2024年12月18日

目次
- 1. Pマーク取得の全体像
- 1-1. Pマーク取得のおおまかな流れ
- 1-2. 取得期間の目安は10カ月〜1年半
- 1-3. コンサルタントを使えば6カ月も可能
- 1-4. Pマークの取得にかかる費用
- 2. Pマーク取得(1)事前準備(3カ月~)
- 2-1. 現状分析
- 2-2. 体制構築
- 2-3. PMS構築・運用
- 2-4. 教育・訓練
- 3. Pマーク取得(3)申請・審査(6カ月~)
- 3-1. 申請書類作成
- 3-2. 書類審査
- 3-3. 現地審査
- 3-4. 是正対応
- 4. Pマーク取得(3)認定・マーク使用(1カ月~)
- 4-1. 付与適格決定
- 4-2. プライバシーマークの使用
- 5. スムーズなPマーク取得を実現するための3つのコツ
- 5-1. 専門家の知見を活用する
- 5-2. 従業員の意識向上を図る
- 5-3. 運用を見据えた準備をする
- 6. まとめ
「Pマークの取得を検討しているけど、どこから始めたらいいのかわからない」
というお悩みをお持ちの企業は少なくありません。
個人情報の適正な取り扱いが求められる昨今、Pマーク(プライバシーマーク)の取得は、顧客や取引先から信頼を得るために重要な取り組みとなっています。
しかし、Pマーク取得のプロセスは複雑で、専門的な知識も必要とされるため、初めて取り組む企業にとっては戸惑いも大きいでしょう。
この記事では、Pマーク取得の全体像から、各段階で必要な手続きや期間の目安までを詳しく解説します。
スムーズなPマーク取得を実現するためのコツも紹介しますので、取得を検討中の方はぜひご一読ください。
Pマーク取得への具体的なイメージを持って、自社の取り組みをスタートしましょう。
1. Pマーク取得の全体像
Pマークの取得は、事前準備から認定までの一連のプロセスを経て行われます。
まず、Pマーク取得の全体像について見ていきましょう。
- Pマーク取得のおおまかな流れ
- 取得期間の目安は10カ月〜1年半
- コンサルタントを使えば6カ月も可能
- Pマークの取得にかかる費用
1-1. Pマーク取得のおおまかな流れ
Pマーク取得のプロセスは、事前準備、申請・審査、認定・マーク使用の大きく3つのフェーズに分けられます。
各フェーズで求められる取り組みを確実に実施していくことが、スムーズな取得につながります。
【Pマーク取得の流れ】
- 事前準備フェーズ:個人情報保護マネジメントシステム(PMS)の構築と運用が中心となります。現状分析を行い、個人情報保護方針の策定、個人情報の特定と管理台帳の作成、各種規程・様式の整備、従業者への教育・訓練などを実施します。
- 申請・審査フェーズ:申請書類の作成と提出、書類審査、現地審査、是正対応などがおもな内容です。事前準備フェーズで構築したPMSが適切に運用されていることを、審査員に確認してもらうプロセスです。
- 認定・マーク使用フェーズ:審査に合格すると、Pマークの付与が決定します。Pマーク付与契約を締結して登録料を支払うと、Pマークを使用できるようになります。対外的な公表や社内への周知を行い、マークの使用を開始します。
1-2. 取得期間の目安は10カ月〜1年半
Pマークの取得期間は、企業の規模や体制、現状の個人情報保護対策のレベルによって異なります。
おおむね10カ月から1年半程度が目安となりますが、事前準備や申請・審査の段階で想定以上の時間を要することもあるため、余裕を持ったスケジュール設定が重要です。
【Pマーク取得のおもな段階と目安期間】
- 事前準備:3カ月~6カ月程度の期間を要します。PMSは構築するだけでなく、運用してPDCAを回すことが必要です。構築期間に加えて、運用期間を確保しなければなりません。
- 申請・審査:6カ月~1年程度の期間を要します。現地審査のスケジュールや、是正対応にかかる日数などによっても前後します。
- 付与・使用:審査の判定に合格した後、付与登録料の支払いなどを経て、およそ1カ月ほどでPマークが付与され使用できるようになります。
綿密な準備と着実な実行が、Pマーク取得までの期間を短縮するポイントとなるでしょう。
1-3. コンサルタントを使えば6カ月も可能
Pマークの取得を目指す際、専門知識と豊富な経験を持ったコンサルタントの支援を受ければ、取得までのプロセスを大幅に短縮できる可能性があります。
通常10カ月から1年半程度かかるとされるPマークの取得期間ですが、コンサルタントの適切な助言とサポートにより、わずか6カ月での取得も実現可能です。
