2024年5月1日
Pマーク取得にあたって何をすればよいか分からない方も多いと思います。
取得には、6つのステップがあり、計画作成、文書記録作成、申請、審査、指摘事項の改善、認証完了になります。
また、取得にあたり[審査]が必ずあり、通過する必要があります。皆さんが気になる[審査]を細分化すると「形式審査」「文書審査」「現地審査」と3回もあるので、事前に準備及び対策が必要です。
目次
- 1.Pマーク(プライバシーマーク)制度の概要と付与の対象
- (1)概要
- (2)付与の対象
- 2.Pマークを取得する流れ
- 3.ステップ1 取得のための計画作成
- (1)社内責任者の選定
- (2)取得期日の決定
- (3)審査機関の選定
- (4)コンサル会社のサポートを利用するか
- 4.ステップ2 Pマーク取得に必要な文書・記録を用意する
- (1)文書類
- (2)記録類
- (3)帳票類
- 5.ステップ3 申請
- 必ずご提出いただく書類
- 任意でご提出いただく書類
- 6.ステップ4 審査
- (1) 形式審査〜文書審査
- (2) 現地審査
- 7.ステップ5 指摘事項の改善
- 8.ステップ6 認証書発行、認証完了、取得
- 9.Pマーク取得にかかる費用
- (1)Pマーク審査を受けるためにかかる費用(申請書+審査料+付与登録料)
- (2)コンサルティング費用
- 10.まとめ
1.Pマーク(プライバシーマーク)制度の概要と付与の対象
(1)概要
Pマーク制度とは、日本工業規格(JIS Q 15001)に基づき、個人情報の保護に関する適切な管理を行っている企業や組織に対して、認定機関がプライバシーマークを付与する制度です。
プライバシーマークを取得することで、会社が個人情報をしっかり守るための体制が整っていることを社外にアピールすることができます。
現在17,598社(2024年3月時点)の企業がプライバシーマークを取得しています。
(2)付与の対象
Pマークは個人情報を適切に管理していると認定された事業者のみが使用できるマークです。審査に合格した事業者に付与されます。
また、そもそも日本国内の企業で、代表者含む正社員が2名以上いる事業者でないと申請できません。つまり、海外の企業や従業員が1名の企業は取得できません。
そして、JIPDECが公表している規約の欠格事由に該当する場合、プライバシーマークの取得対象外となるため、事前に確認が必要です。欠格事由を確認される方は、下記のJIPDECのページをご覧ください。
参考URL : プライバシーマークとは|プライバシーマーク付与に関する規約|一般財団法人日本情報経済社会推進協会(JIPDEC)
2.Pマークを取得する流れ
まずはPマーク認証取得するまでの全体的なイメージを持ちましょう。大きく6つのステップがあります。
- ステップ1:取得のための計画作成
- ステップ2:Pマーク取得に必要な文書・記録を用意する
- ステップ3:申請手続き
- ステップ4:審査
- ステップ5:指摘事項の改善
- ステップ6:認証書発行、認証完了、取得
これを見るだけでは、やるべきことが少ないように感じられる方もいるかもしれません。
しかし、実際には個人情報の保護に関する様々な要件を満たす必要があります。それぞれのステップを説明していきます。
3.ステップ1 取得のための計画作成
(1)社内責任者の選定
社内責任者とは、プライバシーマーク取得を進めていく上での全体のリーダー役です。
審査でも社内責任者の方が対応を行うことが想定されるため、会社全体の業務内容を把握している方、もしくはシステム担当者が任命されるケースが多いです。また、社長自らが社内責任者となることもあります。
プライバシーマーク取得に向けて準備を進める際には、新たなルールが設けられ、社員がそれを遵守しなければならない場合もあります。そのため、統制を取ることができる人物を社内責任者として任命することが推奨されます。
(2)取得期日の決定
「〇月〇日までに取得完了をする」という具体的な期日を設定しましょう。
プロジェクトが長引くケースが多いため、具体的な日付を設定することでプロジェクトの進行がスムーズになり、目標達成に向けた行動計画を立てやすくなります。
また、全体のスケジュール管理がしやすくなり、必要なタスクの優先順位をつけやすくなるでしょう。
また、審査機関が混雑していることが多く、審査の日程調整が難しい場合もあります。
