１．取得のための計画作成

プライバシーマーク（Pマーク）は「個人情報保護マネジメントシステム」と呼ばれ、PDCAサイクルを回す仕組みです。

プライバシーマーク（Pマーク）だけではありませんが、 何か目標を達成したいときには、まず「計画」が必要になります。
計画を立てるために社内で実施しなければいけないことを含めて解説していきます。

①社内責任者の選定 まずは、社内でプライバシーマーク（Pマーク）を進める責任者を決めましょう。
責任者は、プライバシーマーク（Pマーク）取得プロジェクト全体のとりまとめ役です。
よく選出されるのは、管理部門やシステム部門の方です。社長自らが社内責任者となる企業もあります。
プライバシーマーク（Pマーク）取得に向けた準備を進めると、新たなルールができたり、社員が実施しなければならないことが出てきます。こういった連絡役・進行役を行う前提で社内責任者を決めると良いでしょう。

②取得期日
計画を立てるには、ゴールの日付を設定した方がよいでしょう。
ゴールを設定していなければ、優先順位が落ちてダラダラと取得が遅くなってしまいます。
一般的には取得に向けて動き出してから半年、長くとも1年で取得している企業が多いです。
「なるべく早くとりたい」「今年か来年にとれたらいい」と目標期日がぼんやりしている場合も、「〇月〇日までに認証完了を目指す」とはっきり日付を決めるのがよいでしょう。
また、2020年は新型コロナウイルスの影響で緊急事態宣言の発令等により、審査日程が通常時よりも遅くなってしまったケースがありました。
不安な方は、審査機関に「いまは審査日程が遅くなるということはありますか？」と問い合わせてみるといいでしょう。

③審査機関の選定
次にプライバシーマーク（Pマーク）の審査機関についてですが、現在、全部で20の審査機関が存在しています。
審査機関によって多少、審査のやり方、傾向に違いがあります。
どの審査機関を選んでも発行されるプライバシーマークは同じデザインです。
また、審査費用も一律です。
しかし、審査機関によっては追加で入会金や年会費がかかる審査機関もあるので注意が必要です。
地域や業界によって審査機関が限定されるケースもあります。
JIPDECのwebサイトに審査機関の判断フローがありますので、参考にしてください。
また、審査場所と、審査機関の拠点とが遠く離れている場合、審査員２名の往復交通費（＋ホテルの前泊費用）がかかってくるので、こだわりがない場合は、近い審査機関を選ぶのがいい場合もあります。
ここまで読んでも「正直よく分からない…ウチの場合はどの審査機関にしたらいいの？」という方も多いと思います。
業界・地域・審査傾向などを考えて総合的に判断するのがいいので、知識を持っているコンサルへ相談することをおススメいたします。

④コンサル会社のサポートを利用するか
プライバシーマーク（Pマーク）を取得する際、コンサル会社のサポートを使って取得するか、全て自社で内製化して取得するかを考えましょう。
コンサル会社のサポートを利用すると、ノウハウ不足・知識不足・リソース不足を補うことができるので、社内責任者や携わる社員の負担は確実に減ります。
費用はかかりますが、メリットがたくさんあります。
ただし、コンサル会社によってもサポート体制は異なります。
実際にコンサル会社を選定する際に、サービス内容も確認した上で決定するのが良いでしょう。

コンサル会社選びのポイントについては、こちらの記事に詳しく書いています。
プライバシーマーク（Pマーク）サポートの利用を考えた時に見るべき５つのポイント

２．文書・記録作成

続いては文書・記録作成です。 つまり書類をたくさん作るステップになります。

「Pマークを取得するためにテンプレートを購入した！あとは埋めるだけ！」と効率的に考えられる方もいらっしゃいますが、ここに落とし穴があります。

プライバシーマーク（Pマーク）は2年に1度審査があり、その審査で2年分の記録を見られます。

つまり「取って終わり」にはならないため、いかに自社に合ったルールで構築できるか が非常に大切になってきます。
プライバシーマーク（Pマーク）を取ったはいいものの、現実と乖離しているため、審査のために2年おきに作り直すというのも非効率ですよね。

プライバシーマーク（Pマーク）の運用についてはこちらに詳しく書いています。
プライバシーマーク(Pマーク)のためのPMS運用とは？

３．申請

続いては申請です。 プライバシーマーク（Pマーク）が欲しい！審査を受けたいという申込みになります。

プライバシーマーク（Pマーク）の審査で必要な書類は、 「申請書」と「文書・記録」に分けられ、さらに「文書・記録」は① 文書類、② 記録類、③ 帳票類の3つの分類に分けられます。

▼「申請書」

プライバシーマーク（Pマーク）の申請書の作り方をまとめておりますので、こちらをご覧ください
プライバシーマーク（Pマーク)の申請書の作り方

▼「文書・記録」

① 文書類

自社の個人情報取り扱いのルールを文書化したものです。

個人情報保護マニュアル
個人情報保護マネジメントシステムを運用していく際のルールを定めたものです。

安全管理規定
安全管理措置を定めたものです。
入退室管理や、盗難の防止策、個人情報を移送や送信する際のリスクに対しての対策をまとめたものです。

個人情報保護方針
個人情報を守るために会社でどんなことをしていくかを示したものです。
載せないといけない項目が決まっていますので、それに沿って策定します。

個人情報の取り扱いについて
取得した個人情報をどのように使うのか確認する際の問い合わせ先などが載ったものです。
一般的には「個人情報保護方針」と一緒にWebに掲載されます。

文書や記録をまとめた台帳
「①文書類」「②記録類」「③帳票類」をまとめて台帳にしたものです。

② 記録類

運用がきちんと行われているかの証拠としてそれぞれ記したものがプライバシーマークにおける「記録」です。

「記録」は以下の7つに分けられます。

個人情報をまとめた台帳
自社で取り扱っている個人情報を洗い出し特定し一覧にまとめたものです。

法令
自社の業務に関係のある法令、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定します。

リスク分析・リスクアセスメント
「個人情報を取りまとめた台帳」で特定した個人情報を取り扱う上でのリスクを洗い出し、どういった対策を取るのかを決めて一覧にします。

委託
個人情報を委託している事業者を特定、評価します。

認識
従業者全員に個人情報保護についての教育を行います。
実施する教育についての計画書と、実施した記録を作成します。

監査
自社の個人情報マネジメントシステムに不適合はないか、運用において問題がないかを監査します。
教育と同じく計画書と、実施した記録を作成します。
また、監査によって不適合が出た場合は「是正処置に関する記録」が必要になります。

マネジメントレビュー
代表者が全運用状況の報告を受け、確認して指示を出します。　

③ 帳票類

採用で発生する同意書や、従業員の同意書、そのほか従業員の入退室の記録や来訪者の記録などです。

個人情報に関しての苦情や事故があった場合の報告書等の用意が必要になります。

４．審査

申請が終わった後はプライバシーマーク（Pマーク）の審査です。

審査は細かくわけると 「形式審査」「文書審査」「現地審査」と3つあり、みなさんがイメージされている審査は「現地審査」になります。

審査員という方が来社して審査に来ます。
審査の流れと、審査対策については、詳細をこちらの記事に記載しております。
http://ninsho-partner.com/feature/privacymark_shinsa_taisaku/

審査に必要な準備物はこちらの記事にまとめております。
http://ninsho-partner.com/feature/privacymark_shinnsa_junnbi/

（ちなみに…） プライバシーマーク（Pマーク）の新規取得審査は、よほどのことがない限り落ちません。
逆に「取得すること」よりも「維持し続ける」ことが大変ということが表されていますね。

よほどのことと書きましたが、「審査に落ちる基準」も決まっております。
興味のある方はこちらの記事もご覧ください
http://ninsho-partner.com/feature/privacymark_criteria/

５．認証書発行、認証完了、取得

やっとここまできました。 ついにプライバシーマーク（Pマーク）の取得です。

認証書という証明書が発行され、認証完了になります。

ここで１つ注意点があります。
審査に受かっても、「付与登録料」を支払わないと認証書が送られてきません！
必ず支払いましょう。

６．Pマーク取得するうえでの忘れてはいけない3つのポイント

まとめに入る前に、プライバシーマーク（Pマーク）を取得するうえでの忘れてはいけない3つのポイントを記載します。

①Pマーク取得にかかる費用

プライバシーマーク（Pマーク）には必ず費用がかかります。

審査費用だけで30～125万円（※規模で異なる）、コンサルに頼むのが一般的なのでコンサルティング費用も含めると80～200万円（※規模で異なる）の予算は見ておいたほうがよいでしょう。

Pマーク取得にかかる費用の詳細はこちらに記載しております。
プライバシーマークにかかる費用（価格）

②Pマークを自力で取得する場合の注意点

一番気を付けるべき点は、 「プライバシーマーク（Pマーク）は取得して終わりではない」ということです。

2年に1度審査があり、そこで2年分の記録を見られます。
このことを意識せず、テンプレートなどを入手してプライバシーマーク（Pマーク）の書類を作ったり、 過去の経験のまま自力でプライバシーマーク（Pマーク）を取得しようとすると、未来の自分の首を締めることになります。

きちんと自社に合ったルール・今の時代に合ったルールで構築しなければ、毎年毎年苦労します。

2年目以降のことについてはこちらの記事にも記載しております。
プライバシーマーク(Pマーク)のためのPMS運用とは？

③Pマーク取得の上での最低限のセキュリティ

「入退室の管理システムやオートロックが必要」
「アクセスログのITツール導入が必要」

これ、すべて間違いです！

間違いというと言葉が強烈ですが、正確に言うと 無くてもプライバシーマーク（Pマーク）は取得できますし、個人情報保護の運用もしっかりできます。

大事なのはルールを作り、それを守っているかチェックする仕組みがあるかということであり、ツール導入ではありません。
そもそも、必要であれば、

・バーチャルオフィスを持っている会社のプライバシーマーク（Pマーク）取得
・フルリモート環境でのプライバシーマーク（Pマーク）取得
・自宅が事務所の会社のプライバシーマーク（Pマーク）取得

などができなくなってしまいます。

上記に述べたような、バーチャルオフィスを持っている会社などでもプライバシーマーク（Pマーク）を取得しており、個人情報保護の体制をしっかりつくることができる証拠になっております。

７．まとめ

プライバシーマーク（Pマーク）を取得するためには、計画作成、文書記録作成、申請、審査、取得と、大きく5ステップあります。

Pマークを取得するためには「審査」を通過しなければならず、この審査も細分化すると「形式審査」「文書審査」「現地審査」の3回もあるので徹底的な準備が必要です。

また、Pマーク取得するうえでの忘れてはいけない3つのポイント
①Pマーク取得にかかる費用
②Pマークを自力で取得する場合の注意点
③Pマーク取得の上での最低限のセキュリティ

ここだけはしっかり把握して臨みましょう！