2022年12月15日
プライバシーマーク(Pマーク)更新申請では必要書類を審査機関に提出する必要があります。提出した書類をもとにした審査が行われ、その後実際に審査員が企業訪問を行う現地審査となります。現地審査時に出た指示内容を期日までに改善、確認されるとプライバシーマーク(Pマーク)更新付与完了となります。
目次
- 1. プライバシーマーク(Pマーク)更新審査とは
- 2.Pマーク更新までの流れ
- ① 実施することリスト
- ② 申請書提出期間について
- ③ 形式審査と文書審査について
- ④ 現地審査について
- ⑤ 改善指示事項について
- ⑥ 改善指示事項対応後について
- 3.更新までにしなければいけないこと一覧
- 4. 更新に必要な費用
- 5. 更新申請の時期
- 6. 更新の申請先
- 7.更新のための申請書類一覧
- 8. 申請から更新完了までのスケジュール
- 9. プライバシーマーク(Pマーク)更新審査のタイムスケジュール
- 10. プライバシーマーク(Pマーク)更新審査で審査員が見るポイント
- 11. 更新審査でやってはいけないこと
- 12. 更新をお手伝いするコンサルを特徴別に紹介
- ① アドバイス型
- ② 丸投げ型
- ③ 並走型
- 13. まとめ
1. プライバシーマーク(Pマーク)更新審査とは
プライバシーマーク(Pマーク)は2年という有効期間があり、何もしないでいると失効となってしまいます。維持するためには更新が必要となります。
更新に際しては審査が必要となり、この審査を更新審査と言います。
プライバシーマークの更新審査で必要なことは、「PDCAサイクルを1回は回していること」「前回指摘事項のその後の対応をしていること」の2点について事前に準備をしておくことです。
プライバシーマークの有効期間内に更新審査の申請をし、審査に合格することが必要です。
2.Pマーク更新までの流れ
① 実施することリスト
プライバシーマークは、2年間の有効期限内に個人情報保護運用を行っていたという証明(実施記録)が必要になります。
- 企業が取得・作成・収集している個人情報の一覧
- 業務に関わる法令の一覧
- 1で洗い出した個人情報にかかわる危険性とその対策一覧
- 個人情報を委託している企業の個人情報保護水準評価
- 従業員への個人情報保護教育
- 定期的な個人情報保護点検
- 代表者による1年間のプライバシーマーク運用についてのインタビュー
大きく分けるとこの7つの実施を毎年繰り返し、審査では2年分の実施確認が行われることとなります。
② 申請書提出期間について
更新申請書はプライバシーマークの有効期限から逆算し、8ヶ月から4ヶ月の前に提出する必要があります。
提出に際し、2年目の運用の途中である場合は実施予定として提出することも可能です。
この申請書を提出すると、送付した審査機関内で申請書内容に誤記や前回からの大幅な変化がないかなどの形式審査が行われ、形式審査が済むと文書審査が行われます。
③ 形式審査と文書審査について
形式審査時では不備のない場合、連絡が来ないという事例が多いです。
一方、文書審査の場合は不備のありなしにかかわらず、JISQ15001:2017の要求事項に基づいた審査結果が審査機関から郵送もしくはメールで共有されます。
◯・△・✕・現地審査で結果表記されることが多く、△・✕の項目に関しては、現地審査までに書類の修正をお願いします。現地審査と記載されているものに関しては、現地審査時に審査員が確認しますので書類や手順説明の準備をお願いします。という内容となります。
文書審査の修正は現地審査時に確認となります。文書審査に前後して、もしくは同時に現地審査の案内という当日のスケジュールや来訪される審査員の名前記載がされていることが多く、該当日時が現地審査となります。
④ 現地審査について
現地審査には通常、リーダー審査員,サブ審査員の2名が来訪し、2年分の文書審査の修正内容と実施記録の確認が行われます。
その際に、プライバシーマーク上の役職に就いている方にヒアリングが行われます。
これは審査員が、普段行われている仕事内容と記録内容が整合しているかを確認するためです。
⑤ 改善指示事項について
現地審査時に改善指示が下る場合があります。
例えば取り扱っているはずの個人情報が一覧に記載されていない、個人情報を委託している企業がたくさんあったがその企業に対しての個人情報を預けて良いかという評価がされていないなどです。
改善指示内容は現地審査から通常は2週間以内に郵送もしくはメールにて審査機関から共有されます。
最初の改善期間には3ヶ月の期間があり、その期間内に改善した結果を提出する必要があります。
この期間を過ぎるとプライバシーマークの失効となる場合もあります。
1度の改善書類提出では改善しきれない可能性があります。
弊社のお客様事例では、審査機関からの改善書類は平均3回ほど届き、2回目以降の改善期間は1ヶ月と初回よりも短くなります。
⑥ 改善指示事項対応後について
改善が確認されると審査員が月に1度行われる審査会で協議、その後プライバシーマーク更新となります。
更新されたら、プライバシーマーク付与番号の後ろにある枝番という、更新回数を新たにした書類とデータが届きますので掲示物の更新を行っていただく必要があります。
3.更新までにしなければいけないこと一覧
- 2年分の実施記録の収集
- 申請書類の作成
- 申請書類の提出
- 形式審査で不備のあった場合の修正
- 文書審査結果の修正
- 現地審査時にヒアリングが行われる代表者や個人情報保護管理者、監査責任者、マイナンバー取り扱い者のスケジューリング
- 現地審査時の応対
- 現地審査後に送られてくる改善書類への対応
大きく分けてこの8つが必要となります。
また更新書類を送る際に注意したいのは前回申請時との変更です。
例えば従業員がこの2年で大きく増加したという場合、審査費用が2年前の倍になる可能性があり、代表者や申請担当者が変わった場合は登記事項証明書や定款、変更届を送付する必要も出てきます。
さらに企業内での変更がない場合でも前回申請書から審査機関の発行している申請書様式が刷新されており、提出に必要な書類が増えている・減っているという場合もあります。
書類作成前には必ず会社の現状確認、審査機関が書類更新を行っていないかの確認をしましょう。
4. 更新に必要な費用
プライバシーマークを更新するためには、新規認証時と同様に、
(1) 申請料
(2) 審査料
(3) 付与登録料
の3つがかかります。
会社の規模によって金額が異なります。
| 新規認証のとき | 更新のとき | |||||
|---|---|---|---|---|---|---|
| 種別 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382円 | 52,382円 | 52,382円 | 52,382円 | 52,382円 | 52,382円 |
| 審査料 | 209,524円 | 471,429円 | 995,238円 | 125,714円 | 314,286円 | 680,952円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 314,288円 | 628,573円 | 1,257,144円 | 230,478円 | 471,430円 | 942,858円 |
※すべて税込みの金額です
新規でも更新でも変わらないのが、(1)申請料と(3)付与登録料です。
(2)審査料だけ、新規よりも更新のほうが安くなります。
「費用についてもっと詳しく知りたい」
「自社が小規模・中規模・大規模のどれに当たるか分からない」
という方はこちらのコラムもご覧ください。
5. 更新申請の時期
プライバシーマーク(Pマーク)の更新審査には更新申請が必要です。
更新申請については、有効期間を超えてプライバシーマーク(Pマーク)が失効となってしまわないように、更新申請の時期に審査機関へ申請する必要があります。
Pマーク(プライバシーマーク)には自動車の免許更新のように有効期間が定められています。原則、付与契約に定めた日から2年となります。
更新申請は、有効期間の満了日の8か月前から4か月前に申請しなければなりません。
例えば、2023年12月1日が有効期間満了日の場合、2023年4月2日~2023年8月1日の4か月の間に更新申請を実施することになります。
この場合、申請開始日は2023年4月2日、申請期限日は2023年8月1日、更新期日は2023年12月1日と言えます。
※プライバシーマーク有効期限の詳細記事はこちら
6. 更新の申請先
更新の時も新規認証の時と変わらず、審査機関に申請します。
審査機関は複数ありますが、新規認証時と同じ審査機関に申請する場合がほとんどです。
審査機関についてはこちらの記事もご覧ください。
Pマーク(プライバシーマーク):審査機関に違いってあるの?
7.更新のための申請書類一覧
更新申請手続きのときに提出する書類は、下記になります。
(1)~(7)を準備しましょう。
(1) 申請書
(2) 最新のPマーク文書一式
(3) 「個人情報管理台帳」の1ページ目
(4) 「リスク分析結果」の1ページ目
(5) 登記事項証明書の写し
(6) 定款の写し
(7) 変更報告書(社名・本社住所・責任者に変更があった場合)
また、(8)~(11)は任意でご提出いただく書類です。
可能であれば申請時、一緒に提出するのがよいでしょう。
(8) 教育記録一式
(9) 内部監査記録一式
(10) マネジメントレビュー記録一式
(11) 会社パンフレット等
8. 申請から更新完了までのスケジュール
申請から更新完了までのスケジュールは下記の通りです。いつ何があるか把握しておきましょう。
- 更新申請 有効期限8か月前~4か月まで
- 形式審査 申請後0.5か月
- 文書審査 形式審査後1.5か月
- 現地審査 文書審査後1か月
- 指摘改善 現地審査後1~6か月
- 更新完了 指定改善完了後1~2か月
9. プライバシーマーク(Pマーク)更新審査のタイムスケジュール
現地審査当日のタイムスケジュールです。まる1日かかります。
また、審査員のために、審査結果をまとめるための作業スペースか控え室を用意するのが良いかと思います。
| 9:00 – 9:30 | ・審査開始の挨拶 ・代表者へのインタビュー 事故の有無、取得の目的、方針、組織体制、マネジメントレビュー |
|---|---|
| 9:30 – 12:00 | ・建物、執務室等の状況確認、安全管理措置に係る社内現場の確認 ・個人情報保護管理者、事務局等への確認 申請書類内容、個人情報取り扱い状況・従業員数・体制の確認、 ネットワーク・サーバーの確認 ・各部署への確認 各業務内容や取り扱う個人情報、安全管理措置などの現地確認 |
| 12:00 – 13:00 | ・昼休憩 |
| 13:00 – 14:00 | ・各部署への確認 続き |
| 14:00 – 16:30 | ・プライバシーマーク(Pマーク)運用記録の確認 |
| 16:30 – 17:30 | ・文書審査結果に対する改善の確認 |
| 17:30 – 18:00 | ・総評及び指摘事項説明、審査終了の挨拶 |
10. プライバシーマーク(Pマーク)更新審査で審査員が見るポイント
審査員が見るポイントは2点あります。
1.PDCAサイクルを1回は回せているか
マネジメントレビューまで少なくとも1回はPDCAサイクルを回せているかを見られます。
これは内部監査やマネジメントレビューなど、マネジメントシステムを運用していくにあたって最低限必要なものとして見られているので、PDCAサイクルが1回も回せてないとなると、マネジメントシステムが運用できていないとなり、最悪はPマーク返上や再審査になります。
2.前回指摘事項のその後について
前回審査を受けた時に出された指摘事項について、どう対応するかを提出したかと思います。
その対応が実施されているのか、同じことが起きていないのかは必ず確認されると思ってください。
マネジメントシステムなので、基本的には同じことが起きないようにしていく対応が必要です。再発していてもそのままほうっていないかどうかをしっかり確認しておきましょう。
11. 更新審査でやってはいけないこと
とりつくろわない、嘘をつかないようにしましょう。
できていないことをその場しのぎで取り繕ってしまうと、その後の審査の内容でつじつまが合わなくなったり、かえって審査を進めづらくなります。
特に従業員人数などは、審査費用が変わるため、実際より少し少なく伝えたりすると、給与台帳などをもとに確認され、最悪の場合、審査中止などになりかねません。
12. 更新をお手伝いするコンサルを特徴別に紹介
個人情報の把握や管理という意味では、自社で実施することが最善かもしれません。
しかしながら、人材や時間の確保が難しいという場合も大いにあると思います。
その場合は、プライバシーマークコンサルタントに依頼してみるといいでしょう。
① アドバイス型
② 丸投げ型
③ 並走型
主にこの3つに分けられます。
① アドバイス型
会社の現状を聞き、プライバシーマークに必要な助言を行うコンサルタントです。
コンサルタントと聞いたときに最初に想像する型がこれかもしれません。
基本的に書類作成には携わらず、定期的に訪問もしくはメールや電話相談を受け、それぞれの企業に必要なアドバイスを行い、会社内での担当者やプライバシーマークグループが書類などの作成・修正にあたります。
メリットは会社内の人材で書類を作成しますので実務に沿った内容作成ができることです。
デメリットは業務時間での作業となるため人件費換算したときの損失、従業員の残業時間となることもことも多く担当者の心身にも負担となることが挙げられます。
② 丸投げ型
文書の構築から書類の作成までを請け負ってくれるコンサルタントです。
いくつかヒアリングの時間を取られる可能性はありますが、基本的に助言などは行わず書類作成を担い、現地審査時には2年分の必要書類が揃っています。
メリットは審査機関とのやり取り以外ほとんど従業員の時間が取られないことです。
デメリットは以下の3点が挙げられます。
・書類の作成が知らぬ間に行われているために現状とは相違が出てしまう
・現地審査時に不備の指摘が多く出てしまい審査後の対応時間がかかってしまう
・企業での個人情報保護のための活動というプライバシーマーク本来の意義から逸脱するおそれがある
③ 並走型
アドバイス型、丸投げ型の間に位置するのがこの並走型です。
定期訪問やメールや電話での連絡をもとに企業の現状を確認、それに基づいた書類からコンサルタントが書類を作成、内容の確認をその場で行うというものです。
メリットは会社の状況に沿った書類が作成され従業員の時間が現地審査以外にはほとんど取られないことです。
デメリットは又聞きでの書類作成となるため特に他部門での情報不備が出やすいことが挙げられます。
13. まとめ
プライバシーマークの更新申請時には申請書と必要書類を審査機関に提出する必要があることがわかりました。
その後提出した書類をもとにした形式審査・文書審査が行われた後に実際に審査員が企業訪問を行う現地審査となります。現地審査審査の際には2年分の運用記録が必要となりいますが、日々の業務の中でプライバシーマークのために従業員の勤務時間を割くのが難しいという企業も多いのではないでしょうか。
そのためにコンサルタントを活用するのもひとつの手段でしょう。その際には助言がメインのアドバイス型や、実態に沿った記録や文書が作成されない可能性の高い丸投げ型ではなく、実態を確認しながら記録や文書の作成が行われる並走型のコンサルタントを活用されてみてはいかがでしょうか。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