不安な方は審査機関に「審査は申請してからどのくらいになりますか?」と問い合わせると、審査機関側から回答を頂けることが多いです。
(3)審査機関の選定
プライバシーマーク(Pマーク)の審査機関は現在20の審査機関が存在しています。
審査機関によっては、審査の手法や傾向に違いがあることがあります。
どの審査機関を選んでも発行されるプライバシーマークのデザインは同じで、効力も変わりません。
また、審査費用も一律です。
参考URL : 費用|申請・報告|一般財団法人日本情報経済社会推進協会(JIPDEC)
ただし、審査機関によっては追加で「入会金」や「年会費」がかかる審査機関もあるので注意が必要です。
地域や業界によって審査機関が限定されるケースも多いため、まずは受けられる業界及び地域の審査機関がどこか調べるとよいでしょう。
ここまで読んでも「正直よく分からない…ウチの場合はどの審査機関に該当するの?」という方も多いと思います。
審査機関について知りたい方は下記のコラムもご参考下さい。
(4)コンサル会社のサポートを利用するか
コンサル会社のサポートを利用すると、ノウハウ不足・リソース不足・本業の時間の確保を補うことができるので、社内責任者や携わる従業員の負担は確実に減ります。
もちろんコンサルティング費用はかかりますが、それ以上にメリットが多くあります。ただし、コンサル会社によってサポート内容は大きく異なります。
実際にコンサル会社を選定する際には、サービス内容を確認し、自社にあったものを選ぶのが良いでしょう。
コンサル会社選びのポイントについては、こちらの記事に詳しく書いています。
4.ステップ2 Pマーク取得に必要な文書・記録を用意する
Pマーク取得に必要な文書・記録を解説します。
(1)文書類
プライバシーマークで求められている内容に対してのルール、セキュリティに関してのルールといったルールブックを作成する必要があります。
(2)記録類
自社で定めたルールブックにのっとり、Pマークの運用を行った記録を残す必要があります。
Pマークの審査は新規で取る際、必ず運用を行った記録を残す必要があります。
また、取って終わりではなく2年に1回更新審査があるため更新審査時は2年分の記録が必要になります。
記録類は以下の7つに分けられます。
- 個人情報の一覧
自社で取り扱っている個人情報の書類を洗い出し、一覧にまとめたものです。 - 法令
自社の業務に関係のある法令、個人情報の取扱いに関する法令、国が定める指針その他の規範を洗い出し一覧として見れる状態にしたものです。 - リスク分析・リスクアセスメント
「個人情報の一覧」にある情報を取り扱う上でどういったリスクがあるか洗い出し、リスクに対してどういった対策を取るのかをまとめたものです。 - 委託先評価
個人情報を委託している事業者を特定し、評価したものです。 - 認識
従業者全員に個人情報保護についての教育を行います。
実施する教育についての計画書と、実施した記録を作成したものです。 - 監査
個人情報保護マネジメントシステムと自社のルールブックを見比べ「×」がないか確認し、個人情報保護マネジメントシステムと「○」になっているルールブックと実運用において問題がないかをチェックしたものです。また、監査によって「×」が出た場合は「×」を直した記録が必要です。 - マネジメントレビュー
社内責任者から代表者へ全運用状況の報告を行い、報告を受け取った代表者から今後のプライバシーマークの運用に関して指示を行ったものです。
申請の際は以上7種類の記録が必要になります。
(3)帳票類
Pマークの運用をするために必要な様式の準備もしなければなりません。
こちらの様式もプライバシーマーク(Pマーク)の要求事項を反映し、作る必要があります。
従業者との同意書や委託先との個人情報に関しての契約書、上記(2)で挙げた記録の様式などがこの帳票に該当します。
5.ステップ3 申請
続いては申請です。申請とは、プライバシーマーク(Pマーク)の認定を受けるための審査の申込みのことです。
「申請書」には提出しなければならない書類の種類が約20種類ほどあります。
新規申請と更新申請では、提出する書類が審査機関により一部異なることがあります。そのため、各審査機関のウェブサイトで確認してください。
JIPDECにて新規で申請する際の書類はこちらです。
必ずご提出いただく書類
| No. | 申請書類 |
|---|---|
| 1 | 【申請様式1新規】プライバシーマーク付与適格性審査申請書①~③(代表者印の捺印必須) |
