライバシーマーク(Pマーク)を更新するには、有効期限までに審査を受け合格する必要があります。
取得して終わりではなく、2年毎に審査があることに留意しないといけません。

 

2. プライバシーマーク(Pマーク)更新審査とは

更新審査は、プライバシーマーク(Pマーク)を取得した組織や事業者が引き続き個人情報の保護に努めているかどうかを確認することを目的として、行われます。
審査は、公正かつ中立な立場であるPマークの認定を行っている第三者機関によって実施されます。

プライバシーマークの更新審査で必要なことは、
「PDCAサイクルを1回は回していること」「前回指摘事項のその後の対応をしていること」の2点です。
事前に準備をしておきましょう。

プライバシーマークを更新するためには、有効期間内に更新審査の申請をし、審査に合格することが必要です。

Pマーク審査前に気を付けることベスト48

Pマーク審査前に気を付けることベスト48

3. 更新申請の時期

Pマーク(プライバシーマーク)には自動車の免許更新のように有効期間が定められています。
原則、付与契約に定めた日から2年です。

プライバシーマーク(Pマーク)を更新するためには、更新審査を受ける必要があります。
更新申請については、有効期間を超えてプライバシーマーク(Pマーク)が失効となってしまわないように、適切な時期に審査機関へ申請する必要があります。

更新申請は、有効期間の満了日の8か月前から4か月前に申請しなければなりません。
例えば、2023年12月1日が有効期間満了日の場合、2023年4月2日~2023年8月1日の4か月の間に更新申請を実施することになります。

この場合、申請開始日は2023年4月2日、申請期限日は2023年8月1日、更新期日は2023年12月1日と言えます。
※プライバシーマーク有効期限の詳細記事はこちら

4.Pマーク更新までの流れ



 

Pマークの更新について、更新申請から更新完了までの流れを説明します。

 

① 実施することリスト

プライバシーマークは、2年間の有効期限内に個人情報保護運用を行っていたという証明(実施記録)が必要です。
(1)企業が取得・作成・収集している個人情報の一覧
(2)業務に関わる法令の一覧
(3)1で洗い出した個人情報にかかわる危険性とその対策一覧
(4)個人情報を委託している企業の個人情報保護水準評価
(5)従業員への個人情報保護教育
(6)定期的な個人情報保護点検
(7)代表者による1年間のプライバシーマーク運用についてのインタビュー

大きく分けるとこの7つの実施を毎年繰り返し、審査では2年分の実施確認が行われます。

 

② 申請書提出期間について

更新申請書はプライバシーマークの有効期限から逆算し、8ヶ月から4ヶ月の前に提出する必要があります。提出に際し、2年目の運用の途中である場合は実施予定として提出することも可能です。

この申請書を提出すると、送付した審査機関内で申請書内容に誤記や前回からの大幅な変化がないかなどの形式審査が行われ、形式審査が済むと文書審査が行われます。

 

③ 形式審査と文書審査について

形式審査時では不備のない場合、連絡が来ないという事例が多いです。

一方、文書審査の場合は不備のありなしにかかわらず、JISQ15001:2017の要求事項に基づいた審査結果が審査機関から郵送もしくはメールで共有されます。

◯・△・✕・現地審査で結果表記されることが多く、△・✕の項目に関しては、現地審査までに書類の修正をお願いします。現地審査と記載されているものに関しては、現地審査時に審査員が確認しますので書類や手順説明の準備をお願いします。という内容です。

文書審査の修正は現地審査時に確認されます。文書審査に前後して、もしくは同時に現地審査の案内という当日のスケジュールや来訪される審査員の名前記載がされていることが多く、該当日時が現地審査となります。

 

④ 現地審査について

現地審査には通常、リーダー審査員,サブ審査員の2名が来訪し、2年分の文書審査の修正内容と実施記録の確認が行われます。

その際に、プライバシーマーク上の役職に就いている方にヒアリングが行われます。

これは審査員が、普段行われている仕事内容と記録内容が整合しているかを確認するためです。

 

⑤ 改善指示事項について

現地審査時に改善指示が下る場合があります。

例えば取り扱っているはずの個人情報が一覧に記載されていない、個人情報を委託している企業がたくさんあったがその企業に対しての個人情報を預けて良いかという評価がされていないなどです。

改善指示内容は現地審査から通常は2週間以内に郵送もしくはメールにて審査機関から共有されます。
最初の改善期間には3ヶ月の期間があり、その期間内に改善した結果を提出する必要があります。
この期間を過ぎるとプライバシーマークの失効となる場合もあります。

1度の改善書類提出では改善しきれない可能性があります。
弊社のお客様事例では、審査機関からの改善書類は平均3回ほど届き、2回目以降の改善期間は1ヶ月と初回よりも短くなります。

 

⑥ 改善指示事項対応後について

改善が確認されると審査員が月に1度行われる審査会で協議、その後プライバシーマークが無事更新されます。

更新されたら、プライバシーマーク付与番号の後ろにある枝番という、更新回数を新たにした書類とデータが届きますので掲示物の更新を行っていただく必要があります。

 

5.更新までにしなければいけないこと一覧

(1) 2年分の実施記録の収集
(2) 申請書類の作成
(3) 申請書類の提出
(4) 形式審査で不備のあった場合の修正
(5) 文書審査結果の修正
(6) 現地審査時にヒアリングが行われる代表者や個人情報保護管理者、監査責任者、マイナンバー取り扱い者のスケジューリング
(7) 現地審査時の応対
(8) 現地審査後に送られてくる改善書類への対応

大きく分けてこの8つが必要です。
また更新書類を送る際に注意したいのは前回申請時との変更です。

例えば従業員がこの2年で大きく増加したという場合、審査費用が2年前の倍になる可能性があり、代表者や申請担当者が変わった場合は登記事項証明書や定款、変更届を送付する必要も出てきます。

さらに企業内での変更がない場合でも前回申請書から審査機関の発行している申請書様式が刷新されており、提出に必要な書類が増えている・減っているという場合もあります。

書類作成前には必ず会社の現状確認、審査機関が書類更新を行っていないかの確認をしましょう。

 

プロのコンサルタントがお悩みをお伺いします!

6. 更新に必要な費用

プライバシーマークを更新するためには、新規認証時と同様に、
(1) 申請料
(2) 審査料
(3) 付与登録料
の3つがかかります。

会社の規模によって金額が異なります。

新規認証のとき 更新のとき
種別 小規模 中規模 大規模 小規模 中規模 大規模
申請料 52,382円 52,382円 52,382円 52,382円 52,382円 52,382円
審査料 209,524円 471,429円 995,238円 125,714円 314,286円 680,952円
付与登録料 52,382円 104,762円 209,524円 52,382円 104,762円 209,524円
合計 314,288円 628,573円 1,257,144円 230,478円 471,430円 942,858円


※すべて税込みの金額です

新規でも更新でも変わらないのが、(1)申請料と(3)付与登録料です。
(2)審査料だけ、新規よりも更新のほうが安くなります。

「費用についてもっと詳しく知りたい」
「自社が小規模・中規模・大規模のどれに当たるか分からない」
という方はこちらのコラムもご覧ください。
Pマーク取得費用で絶対後悔しない!おさえておくべき3つのこと

 

7. 更新の申請先

更新の時も新規認証の時と変わらず、審査機関に申請します。
審査機関は複数ありますが、新規認証時と同じ審査機関に申請する場合がほとんどです。

審査機関についてはこちらの記事もご覧ください。
Pマーク(プライバシーマーク):審査機関に違いってあるの?

 

8.更新のための申請書類一覧

更新申請手続きのときに提出する書類は、下記です。
(1)~(7)を準備しましょう。

(1) 申請書
(2) 最新のPマーク文書一式
(3) 「個人情報管理台帳」の1ページ目
(4) 「リスク分析結果」の1ページ目
(5) 登記事項証明書の写し
(6) 定款の写し
(7) 変更報告書(社名・本社住所・責任者に変更があった場合)

また、(8)~(11)は任意でご提出いただく書類です。
可能であれば申請時、一緒に提出するのがよいでしょう。

(8) 教育記録一式
(9) 内部監査記録一式
(10) マネジメントレビュー記録一式
(11) 会社パンフレット等

 

プロのコンサルタントがお悩みをお伺いします!

9. 申請から更新完了までのスケジュール

申請から更新完了までのスケジュールは下記の通りです。いつ何があるか把握しておきましょう。

(1) 更新申請 有効期限8か月前~4か月まで
(2) 形式審査 申請後0.5か月
(3) 文書審査 形式審査後1.5か月
(4) 現地審査 文書審査後1か月
(5) 指摘改善 現地審査後1~6か月
(6) 更新完了 指定改善完了後1~2か月

 

10. プライバシーマーク(Pマーク)更新審査のタイムスケジュール

現地審査当日のタイムスケジュールです。まる1日かかります。
また、審査員のために、審査結果をまとめるための作業スペースか控え室を用意するのが良いかと思います。

9:00 – 9:30 ・審査開始の挨拶
・代表者へのインタビュー
事故の有無、取得の目的、方針、組織体制、マネジメントレビュー
9:30 – 12:00 ・建物、執務室等の状況確認、安全管理措置に係る社内現場の確認
・個人情報保護管理者、事務局等への確認
申請書類内容、個人情報取り扱い状況・従業員数・体制の確認、
ネットワーク・サーバーの確認
・各部署への確認
各業務内容や取り扱う個人情報、安全管理措置などの現地確認
12:00 – 13:00  ・昼休憩
13:00 – 14:00 ・各部署への確認 続き
14:00 – 16:30 ・プライバシーマーク(Pマーク)運用記録の確認
16:30 – 17:30 ・文書審査結果に対する改善の確認
17:30 – 18:00 ・総評及び指摘事項説明、審査終了の挨拶

 

11. プライバシーマーク(Pマーク)更新審査で審査員が見るポイント

審査員が見るポイントは2点あります。

1.PDCAサイクルを1回は回せているか
マネジメントレビューまで少なくとも1回はPDCAサイクルを回せているかを見られます。
これは内部監査やマネジメントレビューなど、マネジメントシステムを運用していくにあたって最低限必要なものとして見られているので、PDCAサイクルが1回も回せてないとなると、マネジメントシステムが運用できていないとなり、最悪はPマーク返上や再審査になります。

2.前回指摘事項のその後について
前回審査を受けた時に出された指摘事項について、どう対応するかを提出したかと思います。

その対応が実施されているのか、同じことが起きていないのかは必ず確認されると思ってください。

マネジメントシステムなので、基本的には同じことが起きないようにしていく対応が必要です。再発していてもそのままほうっていないかどうかをしっかり確認しておきましょう。

Pマーク審査前に気を付けることベスト48

Pマーク審査前に気を付けることベスト48

12. 更新審査でやってはいけないこと

とりつくろわない、嘘をつかないようにしましょう。
できていないことをその場しのぎで取り繕ってしまうと、その後の審査の内容でつじつまが合わなくなったり、かえって審査を進めづらくなります。

特に従業員人数などは、審査費用が変わるため、実際より少し少なく伝えたりすると、給与台帳などをもとに確認され、最悪の場合、審査中止などになりかねません。

 

13. 更新をお手伝いするコンサルを特徴別に紹介

個人情報の把握や管理という意味では、自社で実施することが最善かもしれません。

しかしながら、人材や時間の確保が難しいという場合も大いにあると思います。
その場合は、プライバシーマークコンサルタントに依頼してみるといいでしょう。

① アドバイス型
② 丸投げ型
③ 並走型

主にこの3つに分けられます。

 

① アドバイス型
会社の現状を聞き、プライバシーマークに必要な助言を行うコンサルタントです。
コンサルタントと聞いたときに最初に想像する型がこれかもしれません。

基本的に書類作成には携わらず、定期的に訪問もしくはメールや電話相談を受け、それぞれの企業に必要なアドバイスを行い、会社内での担当者やプライバシーマークグループが書類などの作成・修正にあたります。

メリットは会社内の人材で書類を作成しますので実務に沿った内容作成ができることです。

デメリットは業務時間での作業となるため人件費換算したときの損失、従業員の残業時間となることもことも多く担当者の心身にも負担となることが挙げられます。

 

② 丸投げ型
文書の構築から書類の作成までを請け負ってくれるコンサルタントです。

いくつかヒアリングの時間を取られる可能性はありますが、基本的に助言などは行わず書類作成を担い、現地審査時には2年分の必要書類が揃っています。

メリットは審査機関とのやり取り以外ほとんど従業員の時間が取られないことです。

デメリットは以下の3点が挙げられます。
・書類の作成が知らぬ間に行われているために現状とは相違が出てしまう
・現地審査時に不備の指摘が多く出てしまい審査後の対応時間がかかってしまう
・企業での個人情報保護のための活動というプライバシーマーク本来の意義から逸脱するおそれがある

 

③ 並走型
アドバイス型、丸投げ型の間に位置するのがこの並走型です。

定期訪問やメールや電話での連絡をもとに企業の現状を確認、それに基づいた書類からコンサルタントが書類を作成、内容の確認をその場で行うというものです。

メリットは会社の状況に沿った書類が作成され従業員の時間が現地審査以外にはほとんど取られないことです。
デメリットは又聞きでの書類作成となるため特に他部門での情報不備が出やすいことが挙げられます。

 

まとめ

プライバシーマークの更新申請時には申請書と必要書類を審査機関に提出する必要があることがわかりました。
その後提出した書類をもとにした形式審査・文書審査が行われた後に実際に審査員が企業訪問を行う現地審査となります。

現地審査審査の際には2年分の運用記録が必要となりいますが、日々の業務の中でプライバシーマークのために従業員の勤務時間を割くのが難しいという企業も多いのではないでしょうか。

そのためにコンサルタントを活用するのもひとつの手段でしょう。
その際には助言がメインのアドバイス型や、実態に沿った記録や文書が作成されない可能性の高い丸投げ型ではなく、実態を確認しながら記録や文書の作成が行われる並走型のコンサルタントを活用されてみてはいかがでしょうか。

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。