例として、以下は認証パートナーのコンサルティングサービスをご利用いただいた場合のイメージです。
【コンサルタント活用のメリット】
- 現状分析の効率化:コンサルタントの知見を活かして、自社の個人情報保護対策の現状を短期間で的確に分析できます。課題の洗い出しと改善方針の策定が効率的に進められます。
- PMS構築の加速:コンサルタントのアドバイスに従って、自社に最適化されたPMSを短期間で構築可能です。文書類の作成や体制整備などが加速します。
- 申請・審査対応の円滑化:申請書類の作成や審査対応について、コンサルタントの細やかなアドバイスを受けられます。委託できる部分は任せ、書類の不備や審査時の不適合を最小限に抑えてスムーズに認定を取得できます。
Pマーク取得の際には、コンサルタントを使うことをおすすめします。
的確な対応ができるコンサルタントをお探しの際は、8,000社以上の支援実績と認証率100%を誇る、認証パートナーまでご相談ください。
1-4. Pマークの取得にかかる費用
続いて費用について、確認しておきましょう。
Pマークの審査には、新規のとき、および更新のときに、申請料・審査料・付与登録料の3つの費用がかかります。
具体的な金額は下表をご確認ください。
小規模・中規模・大規模の区分は、業種分類ごとに、資本金の額または出資の総額と従業員数によって、定められています。
たとえば、資本金が1,000万円・従業員数が20名の小売業の場合、「中規模」となります。よって新規の合計費用が628,573円、更新の合計費用が471,430円となります。
2. Pマーク取得(1)事前準備(3カ月~)
ここからは、Pマーク取得の流れを順に見ていきましょう。
Pマーク取得の第一段階は「事前準備」です。以下の4つのステップについて解説します。
- 現状分析
- 体制構築
- PMS構築・運用
- 教育・訓練
2-1. 現状分析
現状分析は、自社の個人情報保護対策の現状を把握し、課題を洗い出す作業です。Pマークで求められる水準と自社の現状とのギャップを明らかにすることが目的となります。
【現状分析のおもなポイント】
- 個人情報の洗い出し:自社が保有する個人情報を漏れなく特定します。顧客情報、従業員情報、取引先情報など、さまざまな個人情報が存在します。
- リスクの評価:特定した個人情報ごとに、漏えいや紛失のリスクを評価します。リスクの高い情報ほど、より強固な保護対策が必要になります。
- 対策の現状確認:個人情報を適切に管理するための対策が十分か確認します。アクセス制御、暗号化、委託先管理など、多岐にわたる観点からチェックします。
- ガイドラインとの比較:JIS Q 15001(*1)の要求事項を満たしているか自社の対策を比較し、不足している点を明らかにします。
*1:JIS Q 15001は、プライバシーマークの審査基準のベースとなる規格で、個人情報保護法など法令への遵守も包含しています。
現状分析の結果を踏まえ、改善すべき点を洗い出したら、具体的な対応方針を立てましょう。
2-2. 体制構築
Pマークの取得・維持には、社内の推進体制の整備が欠かせません。ここでは、体制構築で必要な要素を確認しておきましょう。
【推進体制の重要要素】
- トップマネジメント:企業の代表者や、権限を有する取締役以上の役職の人物がリーダーシップを取ります。
- 個人情報保護管理者:トップマネジメントは、プライバシーマークの指針内容を理解し実践する能力のある従業者を、個人情報保護管理者として指名します。個人情報保護管理者は、PMS構築・運用に関する業務を行います。
- 個人情報保護監査責任者:トップマネジメントは、公平かつ客観的な立場にある従業者を個人情報保護監査責任者として指名します。個人情報保護監査責任者は、監査の実施と報告を行います。
体制構築は、経営層の積極的な関与とリーダシップが重要です。個人情報保護対策をコンプライアンス上の重要課題と位置付けましょう。
2-3. PMS構築・運用
PMS(個人情報保護マネジメントシステム)は、個人情報を適切に管理するための仕組みです。JIS Q 15001に準拠するように構築します。
【PMSのおもな構成要素】
- 個人情報保護方針:自社の個人情報保護の考え方や姿勢を表明する方針を策定します。具体的な取り組み内容や苦情・相談窓口なども盛り込みます。
- 個人情報特定と台帳:現状分析で洗い出した個人情報の特定事項(情報の種類・項目、利用目的など)を一覧表にまとめ、個人情報管理台帳を作成します。台帳は定期的に見直します。
