2024年4月2日
Pマークの委託先管理を簡単にするたった3つの方法
Pマーク(プライバシーマーク)における委託先管理とは、個人情報を取り扱う委託先企業や団体の適切な管理・監督・指導を行うことです。最低でも年に1回は委託先の管理を行う必要があります。
また、個人情報の取り扱いにおいて、「委託」と「提供」を誤解しやすいため、注意が必要です。
2021年7月19日
プライバシーマーク(Pマーク)の審査基準は、要求事項を元に決められています。このプライバシーマークの審査基準を元に、審査機関での審査が行われています。 また、審査機関と付与機関の違いについても解説いたします。
プライバシーマーク(Pマーク)の申請を行うためには、満たさなければいけない基準があります。
簡単にまとめると、
・プライバシーマークを運用するためのルールが作られていること
・プライバシーマークの運用が一通り行われていること
の2つになります。
プライバシーマークを運用するためのルールは、マニュアル・規定と呼ばれるものと認識すれば問題ありません。
そして、プライバシーマークの申請をするために欠かせないのが「運用」です。ルールを作っただけでは実際に活動しているかの確認は取れません。
決められたルール通りに活動しなければ、形だけで終わってしまいます。
そのため、申請を行う時点で一通りの運用が行われていることが求められています。
なお、プライバシーマークの審査を受けるためには、必要資料を審査機関に提出する必要があります。
準備しなければいけない資料は、各審査機関にある申請書類に記載がありますので、確認をしましょう。
申請したら、審査員が会社に来て現地審査を受けることになります。
その際、審査員は決められた審査基準をもとに審査を行います。
審査基準は「プライバシーマーク(Pマーク)の要求事項を満たしているか」です。
もう少し詳しく説明すると、
要求事項は日本産業規格(通称JIS)の「JISQ15001個人情報保護マネジメントシステム-要求事項」に掲載されており、審査の基準が「付属書A」を元に作られています。
(要求事項だけを読んでも分かりづらいので、通販や書店でガイドブックを購入される方が多いです。)
たとえば、「個人情報保護方針は一般の人が入手可能な状態になっているか」という要求事項があります。
これに対しては、ホームページ上に個人情報保護方針を掲載したり、社内に掲示しておくことでクリアとなります。
各企業ではプライバシーマークの要求事項に沿ってルールが作られ、運用されています。
そのため、審査の基準も要求事項を元に作られているのです。
また、このJISQ15001をベースに個人情報保護法や地方自治体による個人情報関連の条例なども審査の基準に含めているので、
プライバシーマーク制度の求める基準というのは法律や条例よりも厳しいと言えます。
「プライバシーマーク(Pマーク)審査に落ちることってあるんですか?」とよくご質問をいただきます。
プライバシーマークの審査で、大学受験のように「〇点に至らなかったので不合格」ということはありません。
審査で審査員から不適合を出されたとしても、期限内に改善を実施して報告すれば、審査に落ちることはまずありません。
もし不合格になるとすると、その基準は下記3つです。
①審査費用未払い
②期限を守らない
③虚偽申請
3つのうちどれかに該当してしまうと審査が打ち切りになり、取得できなくなってしまいます。
①審査費用を払わない
プライバシーマークの取得・更新では、申請料、審査料、登録料という3つの料金を支払わなくてはなりません。
この3つは支払い先と支払い時期がそれぞれ異なり、まとめての支払いができません。
3つのうち1つでも支払いができていないと取得・更新ができなくなってしまいます。
②期限を守らない
プライバシーマークは2年に1度、現地審査が行われます。
審査を申し込む申請期限(有効期限満了日の8か月前~4か月前)というのが設けられています。
しかし、業務多忙のためこれをうっかり忘れてしまうことがあります。そうなると更新審査が受けられなくなってしまう場合があるので注意してください。
こちらの記事にも関連した情報がございますのでよろしければご覧ください。
③虚偽申請
そして、一番気をつけなければならないのは、従業員数の虚偽申請です。
事業規模(=従業員の人数)により審査費用が大きく違うため、たまに人数をごまかして審査を受けようとする会社があるようですが、もし発覚した場合、審査打ち切りの対象になりますので絶対にやめましょう。
以上3点さえしっかりおさえていれば、審査に落ちることはまずないと言えるでしょう。
プライバシーマーク審査は審査内容が点数化されません。
たとえば学校の受験のように満たさないといけない合格点もありませんし、倍率もありません。
クレジットカード審査のようにその会社の資力や資産、企業風土が審査基準になることもありません。
ミシュランのように一つ星や二つ星、三ツ星といった優劣がつくこともありません。
プライバシーマークを認証取得した企業がもっているプライバシーマークはすべて同じものと言えます。
プライバシーマーク(Pマーク)における付与機関とは、審査機関を指定し、プライバシーマークが適正に付与・更新されるよう管理している機関です。
この付与機関は、一般財団法人日本情報経済社会推進協会(通称JIPDEC)が勤めています。
適正な運用を行うため、「プライバシーマーク(Pマーク)制度委員会」「消費者相談窓口」を設置しています。
プライバシーマーク(Pマーク)における審査機関とは、付与機関から許可され、各企業の審査を行う機関のことです。
以下のような業務を担っています。
・新規認証及び更新時の申請受付
・各企業での審査実施
・付与適格(認証及び更新)の決定
・付与適格の決定された組織への指導、監督 等
2021年6月現在、プライバシーマーク審査機関は全部で19機関あります。
自社で選定した審査機関で、申請から審査、付与認定までトータルで対応してもらうことができますが、
19機関どれでも選べるというわけではなく、業種や本社所在地によって受けられる/受けられないがあります。
どの審査機関で審査を受けても審査料金に変わりはありません。
審査を受ける会社の規模(=従業員の人数)によって小規模・中規模・大規模に分かれ、料金が変動するのみです。
また、プライバシーマーク(Pマーク)は認証後に利用できるロゴマークについては、どの審査機関で認定を受けた場合も青い「P」というマークに違いはありません。
前述のとおり、付与機関はJIPDECのみです。
付与機関=プライバシーマークを全体管理している機関
審査機関=実際に現場で審査をしている機関
というすみわけになっています。
JIPDECに関しては、付与機関であると同時に審査機関も兼任しています。
プライバシーマークの適正な運営を行うための生情報をJIPDECでは自ら保持できる環境も整えているということです。
プライバシーマーク(Pマーク)の審査基準は、要求事項を元に決められています。このプライバシーマークの審査基準を元に、審査機関での審査が行われています。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください