2023年12月12日
Pマーク教育の方法と手順|テストのサンプル付
Pマークにおける教育とは、情報保護に対する意識の低下を防ぐために従業員に教育を施すことです。
Pマークの教育内容に含まなければならない4つの事項は、①個人情報保護方針②PMSの重要性及び利点③PMSのための役割及び責任④PMSに違反した際に予想される結果です。
Pマークの教育テストにはこの4つの内容を含む必要があります。
2023年7月14日
プライバシーマーク(Pマーク)を更新するためには、指定の申請フォーマットを用いて書類を提出し、書類審査と現地審査を受けます。現地審査で出された指示内容を期日までに改善し確認されると、プライバシーマークの更新が完了します。
目次
- 1.プライバシーマークの更新について
- 2. プライバシーマーク(Pマーク)更新審査とは
- 3. 更新申請の時期
- 4.いつから更新の準備を始めればいいのか
- 5.更新時に必要な申請書類とは
- 6.Pマーク更新までの流れ
- ① 実施することリスト
- ② 申請書提出期間について
- ③ 形式審査と文書審査について
- ④ 現地審査について
- ⑤ 改善指示事項について
- ⑥ 改善指示事項対応後について
- 7.更新までにしなければいけないこと一覧
- 8. 更新に必要な費用
- 9. 更新の申請先
- 10. 申請から更新完了までのスケジュール
- 11. プライバシーマーク(Pマーク)更新審査のタイムスケジュール
- 12. プライバシーマーク(Pマーク)更新審査で審査員が見るポイント
- 13. 更新審査でやってはいけないこと
- 14. 更新をお手伝いするコンサルを特徴別に紹介
- まとめ
1.プライバシーマークの更新について
プライバシーマーク(Pマーク)は、2年ごとの有効期限が設けられており、更新の手続きを怠ると失効してしまうので注意が必要です。
プライバシーマークを更新するためには、有効期限が来る前に審査を受けて合格する必要があります。
一度取得したからといって安心せず、2年ごとに審査が必要であることを忘れないようにしましょう。
2. プライバシーマーク(Pマーク)更新審査とは
プライバシーマークを更新するためには、有効期間内に更新審査の申請をし、審査に合格する必要があります。
更新審査は、プライバシーマーク(Pマーク)を取得した組織や事業者が引き続き個人情報の保護に努めているかどうかを確認することを目的として行われます。
審査は、公正かつ中立な立場であるPマークの認定を行っている第三者機関によって実施されます。
プライバシーマークの更新審査で必要なことは、
- PDCAサイクルを1回は回していること
- 前回指摘事項のその後の対応をしていること
の2点です。
事前に準備をしておきましょう。
3. 更新申請の時期
プライバシーマーク(Pマーク)は有効期間が定められており、基本的に付与契約の日から2年間有効です。
更新するためには更新審査を受ける必要があります。有効期間を超えて失効しないよう、適切な時期に審査機関へ申請することが重要です。
更新申請は、有効期間の満了日の8ヶ月前から4ヶ月前の間に行わなければなりません。
例えば、2023年12月1日が有効期間満了日である場合、2023年4月2日から2023年8月1日の間に更新申請を行う必要があります。具体的には、申請開始日は2023年4月2日、申請期限日は2023年8月1日、そして更新期日は2023年12月1日となります。
プライバシーマークの有効期限は、登録証またはJIPDEC(日本情報経済社会推進協会)のホームページで確認することができます。
プライバシーマーク有効期限の詳細記事はこちら
4.いつから更新の準備を始めればいいのか
プライバシーマークの更新を行う際は、有効期限から逆算して、いつどの対応を行うべきかを確認しましょう。
12ヶ月前 :実施計画の作成
11ヶ月前~8ヵ月前:各管理台帳の見直し、教育の実施
7ヶ月前 :内部監査
6ヶ月前 :マネジメントレビュー
5ヶ月前 :申請書準備
4ヶ月前 :申請書送付
3ヶ月前~1ヶ月前 :審査書類の準備
5.更新時に必要な申請書類とは
プライバシーマークを更新する際に必要な申請書類は、審査機関によって異なります。
どの記録を準備すべきかは、審査機関のホームページで確認しましょう。
例えば、JIPDECへの申請の場合、「必ず提出する書類」「該当する場合に提出する書類」「任意で提出する書類」があり、以下のような準備が求められています。
「必ず提出する書類」
1.【申請様式1更新】プライバシーマーク付与適格性審査申請書①~③(代表者印の捺印必須)
2.【申請様式2更新】個人情報保護体制
3.【申請様式3更新】事業者概要
4.【申請様式4更新】個人情報を取扱う業務の概要
5.【申請様式5更新】すべての事業所の所在地及び業務内容
6.【申請様式6更新】個人情報保護マネジメントシステム文書の一覧
7.【申請様式7更新】教育・内部監査・マネジメントレビュー実施サマリー(教育・内部監査・マネジメントレビューの実施状況)
8.【申請様式8更新】前回付与適格決定時から変更のあった事業報告
9.最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6更新】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。)
10.個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し
11.上記10に対応する、いわゆる「リスク分析結果」の写し
「該当する場合に提出する書類」※
12.登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を証す公的文書(申請の日前3か月以内の発行文書)の写し
13.定款の写し
14.変更報告書(前回の付与契約の締結後に「事業者名、本店所在地」に変更があったが変更報告書を提出していない場合は必須)
※「プライバシーマーク付与適格性審査申請書類について」の2.(5)(7)を確認してください。
「任意で提出する書類」
15.教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形) ※注1 ※注2
16.内部監査を実施したことが確認可能な記録一式(「内部監査計画書」「内部監査実施報告書」「内部監査チェックリスト」等の写し) ※注1 ※注2
17.マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式(「マネジメントレビュー議事録」の写し) ※注1
18.会社パンフレット等
注1:事前に提出していただくと現地審査当日の審査がより効率・効果的になり、所要時間の短縮化につながります。
注2:教育や内部監査の記録については、それぞれ数ページ分の写しを提出してください(全ての写しを提出していただく必要はありません。)。
上述の通り、教育資料の提出は任意であり、必須ではありません。
そのため、紙の教材を使わず、eラーニングを活用して従業員教育を行うことも可能です。
6.Pマーク更新までの流れ
Pマークの更新について、更新申請から更新完了までの流れを説明します。
① 実施することリスト
プライバシーマークには、2年間の有効期限があり、その期間中に個人情報保護の運用が適切に行われていたことを証明する記録(実施記録)が必要となります。
- 企業が取得・作成・収集している個人情報の一覧
- 業務に関わる法令の一覧
- 1で洗い出した個人情報にかかわる危険性とそのリスク対策一覧
- 個人情報を委託している企業の個人情報保護水準評価
- 従業員への個人情報保護教育
- 内部監査の実施
- マネジメントレビューの実施
大きく分けて、これら7つの項目を毎年実施する必要があります。また、審査では2年分の実施状況の確認が行われます。
② 申請書提出期間について
更新申請書はプライバシーマークの有効期限から逆算し、8ヶ月から4ヶ月の前に提出する必要があります。提出に際し、2年目の運用の途中である場合は実施予定として提出することも可能です。
この申請書を提出すると、送付した審査機関内で申請書内容に誤記や前回からの大幅な変化がないかなどの形式審査が行われ、形式審査が済むと文書審査が行われます。
③ 形式審査と文書審査について
形式審査では、不備がない場合、連絡が来ないことが多いですが、文書審査では、不備の有無に関わらず、審査機関からJISQ15001:2017の要求事項に基づいた審査結果が郵送またはメールで共有されます。
審査結果は◯・△・✕・現地審査の4つの表記で示され、△・✕の項目については現地審査前に修正が求められます。
また、現地審査と表記された項目は、審査員が現地で確認するため、関連する書類や手順の説明を準備しておく必要があります。
文書審査の修正は現地審査時に確認され、現地審査の日程や審査員の名前などは、文書審査の前後または同時に案内されます。
④ 現地審査について
通常、現地審査ではリーダー審査員とサブ審査員の2名が来訪し、2年分の文書審査の修正内容と実施記録を確認します。
この際、プライバシーマーク上の役職に就いている方へのヒアリングが行われます。
これは、審査員が日常の業務内容と記録内容が一致しているかを確認するためです。
⑤ 改善指示事項について
現地審査時には、改善指示が出されることがあります。
例えば、扱っているはずの個人情報が一覧に記載されていない、または、個人情報を委託している企業が多いにも関わらず、その企業に対する個人情報の評価が行われていないなどのケースです。
改善指示の内容は、現地審査後、通常2週間以内に審査機関から郵送またはメールで共有されます。
初回の改善期間は3ヶ月で、その間に改善結果を提出する必要があります。この期間を過ぎると、プライバシーマークの失効の可能性もあります。
一度の提出で全て改善事項が承認されるとは限らず、弊社のお客様事例では、審査機関からの改善書類は平均3回ほど届き、2回目以降の改善期間は1ヶ月と初回よりも短くなります。
⑥ 改善指示事項対応後について
改善が確認されると、審査員が月に一度行われる審査会で協議し、その後プライバシーマークが更新されます。
更新が完了すると、プライバシーマーク付与番号の後ろに記載されている更新回数を示す書類とデータが送られてきます。それをもとに掲示物の更新を行う必要があります。
7.更新までにしなければいけないこと一覧
- 2年分の実施記録の収集
- 申請書類の作成
- 申請書類の提出
- 形式審査で不備のあった場合の修正
- 文書審査結果の修正
- 現地審査時にヒアリングが行われる代表者や個人情報保護管理者、監査責任者、マイナンバー取り扱い者のスケジューリング
- 現地審査時の応対
- 現地審査後に送られてくる改善書類への対応
大きく分けると、以上の8つを行う必要があります。
また、更新書類を送る際には前回申請時との変更点に注意が必要です。
例えば、この2年間で従業員数が大幅に増えた場合、審査費用が2年前の倍になる可能性があります。また、代表者や申請担当者が変わった場合は、登記事項証明書や定款、変更届を送付する必要があります。
さらに、企業内での変更がない場合でも、前回の申請書から審査機関が発行する申請書の形式が更新されている可能性があり、必要な書類が増えたり減ったりしていることもあります。
書類作成前には、必ず会社の現状を確認し、審査機関が書類の更新を行っていないかを確認しましょう。
8. 更新に必要な費用
プライバシーマークの更新時には、新規認証時と同じく、申請料、審査料、付与登録料の3つの費用が必要です。これらの費用は会社の規模によって異なります。
| 新規認証のとき | 更新のとき | |||||
|---|---|---|---|---|---|---|
| 種別 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382円 | 52,382円 | 52,382円 | 52,382円 | 52,382円 | 52,382円 |
| 審査料 | 209,524円 | 471,429円 | 995,238円 | 125,714円 | 314,286円 | 680,952円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 314,288円 | 628,573円 | 1,257,144円 | 230,478円 | 471,430円 | 942,858円 |
※すべて税込みの金額です
申請料と付与登録料は、新規申請でも更新申請でも同じ金額です。ただし、審査料は新規申請時よりも更新時の方が安くなります。
「費用についてもっと詳しく知りたい」
「自社が小規模・中規模・大規模のどれに当たるか分からない」
という方はこちらのコラムもご覧ください。
9. 更新の申請先
更新時も新規認証時と同様に、審査機関に申請します。
審査機関は複数存在しますが、新規認証時と同じ審査機関に申請することが一般的です。
審査機関についてはこちらの記事もご覧ください。
意外と知らないPマーク審査機関のあれこれ
10. 申請から更新完了までのスケジュール
申請から更新完了までのスケジュールは下記の通りです。いつ何があるか把握しておきましょう。
- 更新申請 有効期限 8か月前~4か月まで
- 形式審査 申請後 0.5か月
- 文書審査 形式審査後 1.5か月
- 現地審査 文書審査後 1か月
- 指摘改善 現地審査後 1~6か月
- 更新完了 指定改善完了後1~2か月
11. プライバシーマーク(Pマーク)更新審査のタイムスケジュール
現地審査当日のタイムスケジュールです。現地審査は一日を要します。
また、審柔員が審査結果をまとめるための作業スペースや控え室を用意すると良いでしょう。
| 9:00 – 9:30 | ・審査開始の挨拶 ・代表者へのインタビュー 事故の有無、取得の目的、方針、組織体制、マネジメントレビュー |
|---|---|
| 9:30 – 12:00 | ・建物、執務室等の状況確認、安全管理措置に係る社内現場の確認 ・個人情報保護管理者、事務局等への確認 申請書類内容、個人情報取り扱い状況・従業員数・体制の確認、 ネットワーク・サーバーの確認 ・各部署への確認 各業務内容や取り扱う個人情報、安全管理措置などの現地確認 |
| 12:00 – 13:00 | ・昼休憩 |
| 13:00 – 14:00 | ・各部署への確認 続き |
| 14:00 – 16:30 | ・プライバシーマーク(Pマーク)運用記録の確認 |
| 16:30 – 17:30 | ・文書審査結果に対する改善の確認 |
| 17:30 – 18:00 | ・総評及び指摘事項説明、審査終了の挨拶 |
12. プライバシーマーク(Pマーク)更新審査で審査員が見るポイント
審査員が注目するポイントは2つあります。
1つ目は、PDCAサイクルが1回以上回っているかどうかです。
これは内部監査やマネジメントレビューなど、マネジメントシステムを運用する上で最低限必要な要素とされています。
PDCAサイクルが1回も回っていない場合、マネジメントシステムが適切に運用されていないと判断され、最悪の場合、プライバシーマークの返上や再審査が必要となります。
2つ目は、前回の審査で指摘された事項に対する対応状況です。
前回の審査で指摘された事項に対してどのように対応したか、同じ問題が再発していないかなどが確認されます。
マネジメントシステムの目的は、同じ問題が再発しないように対策を講じることです。したがって、問題が再発していても放置していないかどうかを確認することが重要です。
13. 更新審査でやってはいけないこと
偽装や嘘は避けましょう。
できていないことをその場で取り繕うとすると、審査の進行が難しくなることがあります。
特に、従業員の人数などは審査費用に影響を与えるため、実際より少なく伝えると、給与台帳などを基に確認され、最悪の場合、審査が中止になる可能性があります。
14. 更新をお手伝いするコンサルを特徴別に紹介
個人情報の把握や管理という観点からは、自社で行うのが最善かもしれません。
しかし、人材や時間の確保が難しい場合もあると思います。そのような場合は、プライバシーマークコンサルタントに依頼すると良いでしょう。プライバシーマークのコンサル会社は、
- アドバイス型
- 丸投げ型
- 並走型
主にこの3つのタイプに分けられます。
(1)アドバイス型
会社の現状を把握し、プライバシーマーク取得に必要なアドバイスを提供するタイプのコンサルタントです。
コンサルタントというと、このタイプが最初に思い浮かぶかもしれません。
基本的には書類作成には関与せず、定期的に訪問したり、メールや電話での相談を受け付け、各企業に必要なアドバイスを提供します。会社内の担当者やプライバシーマークグループが書類の作成や修正を行います。
メリットは、会社内の人材が書類を作成するため、実務に即した内容の作成が可能となることです。
デメリットは、業務時間内での作業となるため、人件費を換算した際の損失や、従業員の残業時間が増えることが多く、担当者の心身に負担がかかることが挙げられます。
(2) 丸投げ型
文書の構築から書類の作成までを請け負ってくれるタイプのコンサルタントです。
何度かヒアリングの時間が必要になるかもしれませんが、基本的にアドバイスなどは提供せず、書類作成を行います。
そして、現地審査時には2年分の必要書類が揃っています。
メリットとしては、審査機関とのやり取り以外では、ほとんど従業員の時間を取られることがないという点が挙げられます。
一方、デメリットとしては以下の3点が考えられます。
- 書類作成が従業員の知らない間に進行してしまい、現状との相違が生じる可能性がある
- 現地審査時に不備が多く指摘され、審査後の対応に時間がかかる可能性がある
- 企業内での個人情報保護活動という、プライバシーマークの本来の意義から逸脱する恐れがある
(3)並走型
アドバイス型と丸投げ型の中間に位置するのがこの並走型です。企業の現状を定期訪問やメール、電話での連絡を通じて把握し、それに基づいた文書をコンサルタントが作成します。
メリットは、企業の状況に合わせた文書が作成され、従業員の時間が現地審査以外ではほとんど取られないことです。
デメリットは、情報が間接的に伝わるため、特に他部門の情報が不完全になりやすいことが挙げられます。
まとめ
プライバシーマークの更新申請を行う際には、申請書と必要な書類を審査機関に提出する必要があります。
出した書類に基づいて形式審査と文書審査が行われます。その結果を踏まえて、審査員が企業を訪問して現地審査を行います。現地審査の際には、過去2年間の運用記録が必要となります。
しかし、日々の業務の中でプライバシーマークのために従業員の勤務時間を使うのは難しいと感じる企業も多いのではないでしょうか。
そのような場合、コンサルタントの活用も一つの解決策となります。
コンサルタントを利用する際には、主にアドバイスを提供するアドバイス型や、実際の状況に即した記録や文書が作成されない可能性が高い丸投げ型ではなく、現状を確認しつつ記録や文書の作成を行う並走型のコンサルタントの活用をおすすめします。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
-
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください