Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

Pマーク審査の流れと準備物をわかりやすく解説

2022年7月22日

Pマーク審査の流れと準備物をわかりやすく解説

1.プライバシーマーク(Pマーク)の付与機関と審査機関

(1)付与機関とは

プライバシーマーク(Pマーク)における付与機関とは、審査機関を指定し、プライバシーマークが適正に付与・更新されるよう管理している機関です。

つまり、プライバシーマーク(Pマーク)を発行している機関です。この付与機関は、一般財団法人日本情報経済社会推進協会(通称JIPDEC)が勤めています。<適正な運用を行うため、「プライバシーマーク(Pマーク)制度委員会」「消費者相談窓口」を設置しています。

(2)審査機関とは

プライバシーマーク(Pマーク)における審査機関とは、付与機関から許可され、各企業の審査を行う機関のことです。

つまり、プライバシーマーク(Pマーク)を付与してよいかを審査し判断する機関です。
2022年2月現在、プライバシーマーク審査機関は全部で19機関あります。

自社で選定した審査機関で、申請から審査、付与認定までトータルで対応してもらうことができますが、19機関どれでも選べるというわけではなく、業種や本社所在地によって受けられる/受けられないがあります。
どの審査機関で審査を受けても審査料金に変わりはありません。
審査を受ける会社の規模(=従業員の人数)によって小規模・中規模・大規模に分かれ、料金が変動します。

また、認証後に利用できるロゴマークについては、どの審査機関で認定を受けた場合も青い「P」というマークに違いはありません。

(3)付与機関と審査機関の違いって?

前述のとおり、付与機関はJIPDECのみです。

付与機関=プライバシーマークを全体管理している機関
審査機関=実際に現場で審査をしている機関

 JIPDECは付与機関であると同時に審査機関も兼任しています。

2.審査機関の種類とその違い

(1)JIPDEC(日本情報経済社会推進協会)
【特徴】
①Pマークの大元の組織となっており、付与機関でもある審査機関。
②所在地が東京都になる為、関東にある事業者はJIPDECで受けるケースも多いが、基本的にはどの地域でも受けることができる
③比較的厳しく見てくださるので、審査での指摘の数も多くなるケースが多々あり、審査でしっかり見てもらいたい事業者向け

(2)地域対象の審査機関
【特徴】
特に審査機関の指定が無い場合、自分の地域対象審査機関にて受けるケースが多い。

北海道:一般社団法人北海道IT推進協会 [DPJC]
東北:特定非営利活動法人みちのく情報セキュリティ推進機構 [TPJC]
中部:一般社団法人中部産業連盟 [中産連]
近畿:一般財団法人関西情報センター [KIIS]
中四国:特定非営利活動法人中四国マネジメントシステム推進機構 [中四国MS機構]
九州地域:公益財団法人くまもと産業支援財団 [KPJC]

(3)業種対象の審査機関
【特徴】
地域対象の審査機関と違う部分は、
①会員制で会員費を払えば、審査を受けることができる
└例えば「一般社団法人日本情報システム・ユーザー協会 [JUAS]」
②ある条件に該当する場合は、強制的にその審査機関でしか受けれなかったりもします。
└例えば、個人情報全体の半分以上が「要配慮個人情報」になる場合、審査機関は必ず 「一般財団法人医療情報システム開発センター [MEDIS-DC]」になる等

業務対象の審査機関の中には、地域対象の審査機関と比べて半分の期間で審査を受けることができたり、文書を郵送でなくデータで見てくれたりなど、対応が柔軟な審査機関もあったりします。

その他の業務対象の審査機関
一般社団法人情報サービス産業協会 [JISA]
一般社団法人日本マーケティング・リサーチ協会 [JMRA]
公益社団法人全国学習塾協会 [JJA]
一般社団法人全日本冠婚葬祭互助協会 [全互協]
一般社団法人日本グラフィックサービス工業会 [JaGra]
一般財団法人日本データ通信協会 [デ協]
一般社団法人ソフトウェア協会 [SAJ]
一般社団法人日本印刷産業連合会 [日印産連]
一般財団法人放送セキュリティセンター [SARC]
一般社団法人モバイル・コンテンツ・フォーラム [MCF]
一般財団法人日本エルピーガス機器検査協会 [LIA-AC]

上記の通り、Pマークの審査機関は意外と選択の余地があり、先ほどご説明した通り、審査機関をどこを選ぶかによって、取得までの期間が短くなったり、長くなったりします。

時期によって混雑具合も変わりますので、どこの審査機関を受けるべきなのか知りたい方はぜひご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.Pマークの申請から現地審査までの流れ

取得の流れは、
キックオフ→申請→形式審査→文書審査→現地審査→指摘事項への対応→取得完了

です。
期間の目安は以下の通りです。

⑴申請

│ 1か月~2か月

⑵形式審査

│ 半月~1か月程度

⑶文書審査

│ 1か月~3か月

⑷現地審査

それぞれのプロセスを詳しく説明していきます。

(1)申請

【概要】
現地審査を受けるための申請
※Pマークの要求事項通りに最低でも2か月以上運用した後に、申請することができます。

【申込方法】
各審査機関より申請書フォーマットをダウンロード、
申請書に記載されている順序に添付書類をご用意し、
各審査機関が指定している提出方法にて申請書類一式を提出

【必要書類】
・申請書
・Pマーク帳票類・フォーマット類一式
・登記簿謄本(原本)
・定款(コピー)
※審査機関によって、多少違う場合がございます。

(2)形式審査

【概要】
申請料のお振込みを確認した後、申請資格があるか、申請書類に不備がないかを見ます。

形式審査の際に、業種や規模の判断を行い、申請書類の修正、追加提出等を依頼する場合もあります。
受理した場合、受理した旨と業種・規模について書面にてご連絡します。

(3)文書審査

【概要】
形式審査で受理した申請書類のうちPマーク文書がJIS Q 15001に基づいたプライバシーマーク付与適格性審査基準に適合しているかどうかについて、審査を行います。

【場所】
審査機関にて実施
※文書審査は審査機関側にて行われる為、結果のみ連絡が来ます。

【対応】
文書審査の結果、「不適合」や「現地審査時に確認」になった項目に対し、修正が必要です。

【いつまでに対応が必要か】
現地審査まで

(4)現地審査

【概要】
審査員の方が会社に直接来られ、文書審査での結果が修正されているか、Pマークの運用書類と実際の業務内容が合っているか現場のセキュリティ体制に問題ないか等を丸1日賭けて審査します。

【場所】
個人情報の取り扱いが一番多い拠点にて実施されるケースが多いです。
(基本的には本社にて実施)

【準備物】
・文書審査の結果
・Pマークのマニュアル・規定類
・Pマークの帳票類・フォーマット
・Pマークの記録類
※できるだけPマークに関連する書類や記録はファイリングし、
付箋をつけてわかりやすくした方が良いです。

【審査当日の流れ】
①審査の説明 15分~30分
②トップインタビュー 30分程度
③業務のヒアリング 60~90分
④Pマークの記録確認 2~3時間
⑤現場のセキュリティ確認 30~60分
⑥総括:30分程度
※合間に1時間、お昼休憩が入ります

①審査の説明:
審査員から当日の流れや審査の説明があります。

②トップインタビュー:
代表者が唯一出席が必須な項目になります。
審査員が代表者に対し、Pマーク取得の経緯や、
セキュリティへの課題、今後の展望などを雑談ベースでヒアリングしていきます。

③業務のヒアリング:
個人情報の流れについて、どこから取得し、保管場所や、移送方法、廃棄方法まで、全体的な流れを審査員が担当者に聞いていきます。

④Pマークの記録確認:
③でヒアリングした内容と作成した記録の内容が間違っていないかの確認
間違っている個所は不適合になります。
こちらの項目が一番所要時間が長いです。

⑤現場のセキュリティ確認:
重要な情報の保管場所や、サーバの置き場所や状態、パソコンの設定(PWや、スクリーンセーバの設定、セキュリティソフトの最新verの確認など)見ていく項目は審査員によって多少違いますが、必ず見ていくポイント決まっていたりします。
こちらも社内状況によっては不適合になります。

⑥総括:
最終的にいくつ不適合があったのかの共有をいただけます。
不適合に対する具体的な対応方法については基本教えていただけません。
(審査員のコンサル業務は禁止されている為)

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.審査後の対応:指摘改善作業

【概要】
現地審査が終わると、1週間~2週間後に審査員から「指摘文書」が届きます。
「指摘文書」に対し、1回目は3か月以内に「指摘改善文書」を作成し、審査員に返答しなければなりません。

ただ1回目で対応が終わることは少なく、2回目、3回目と、まだ直っていないと判断された不適合箇所については、繰り返し審査員に「指摘改善文書」を作り直し提出する必要があります。ちなみに2回目以降は1か月以内に提出しなければなりません。後回しにせず早く対応しましょう。

「指摘文書」がPマークの専門用語を駆使して作成されているので、そもそも読解することが難しく、この指摘改善対応が一番大変だと聞くことも多いです。

「たくさん指摘が出た!担当者だけでは対応できないから助けてほしい」
「審査は自分たちで乗り切ったから指摘改善対応からサポートしてほしい」
というお客様もいらっしゃいます。

5.審査に落ちる基準はあるの?

「プライバシーマーク(Pマーク)審査に落ちることってあるんですか?」というご質問をよくいただきます。
プライバシーマークの審査で、大学受験のように「〇点に至らなかったので不合格」ということはありません。

審査で審査員から不適合を出されたとしても、期限内に改善を実施して報告すれば、落ちることはまずありません。
もし不合格になるとすると、その基準は下記3つです。
①審査費用未払い
②期限を守らない
③虚偽申請

3つのうちどれかに該当してしまうと審査が打ち切りになり、取得できなくなってしまいます。

①審査費用を払わない

プライバシーマークの取得・更新では、申請料、審査料、登録料という3つの料金を支払わなくてはなりません。
この3つは支払い先と支払い時期がそれぞれ異なり、まとめての支払いができません。
3つのうち1つでも支払いができていないと取得・更新ができなくなってしまいます。

②期限を守らない

プライバシーマークは2年に1度、現地審査が行われます。
審査を申し込む申請期限(有効期限満了日の8か月前~4か月前)というのが設けられています。

しかし、業務多忙のためこれをうっかり忘れてしまうことがあります。そうなると更新審査が受けられなくなってしまう場合があるので注意してください。

こちらの記事にも関連した情報がございますのでよろしければご覧ください。
プライバシーマーク(Pマーク)更新審査で必要なこと

③虚偽申請

そして、一番気をつけなければならないのは、従業員数の虚偽申請です。

事業規模(=従業員の人数)により審査費用が大きく違うため、たまに人数をごまかして審査を受けようとする会社があるようですが、もし発覚した場合、審査打ち切りの対象になりますので、絶対にやめましょう。

以上3点さえしっかりおさえていれば、審査に落ちることはまずないと言えるでしょう。
また、プライバシーマーク審査は審査内容が点数化されません。

たとえば学校の受験のように満たさないといけない合格点もありませんし、倍率もありません。クレジットカード審査のようにその会社の資力や資産、企業風土が審査基準になることもありません。ミシュランのように一つ星や二つ星、三ツ星といった優劣がつくこともありません。
プライバシーマークを認証取得した企業がもっているプライバシーマークはすべて同じものと言えます。

まとめ

本コラムの内容で大切なことを4点挙げます。

・審査機関の選択により、ご取得までの期間が短くできる可能性があります
・現地審査までは大きく①申請 ②形式審査 ③文書審査 ④現地審査 のステップがある
・審査後の指摘改善対応が意外と大変になる為、余裕をもって対応が必要
・審査で落ちる基準は3つある

└①審査費用未払い
└②期限を守らない
└③虚偽申請

もっと詳しくPマーク審査の流れを聞いてみたいという方はぜひお問合せください。お待ちしております!

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。