- 規程・様式の整備:PMSの運用に必要な規程や様式を整備します。個人情報保護規程を中心に、各種の運用マニュアル、契約書、確認書など、具体的な運用に必要な文書を用意します。
- 緊急事態の対応手順:個人情報の漏えい事故など、インシデントが顕在化したときの対応手順をあらかじめ定めておきます。緊急事態の特定、対応、当事者への通知、利害関係者への報告などを手順化します。
PMSはただ構築するだけでなく、実際に運用して改善するフローまで実施する必要があります。
出典:JIPDEC「プライバシーマーク制度パンフレット」をもとに作成
「Check」の具体的なアクションとしては、内部監査とマネジメントレビューを実施し、その内容を記録します。内部監査は個人情報保護監査責任者が監査員を選定して実行します。マネジメントレビューは、トップマネジメントがPMSの適切性・有効性を確認するために実施します。
内部監査やマネジメントレビューの結果を受けて必要な見直しや変更・改善を行い、PDCAを回していきます。
2-4. 教育・訓練
Pマークの取得・維持には、従業者一人ひとりが個人情報保護の重要性を理解し、適切な取り扱いを実践できることが求められます。継続的な教育・訓練が必要不可欠なのはそのためです。
【教育・訓練のポイント】
- PMS運用担当者の力量確保:個人情報保護に影響を与える業務を行う従業者には、どのような能力を要するか決定したうえで、その能力を充足させるための措置を行います。教育訓練のほか、力量を備えた者の雇用もという方法もあります。
- 従業者対象の教育:従業者を対象に、個人情報保護の基本的な考え方や自社のPMSの概要について教育します。少なくとも年1回、および必要に応じて教育を実施する手順も内部規程として文書化します。
- 理解度の確認:教育の効果を測定するため、定期的なテストの実施や、日常の業務で個人情報がどのように取り扱われているか確認することも重要です。
従業者一人ひとりが、個人情報保護の当事者であるという意識を持つことが、教育・訓練の究極的な目標といえます。
以上、事前準備の段階を着実に進めることが、その後のPマーク取得プロセスをスムーズにするうえで重要なポイントとなります。
3. Pマーク取得(3)申請・審査(6カ月~)
事前準備が整ったら、いよいよPマークの申請・審査の段階に入ります。申請に必要な書類の作成から、書類審査、現地審査、是正対応までの流れを確認しておきましょう。
- 申請書類作成
- 書類審査
- 現地審査
- 是正対応
3-1. 申請書類作成
Pマークに申請するには、次のような書類の提出が必要となります。
【Pマーク申請に必要なおもな書類】
- 申請書:申請者の概要や申請範囲、連絡担当者などを記載します。必要事項を漏れなく記入し、代表者印を押印します。
- 登記事項証明書:申請日前3カ月以内に発行された登記事項証明書を提出します。これにより、申請組織の実在が確認されます。
- 最新のPMS文書一式の写し:個人情報保護方針、管理台帳、内部規定など、PMSを構成する文書の写しを一式提出します。整合性を十分にチェックしておきましょう。
- 運用の記録:教育実施サマリー、内部監査・マネジメントレビュー実施サマリーなど、PMSの運用記録を提出します。
申請書類の作成には、細心の注意を払う必要があります。書類の不備は、審査の遅延や認定の可否に影響を及ぼす可能性があるからです。
3-2. 書類審査
提出された申請書類は審査機関により厳正に審査されます。書類審査ではおもに以下の観点からチェックが入ります。
【書類審査のチェックポイント】
- PMS文書の整合性:個人情報保護方針と下位文書との整合性、規程・様式間の整合性などがチェックされます。文書体系に齟齬がないか入念に確認する必要があります。
- 運用記録の十分性:提出された運用記録から、PMSが適切に運用されているかどうかが確認されます。形骸化したPMSになっていないか、記録を通じて示す必要があります。
書類審査で不適合の指摘を受けた場合、次の現地審査までに改善しておく必要があります。
3-3. 現地審査
書類審査の後、審査員が申請組織を訪問し、PMSの運用状況を確認する現地審査が行われます。
【現地審査のおもな確認事項】
- トップインタビュー:トップマネジメントに対して、事業内容や個人情報保護の方針、マネジメントレビューなどについてインタビューが行われます。
- PMS運用状況の確認:提出したPMS文書に沿った運用がされているかの確認が行われます。書類審査で指摘事項があった場合は、それが是正されていることも確認されます。
- 責任者へのヒアリング:申請担当者、個人情報保護監査責任者、個人情報保護管理者をはじめとする従業者へのヒアリングが適宜行われます。
現地審査では、PMS文書どおりに運用されていることを、具体的な事実をもとに説明できるよう、入念な準備が必要不可欠です。
審査については、以下の記事もあわせてご覧ください。
3-4. 是正対応
現地審査の結果、不適合の指摘を受けた場合は、是正処置を行う必要があります。
審査機関より指摘事項の文書が発行されますので、指定の期限内に是正結果を報告しなければなりません。是正対応を適切に行わないと、Pマークが取得できないため、慎重に取り組むことが大切です。
【是正対応のポイント】
- 是正処置の計画:指摘を受けた不適合について、対処方針と実施スケジュールからなる是正処置計画を策定します。限られた期間内で確実に不適合を解消できる計画でなくてはなりません。
- 是正処置の実行:是正処置計画に基づいて、すみやかに是正処置を実行に移します。関連部門と連携し、PMSの見直しや、運用の改善などを行います。
- 根本原因の追究:単に表面的な不適合を解消するだけでは不十分です。なぜ不適合が発生したのか、根本原因を掘り下げて追究し、再発防止に役立てることが重要です。
- 是正結果の報告:是正処置の完了後は、その結果を審査機関に報告します。不適合が解消されたことを、客観的な証拠を添えて説明できるよう、報告資料を準備しましょう。
以上のステップを経て、適合の判定が下されれば、認定・付与の運びとなります。
審査を通過するためには、PMSが形骸化することなく、実効性を伴って運用されていることが重要です。日頃のPMSへの取り組みが、審査の場で問われることを意識しましょう。
4. Pマーク取得(3)認定・マーク使用(1カ月~)
申請・審査の結果、Pマークの付与基準に適合していると判定されれば、いよいよ待望のPマーク認定となります。ここでは、認定後のマーク使用開始までの流れを確認しておきましょう。
1. 付与適格決定
2. マーク使用
4-1. 付与適格決定
審査に合格すると、審査機関および付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)より通知があります。
- 審査機関よりPマーク付与適格決定通知:審査の結果、Pマークの付与に適格だと判定されたことが通知されます。
- JIPDECとの契約と登録料の支払い:付与適格決定の通知を受けた申請事業者は、付与機関のJIPDECとPマーク付与契約を締結し、付与登録料を支払うことで、Pマークを使用できるようになります。契約期間は2年間です。
審査機関およびJIPDECより、通知・案内文書が郵送されますので、確認のうえ手続きを進めましょう。
4-2. プライバシーマークの使用
JIPDECへの付与契約手続きが完了すると、プライバシーマーク登録証とプライバシーマーク画像データの交付を受けられます(Pマークポータルサイトよりダウンロードできるようになります)。
【Pマーク使用のポイント】
- 使用規約の確認:JIPDECが定めるPマーク使用規約を確認のうえ、適正に使用しましょう。
- 対外的な公表:自社のWebサイトや印刷物などで、Pマークの取得を広く公表します。積極的にステークホルダーにアピールしましょう。
- 社内への周知徹底:全従業員に対し、Pマーク取得の報告とそれに伴う心構えについて周知します。取得後もPMSの適切な運用が求められることを踏まえ、一層の意識向上を図ります。
なお、手続きが完了すると、JIPDECサイトの「付与事業者情報」に掲載されます。
5. スムーズなPマーク取得を実現するための3つのコツ
最後に、Pマーク取得をスムーズに進めるためのコツを3つ紹介しましょう。
- 専門家の知見を活用する
- 従業員の意識向上を図る
- 運用を見据えた準備をする
5-1. 専門家の知見を活用する
1つめのコツは「専門家の知見を活用する」です。
Pマークの取得は、専門的な知識と経験が求められるプロジェクトです。
社内のリソースだけで対応するのではなく、専門家の支援を受けることをおすすめします。
【専門家に相談するメリット】
- 効率的な進め方の助言:Pマーク取得の進め方について、その組織の特性に合った最適なアドバイスが得られます。効率的なプロジェクト運営に役立ちます。
- PMSの構築支援:専門家の知見を借りれば、自社の実態に即したPMSを構築できます。審査で問われるポイントを押さえた、実効性の高いPMSの実現が可能です。
- 申請書類の作成代行:申請書類の作成は、専門的な知識と多大な工数を要する作業です。専門家に作成を代行してもらえば、負担を大幅に軽減できます。