| 2 | 【申請様式2新規】個人情報保護体制 |
| 3 | 【申請様式3新規】事業者概要 |
| 4 | 【申請様式4新規】個人情報を取扱う業務の概要 |
| 5 | 【申請様式5新規】すべての事業所の所在地及び業務内容 |
| 6 | 【申請様式6新規】個人情報保護マネジメントシステム文書の一覧 |
| 7 | 【申請様式7新規】教育実施サマリー(全ての従業者に実施した教育実施状況) |
| 8 | 【申請様式8新規】内部監査・マネジメントレビュー実施サマリー |
| 9 | 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等 申請事業者(法人)の実在を証す公的文書の原本(申請の日前3か月以内の発行文書。写し不可。) |
| 10 | 定款の写し |
| 11 | 最新の個人情報保護マネジメントシステム文書一式の写し (【申請様式6新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。) |
| 12 | 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の 冒頭1ページの写し |
| 13 | 上記12に対応する、いわゆる「リスク分析結果」の写し |
任意でご提出いただく書類
| No. | 申請書類 |
|---|---|
| 14 | 教育を実施したことが確認可能な記録一式 (「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形) |
| 15 | 内部監査を実施したことが確認可能な記録一式 (「内部監査計画書」、「内部監査実施報告書」、「内部監査チェックリスト」等の写し) |
| 16 | マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式 (「マネジメントレビュー議事録」の写し) |
| 17 | 会社パンフレット等 |
出典元 : 1.申請書類の作成|新規申請方法|一般財団法人日本情報経済社会推進協会(JIPDEC)
6.ステップ4 審査
(1) 形式審査〜文書審査
いよいよプライバシーマーク(Pマーク)の審査を受けます。
審査は細かくわけると 「形式審査」「文書審査」「現地審査」と3つあります。
形式審査では、申請された書類に不備がないかどうか確認されます。
ここで足りない書類や不備等がある場合、審査機関より修正や追加での書類提出を求められます。
問題なく申請の受付ができましたら、次の文書審査へ移行します。
文書審査では、申請時に提出された書類がプライバシーマークの要求事項に沿って作成されたルールブックかどうか、要求事項を満たしているルールかどうかを確認されます。
文書審査の結果は現地審査の2〜3週間ほど前には届きますので、「×」の項目がある場合、現地審査までに修正する必要があり、できていなかった場合、現地での審査でも指摘をされます。
(2) 現地審査
現地審査では、審査員2名が会社に来訪し、実際に個人情報の管理ルールがあるか、ルール通りに運用されているかを1日かけて確認を行います。
時間調整が必要だと感じられる方もいらっしゃると思いますので、現地審査のタイムスケジュールについて以下の記事を参考にして頂けるとよいです。
7.ステップ5 指摘事項の改善
指摘事項とは、審査の結果、要求事項に適合していないと判断された点を指します。
この指摘事項は、現地審査が終了した後、1週間から2週間で審査員から「指摘文書」として送られてきます。
「指摘文書」に対して、1回目は3ヶ月以内に「指摘改善文書」を作成し、審査員に提出する必要があります。
しかし、一度の提出で全てが完了することは少なく、2回目、3回目と続くことが多いです。それぞれの回で、まだ改善が必要とされた箇所については、再度「指摘改善文書」を作り直し、審査員へ提出しなければなりません。
特に2回目以降は、提出期限が1ヶ月と短くなるため、早めの対応が求められます。
また、「指摘文書」にはPマークの専門的な用語が多く、理解するのが難しいため、この改善対応が一番大変だと感じる方も多いです。
「多くの指摘が出て、担当者だけでは対応できない」
「審査は自分たちで乗り切ったが、指摘改善対応からサポートが欲しい」
といったお客様の声もあります。
8.ステップ6 認証書発行、認証完了、取得
やっとここまできました。 ついにプライバシーマーク(Pマーク)の取得です。
『認証書』という証明書が発行され、認証完了になります。
ここで1つ注意点があります。
審査に受かっても、「付与登録料」の支払い、及び契約書締結の対応がないと認証書が送られてきません。
必ず対応をしましょう。
9.Pマーク取得にかかる費用
Pマーク取得にかかる費用は、大きく2つあります。
(1)Pマーク審査を受けるためにかかる費用(申請書+審査料+付与登録料)
Pマークの審査を受けるために必要な費用は、申請書、審査料、付与登録料から成り立っています。
これらはPマークを取得または更新する際に必ず必要となる費用で、審査機関や付与機関に支払うものです。どの審査機関を選んでも基本的に金額は同じです。
ただし、Pマークの審査に必要な費用は、企業の規模によって3つのカテゴリーに分けられています。
それぞれの規模を簡単に説明すると、以下の通りです。
- 小規模:5名以下
- 中規模:6名~100名
- 大規模:100名以上
企業の規模によって費用は変動しますが、最も小さい「小規模」に該当する場合でも、約30万円が必要となります。
下記は、Pマーク審査を受けるためにかかる費用(申請書+審査料+付与登録料)の一覧です。
新規取得の場合の料金表
| 事業者規模 | 小規模 | 中規模 | 大規模 |
|---|---|---|---|
| 申請料 | 52,382円 | ||
| 審査料 | 209,524円 | 471,429円 | 995,238円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 314,288円 | 628,573円 | 1,257,144円 |
更新の場合の料金表
| 事業者規模 | 小規模 | 中規模 | 大規模 |
|---|---|---|---|
| 申請料 | 52,382円 | ||
| 審査料 | 125,714円 | 314,286円 | 680,952円 |
| 付与登録料 | 52,382円 | 104,762円 | 20,9524円 |
| 合計 | 230,478円 | 471,430円 | 942,858円 |
出典元:費用|申請・報告|一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーマークの取得費用について、詳しくはこちらをご参考ください。
プライバシーマークを取りたいけど、どの区分に該当するか分からないとなった場合は、JIPDECホームページに詳細がありますので、以下URLよりご確認することをお勧めします。
参考URL : 費用|申請・報告|一般財団法人日本情報経済社会推進協会(JIPDEC)
(2)コンサルティング費用
コンサルティング費用は、専門のコンサルティング会社のサポートを受けるために支払う費用です。
プライバシーマークの取得において、コンサルティング会社の利用は必須ではありません。
一方で、コンサルタントの利用には多くのメリットがあります。自社での取得に比べて作業負担が軽減され、認証取得までの期間が短縮されることなどが挙げられます。
そのため、多くの企業がコンサルティングを利用し、準備から手続きまでを行っています。
費用は、コンサルティング会社によって異なりますが、40万円~200万円程度です。
コンサルティングサービスの内容や費用には幅がありますが、高い費用が必ずしも良いサービスを意味するわけではありません。
費用について疑問がある場合は、担当者と相談し、サービス内容や自社で行うべき作業について詳細を確認しましょう。
10.まとめ
Pマークの取得方法は、プロジェクトを完結させるための計画作成、規程及び記録作成、申込み、審査、指摘事項の改善、認証完了の6ステップを進めることです。
Pマークの取得方法にある「審査」を細分化すると「形式審査」「文書審査」「現地審査」と3回もあるので、事前準備が必要かつ重要になっていきます。
お悩みごとや取得に向けて動いているがなかなか上手くいかないなどのお困りごとがありましたら、まずは無料でご相談も可能ですのでお気軽にお問い合わせください。
計画作成や必要な書類の用意を含めて、Pマーク認証取得のサポートも実施させていただきます。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
-
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください