１．プライバシーマーク審査の概要と審査基準

Pマークは新規取得・更新にかかわらず、申請手続きが必要となります。
申請を行った後、必要な手続きが行われ、審査員が会社に来て現地審査を受けます。

審査員は決められた審査基準をもとに審査を行います。
企業ごとにPマークのルールや仕組みは異なるため、審査員は決められた基準で各企業をチェックし、問題点があれば改善を要求します。

審査基準は専門的な表現が多く、不安点も多いと思いますが、視点を「漏えい事故になるような要素がないか」と考えるとわかりやすいです。

例えば、企業において個人情報を一覧化している個人情報管理台帳を現地審査で確認しています。給与明細は一覧に載っているが、給与計算データが一覧にないことがわかりました。
この場合、給与計算データは個人情報と認識できておらず、リスク対策が行われず漏えい事故につながる可能性があります。
そのため、「給与計算データを個人情報の一覧に特定しましょう」と不適合が出されます。

また、このJISQ15001の要求事項には個人情報保護法や地方自治体による個人情報関連の条例なども基準に含めているので、プライバシーマーク制度の求める基準は個人情報保護法よりも厳しいと言えます。

２．審査を受けるための準備物は？

審査を受けるためには、申請書類を提出する必要があります。
申請書類とは審査のための申込書となりますが、ただフォーマットがあればよいわけではありません。

Pマークの運用、つまりPDCAサイクルを1通り行った後に申請する必要があります。個人情報の洗い出し、リスク分析、内部監査の実施やマネジメントレビュー等が該当します。

PDCAサイクルを回し、チェック機能を持たせるには、少なくとも約2か月の運用期間が必要になります。そのため、申請までに約2か月かかると認識しておきましょう。

３．Pマークの申請から現地審査までの流れ

Pマーク取得の流れは、
キックオフ→申請→形式審査→文書審査→現地審査→指摘事項への対応→取得完了
です。
期間の目安は以下の通りです。

⑴申請
│
│　1か月～2か月
│
⑵形式審査
│
│　半月～1か月程度
│
⑶文書審査
│
│　1か月～3か月
│
⑷現地審査

それぞれのプロセスを詳しく説明していきます。

（１）申請

【概要】
現地審査を受けるための申請
※Ｐマークの要求事項通りに最低でも2か月以上運用した後に、申請することができます。

【申込方法】
各審査機関より申請書フォーマットをダウンロード、
申請書に記載されている順序に添付書類をご用意し、
各審査機関が指定している提出方法にて申請書類一式を提出

【必要書類】
・申請書
・Pマーク帳票類・フォーマット類一式
・登記簿謄本（原本）
・定款（コピー）
※審査機関によって、多少違う場合がございます。

（２）形式審査

【概要】
申請料のお振込みを確認した後、申請資格があるか、申請書類に不備がないかを見ます。

形式審査の際に、業種や規模の判断を行い、申請書類の修正、追加提出等を依頼する場合もあります。
受理した場合、受理した旨と業種・規模について書面にてご連絡します。

（３）文書審査

【概要】
形式審査で受理した申請書類のうちPマーク文書がJIS Q 15001に基づいたプライバシーマーク付与適格性審査基準に適合しているかどうかについて、審査を行います。

【場所】
審査機関にて実施
※文書審査は審査機関側にて行われる為、結果のみ連絡が来ます。

【対応】
文書審査の結果、「不適合」や「現地審査時に確認」になった項目に対し、修正が必要です。

【いつまでに対応が必要か】
現地審査まで

（４）現地審査

【概要】
審査員の方が会社に直接来られ、文書審査での結果が修正されているか、Pマークの運用書類と実際の業務内容が合っているか現場のセキュリティ体制に問題ないか等を丸1日賭けて審査します。

【場所】
個人情報の取り扱いが一番多い拠点にて実施されるケースが多いです。
（基本的には本社にて実施）

【準備物】
・文書審査の結果
・Pマークのマニュアル・規定類
・Pマークの帳票類・フォーマット
・Pマークの記録類
※できるだけPマークに関連する書類や記録はファイリングし、
付箋をつけてわかりやすくした方が良いです。

【審査当日の流れ】
①審査の説明　15分～30分
②トップインタビュー　30分程度
③業務のヒアリング　60～90分
④Pマークの記録確認　２～３時間
⑤現場のセキュリティ確認　30～60分
⑥総括：30分程度
※合間に1時間、お昼休憩が入ります

①審査の説明：
審査員から当日の流れや審査の説明があります。

②トップインタビュー：
代表者が唯一出席が必須な項目になります。
審査員が代表者に対し、Ｐマーク取得の経緯や、
セキュリティへの課題、今後の展望などを雑談ベースでヒアリングしていきます。

③業務のヒアリング：
個人情報の流れについて、どこから取得し、保管場所や、移送方法、廃棄方法まで、全体的な流れを審査員が担当者に聞いていきます。

④Ｐマークの記録確認：
③でヒアリングした内容と作成した記録の内容が間違っていないかの確認
間違っている個所は不適合になります。
こちらの項目が一番所要時間が長いです。

⑤現場のセキュリティ確認：
重要な情報の保管場所や、サーバの置き場所や状態、パソコンの設定（ＰＷや、スクリーンセーバの設定、セキュリティソフトの最新verの確認など）見ていく項目は審査員によって多少違いますが、必ず見ていくポイント決まっていたりします。
こちらも社内状況によっては不適合になります。

⑥総括：
最終的にいくつ不適合があったのかの共有をいただけます。
不適合に対する具体的な対応方法については基本教えていただけません。
（審査員のコンサル業務は禁止されている為）

４．審査後の対応：指摘改善作業

【概要】
現地審査が終わると、1週間～2週間後に審査員から「指摘文書」が届きます。
「指摘文書」に対し、1回目は3か月以内に「指摘改善文書」を作成し、審査員に返答しなければなりません。

ただ1回目で対応が終わることは少なく、2回目、3回目と、まだ直っていないと判断された不適合箇所については、繰り返し審査員に「指摘改善文書」を作り直し提出する必要があります。
ちなみに2回目以降は1か月以内に提出しなければなりません。後回しにせず早く対応しましょう。

「指摘文書」がＰマークの専門用語を駆使して作成されているので、そもそも読解することが難しく、この指摘改善対応が一番大変だと聞くことも多いです。

「たくさん指摘が出た！担当者だけでは対応できないから助けてほしい」
「審査は自分たちで乗り切ったから指摘改善対応からサポートしてほしい」
というお客様もいらっしゃいます。

５．プライバシーマーク（Pマーク）の付与機関と審査機関

（１）付与機関とは

プライバシーマーク（Pマーク）における付与機関とは、審査機関を指定し、プライバシーマークが適正に付与・更新されるよう管理している機関です。

つまり、プライバシーマーク（Pマーク）を発行している機関です。この付与機関は、一般財団法人日本情報経済社会推進協会（通称JIPDEC）が勤めています。<適正な運用を行うため、「プライバシーマーク（Pマーク）制度委員会」「消費者相談窓口」を設置しています。

（２）審査機関とは

プライバシーマーク（Pマーク）における審査機関とは、付与機関から許可され、各企業の審査を行う機関のことです。

つまり、プライバシーマーク（Pマーク）を付与してよいかを審査し判断する機関です。
2022年2月現在、プライバシーマーク審査機関は全部で19機関あります。

自社で選定した審査機関で、申請から審査、付与認定までトータルで対応してもらうことができますが、19機関どれでも選べるというわけではなく、業種や本社所在地によって受けられる／受けられないがあります。
どの審査機関で審査を受けても審査料金に変わりはありません。
審査を受ける会社の規模（＝従業員の人数）によって小規模・中規模・大規模に分かれ、料金が変動します。

また、認証後に利用できるロゴマークについては、どの審査機関で認定を受けた場合も青い「P」というマークに違いはありません。

（３）付与機関と審査機関の違いって？

前述のとおり、付与機関はJIPDECのみです。

付与機関＝プライバシーマークを全体管理している機関
審査機関＝実際に現場で審査をしている機関

　JIPDECは付与機関であると同時に審査機関も兼任しています。

６．審査機関の種類とその違い

（１）JIPDEC(日本情報経済社会推進協会)

【特徴】
①Pマークの大元の組織となっており、付与機関でもある審査機関。
②所在地が東京都になる為、関東にある事業者はJIPDECで受けるケースも多いが、基本的にはどの地域でも受けることができる
③比較的厳しく見てくださるので、審査での指摘の数も多くなるケースが多々あり、審査でしっかり見てもらいたい事業者向け

（２）地域対象の審査機関

【特徴】
特に審査機関の指定が無い場合、自分の地域対象審査機関にて受けるケースが多い。

北海道：一般社団法人北海道ＩＴ推進協会　[DPJC]
東北：特定非営利活動法人みちのく情報セキュリティ推進機構　[TPJC]
中部：一般社団法人中部産業連盟　[中産連]
近畿：一般財団法人関西情報センター　[KIIS]
中四国：特定非営利活動法人中四国マネジメントシステム推進機構　[中四国MS機構]
九州地域：公益財団法人くまもと産業支援財団　[KPJC]

（３）業種対象の審査機関

【特徴】
地域対象の審査機関と違う部分は、
①会員制で会員費を払えば、審査を受けることができる
└例えば「一般社団法人日本情報システム・ユーザー協会　[JUAS]」
②ある条件に該当する場合は、強制的にその審査機関でしか受けれなかったりもします。
└例えば、個人情報全体の半分以上が「要配慮個人情報」になる場合、審査機関は必ず　「一般財団法人医療情報システム開発センター　[MEDIS-DC]」になる等

業務対象の審査機関の中には、地域対象の審査機関と比べて半分の期間で審査を受けることができたり、文書を郵送でなくデータで見てくれたりなど、対応が柔軟な審査機関もあったりします。

その他の業務対象の審査機関
一般社団法人情報サービス産業協会　[JISA]
一般社団法人日本マーケティング・リサーチ協会　[JMRA]
公益社団法人全国学習塾協会　[JJA]
一般社団法人全日本冠婚葬祭互助協会　[全互協]
一般社団法人日本グラフィックサービス工業会　[JaGra]
一般財団法人日本データ通信協会　[デ協]
一般社団法人ソフトウェア協会　[SAJ]
一般社団法人日本印刷産業連合会　[日印産連]
一般財団法人放送セキュリティセンター　[SARC]
一般社団法人モバイル・コンテンツ・フォーラム　[MCF]
一般財団法人日本エルピーガス機器検査協会　[LIA-AC]

上記の通り、Pマークの審査機関は意外と選択の余地があり、先ほどご説明した通り、審査機関をどこを選ぶかによって、取得までの期間が短くなったり、長くなったりします。

時期によって混雑具合も変わりますので、どこの審査機関を受けるべきなのか知りたい方はぜひご相談ください。

７．Pマークの審査にかかる費用

Pマークの取得に必要な費用は①申請料②審査料③登録料の3つとなります。

どんな企業でも①小規模②中規模③大規模に分類されます。「規模」は企業の従業者数と資本金によって変化します。まずは新規取得なのか、更新なのかで料金を確認してみましょう。

新規取得の場合の料金表

更新の場合の料金表

費用｜申請手続き｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会(JIPDEC)

Pマーク取得・更新にかかる費用全般について、詳しくはこちらの記事にてご確認ください。

あわせて読みたい記事

Pマークの取得費用を抑えるためには｜費用相場と３つのポイント

1.Pマーク取得に必要な3種類の費用とコンサルティング費用 [images_50] [/images_50] ⑴審査機関に支払う費用 Pマーク取得にかかる審査費用の金額は、会社規模によって異なります。…

８．審査に落ちる基準はあるの？

Ｐマークの審査では合格、不合格があるわけではないため、「落ちる」という概念がありません。

しかし、当然のようにやってはいけないこともあります。それは、審査料金を安くするために従業員人数を偽ったり、そもそも申請や審査の料金を支払わないといったことです。
その他は、審査後の改善事項が半年たっても一向に改善されないなど、Ｐマークを継続する意思がないと判断される対応をとってしまう場合です。

Ｐマークを取りたい、更新したいという意思がある企業に対して、審査で落とそうとすることはありませんのでご安心ください。

審査に落ちる場合について、詳細は下記の記事をご確認ください。

あわせて読みたい記事

Pマークの審査に落ちることってあるの？

１．Pマーク審査の概要 Pマークの審査は「形式審査」「文書審査」「現地審査」の3つに分けて実施されます。 審査では落とすことが目的ではありません。審査を通じて課題がある点を指摘し、改善することが目的と…

まとめ

本コラムの内容で大切なことを４点挙げます。
・審査機関の選択により、ご取得までの期間が短くできる可能性がある
・現地審査までは大きく①申請 ②形式審査 ③文書審査 ④現地審査　のステップがある
・審査後の指摘改善対応が意外と大変になる為、余裕をもって対応が必要
・審査で落ちる基準はないが、やってはいけないことは、①審査費用未払い②期限を守らない③虚偽申請

Pマークの取得、更新は、認証パートナーまでお気軽にご相談ください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️