Pマーク取得のノウハウを持った専門家のサポートを得ることは、取得プロセスをスムーズに進める近道のひとつといえるでしょう。
ご不明な点があれば、まずはお気軽に無料オンライン相談をご利用ください。
5-2. 従業員の意識向上を図る
2つめのコツは「従業員の意識向上を図る」です。
Pマークは、単に認定を取得すればよいというものではありません。
従業員一人ひとりが、その意義を理解し、PMSを着実に運用することが重要です。
【従業員の意識向上につながる取り組み】
- トップのコミットメント:経営トップ自らが個人情報保護の重要性を発信し、組織を挙げた取り組みであることを明確にします。従業員の意識を高めるうえで、トップの姿勢は欠かせません。
- 継続的な教育・啓発:Pマーク取得後も、従業員教育を継続し、意識の維持・向上を図ります。e-ラーニングや標語の募集など、楽しみながら学べる工夫も効果的です。
- 現場の声の傾聴:個人情報を取り扱う現場の従業員の声に耳を傾け、PMSの継続的な改善に役立てることが重要です。ささいな声も見逃さず、より使いやすいPMSを目指します。
従業員の意識が高まれば、PMSが企業文化に根付き、Pマークの認定維持もスムーズになります。地道な取り組みを続けることが大切です。
5-3. 運用を見据えた準備をする
3つめのコツは「運用を見据えた準備をする」です。
Pマークの取得プロジェクトでは、運用段階を見据えた検討・準備が重要なポイントとなります。
認定に必要な準備に傾注するあまり、認定後の継続的な運用がおろそかにならないよう、注意が必要です。
【運用を見据えた取り組みのポイント】
- ペーパーワークの最小化:PMSの手順書や記録書式などは、必要最小限のものにシンプル化します。形式的な書類作成の負荷をできる限り減らし、現場の実効性を高めることがポイントです。
- ITツールの活用:PMSの運用をITツールで最適化しましょう。必要な手順のデジタル化によって、作業の標準化と効率化を実現します。人的負荷を最小化し、PMSの実効性を高めます。
- PDCAの実践:定期的に内部監査や改善会議を行い、PMSの有効性や改善点について真摯に議論します。継続的な改善のサイクルを回し続け、より質の高いPMSを目指しましょう。
運用段階を見据え、現場に実効性のあるPMSを構築することが、Pマークの認定維持にも直結しています。
単なる認定取得を目的とするのではなく、着実に運用できる仕組みを実現していきましょう。
6. まとめ
本記事では「Pマーク取得」をテーマに解説しました。要点をまとめておきましょう。
最初に、 Pマーク取得の全体像として以下を解説しました。
- 事前準備(3カ月~6カ月):現状分析、体制構築、PMS構築、教育・訓練など
- 申請・審査(6カ月~1年):申請書類作成、書類審査、現地審査、是正対応など
- 認定・マーク使用(審査合格後~):付与適格決定、Pマーク使用開始、対外的な公表、社内周知徹底
事前準備のフェーズで必要な取り組みは、以下のとおりです。
- 現状分析:自社の個人情報保護対策の現状を把握、課題の洗い出し
- 体制構築:トップマネジメントのリーダーシップや個人情報保護監査責任者、個人情報保護管理者の指名
- PMS構築・運用:個人情報保護方針策定、個人情報特定と管理台帳作成、規程・様式の整備など
- 教育・訓練:従業者への基本教育、PMS運用担当者の力量の確保・維持
申請・審査のフェーズで必要な取り組みは、以下のとおりです。
- 申請書類作成:申請書、登記事項証明書、PMS文書一式、運用記録などを準備
- 書類審査:審査機関によるPMS文書の整合性や運用記録の十分性などのチェック
- 現地審査:審査員による現場での運用状況の確認、関係者へのインタビューなど
- 是正対応:不適合指摘への是正処置の計画、実行、報告
認定・マーク使用のフェーズで必要な取り組みは、以下のとおりです。
- 付与適格決定:審査合格後、Pマーク付与適格決定通知受領、有効期間は2年
- マーク使用:使用規程の策定、対外的な公表、社内周知徹底
スムーズなPマーク取得を実現するための3つのコツとして、以下を解説しました。
- 専門家の知見を活用する
- 従業員の意識向上を図る
- 運用を見据えた準備をする
本記事で紹介したポイントを押さえ、Pマークの取得を通じて、個人情報保護のレベルアップを図っていただければ幸いです。
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