2022年12月28日
Pマークの取得方法は、計画作成、文書記録作成、申請、審査、認証完了の5ステップを進めることです。
取得にあたって「審査」を通過しなければなりませんが、Pマークの取得方法にある「審査」を細分化すると「形式審査」「文書審査」「現地審査」と3回もあるので、事前に準備が必要です。
Pマーク(プライバシーマーク)の概要と付与の対象
⑴概要
Pマーク制度とは会社が個人情報をしっかり守ってることを社外にアピールできる制度で、取得企業数は約17000社です。
Pマークは個人情報を適切に管理していると評価された事業者のみが使用できるマークです。
⑵付与の対象
付与される対象は大まかにいうと日本国内の企業で従業員が2名以上の事業者です。
JIPDECにて公表されている規約の欠格事由に該当する場合は、付与の対象から外れるので事前に確認が必要です。
欠格事由を確認される方は、下記のJIPDECのページをご覧ください。
プライバシーマーク付与に関する規約:https://privacymark.jp/system/guideline/procedure.html#05
ステップ1.取得のための計画作成
①社内責任者の選定
社内責任者とは、Pマーク取得プロジェクト全体のとりまとめ役です。
管理部門やシステム部門の方が社内責任者に任命されるケースが多いです。社長自らが社内責任者となる企業もあります。
Pマーク取得に向けた準備を進めるとなると、新たなルールができ、社員が実施しなければならないことが出てきます。
その連絡役・進行役を任される前提で社内責任者を決めると良いでしょう。
②取得期日
次に、「〇月〇日までに取得完了していたい」という取得期日を決めましょう。
ゴールの日付を設定していないと、優先順位が落ち、取得プロジェクトがダラダラと長引いてしまいます。
一般的には取得に向けて動き出してから《半年》、長くとも《1年》で取得している企業が多いです。
「なるべく早くとりたい」「今年か来年にとれたらいい」と目標期日がぼんやりしている場合でも、「〇月〇日までに認証取得完了を目指す」とはっきり日付を決めてしまうのが良いでしょう。
また、新型コロナウイルスの影響で、審査機関が混みあったり審査日程が取りにくいケースも発生しています。
不安な方は審査機関に「審査日程が遅くなるということはありますか?」と問い合わせるといいでしょう。
③審査機関の選定
次にプライバシーマーク(Pマーク)の審査機関についてですが、現在、全国で20の審査機関が存在しています。
審査機関によって多少、審査のやり方や傾向に違いがあります。
どの審査機関を選んでも発行されるプライバシーマークは同じデザインで、効力も変わりません。
また、審査費用も一律です。
ただし、審査機関によっては追加で「入会金」や「年会費」がかかる審査機関もあるので注意が必要です。
地域や業界によって審査機関が限定されるケースもあります。
また、審査場所と、審査機関の拠点が離れている場合、審査員2名の往復交通費(+ホテルの前泊費用)が発生します。
こだわりがない場合は、近い審査機関を選ぶのがいいでしょう。
ここまで読んでも「正直よく分からない…ウチの場合はどの審査機関にしたらいいの?」という方も多いと思います。
業界・地域・審査傾向などを考えて総合的に判断するのがいいので、知識を持っているコンサルへ相談することをおススメいたします。
別途、審査機関について知りたい方は下記のコラムもご参考下さい。
プライバシーマーク(Pマーク):審査機関に違いってあるの?
④コンサル会社のサポートを利用するか
コンサル会社のサポートを利用すると、ノウハウ不足・知識不足・リソース不足を補うことができるので、社内責任者や携わる従業員の負担は確実に減ります。
もちろんコンサルティング費用はかかりますが、メリットがたくさんあります。
ただし、コンサル会社によってもサポート体制は異なります。
実際にコンサル会社を選定する際に、サービス内容も確認した上で決定するのが良いでしょう。
コンサル会社選びのポイントについては、こちらの記事に詳しく書いています。
プライバシーマーク(Pマーク)サポート会社の選び方5つのポイント
ステップ2.Pマーク取得に必要な文書・記録を用意する
Pマーク取得に必要な文書・記録を解説いたします。
① 文書類
個人情報保護規程や安全管理規定といったPマークの要求事項に基づいたルールを決め、文書を作成する必要があります。
② 記録類
自社で定めたルールにのっとり、Pマークの運用を行った記録を残す必要があります。
Pマークの審査は2年に1回更新審査があるため更新審査時は2年分の記録が必要になります。
記録類は以下の7つに分けられます。
・個人情報の一覧
自社で取り扱っている個人情報を洗い出し、一覧にまとめたものです。
・法令
自社の業務に関係のある法令、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定したものです。
・リスク分析・リスクアセスメント
「個人情報の一覧」にある情報を取り扱う上でのリスクを洗い出し、どういった対策を取るのかを決めた記録です。
・委託先評価
個人情報を委託している事業者を特定し、評価したものです。
・認識
従業者全員に個人情報保護についての教育を行います。
実施する教育についての計画書と、実施した記録を作成したものです。
・監査
自社の個人情報マネジメントシステムに不適合はないか、運用において問題がないかをチェックしたものです。
また、監査によって不適合が出た場合は「是正処置に関する記録」が必要になります。
・マネジメントレビュー
代表者が全運用状況の報告を受け、指示を行ったものです。
申請の際は以上7種類の記録が必要になります。
③ 帳票類
Pマークの運用をするために必要な帳票の準備もしなければなりません。
こちらの帳票もプライバシーマークの要求事項を反映し、作る必要があります。
個人情報の取り扱い同意書や、個人情報の取扱申請書、上記②で挙げた記録の様式などがこの帳票に該当します。
ステップ3.申請
続いては申請です。 申請とは、プライバシーマーク(Pマーク)の認定を受けるための審査の申込みのことです。
プライバシーマーク(Pマーク)の審査で必要な書類は、 「申請書」と「文書・記録」に分けられ、さらに「文書・記録」は① 文書類、② 記録類、③ 帳票類の3つの分類に分けられます。
「申請書」には提出しなければならない書類の種類が約20種類ほどあります。
この内容は新規で申請する場合と更新で申請する場合、提出書類が申請する審査機関によって一部異なったりするので、それぞれの審査機関のウェブサイトで確認してください。
JIPDECにて新規で申請する際の書類はこちらになります。
必ずご提出いただく書類
| No. | 申請書類 |
|---|---|
| 1 | 【申請様式1新規】プライバシーマーク付与適格性審査申請書①~③(代表者印の捺印必須) |
| 2 | 【申請様式2新規】個人情報保護体制 |
| 3 | 【申請様式3新規】事業者概要 |
| 4 | 【申請様式4新規】個人情報を取扱う業務の概要 |
| 5 | 【申請様式5新規】すべての事業所の所在地及び業務内容 |
| 6 | 【申請様式6新規】個人情報保護マネジメントシステム文書の一覧 |
| 7 | 【申請様式7新規】教育実施サマリー(全ての従業者に実施した教育実施状況) |
| 8 | 【申請様式8新規】内部監査・マネジメントレビュー実施サマリー |
| 9 | 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等 申請事業者(法人)の実在を証す公的文書の原本(申請の日前3か月以内の発行文書。写し不可。) |
| 10 | 定款の写し |
| 11 | 最新の個人情報保護マネジメントシステム文書一式の写し (【申請様式6新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。) |
| 12 | 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し |
| 13 | 上記12に対応する、いわゆる「リスク分析結果」の写し |
任意でご提出いただく書類
| No. | 申請書類 |
|---|---|
| 14 | 教育を実施したことが確認可能な記録一式 (「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形) |
| 15 | 内部監査を実施したことが確認可能な記録一式 (「内部監査計画書」、「内部監査実施報告書」、「内部監査チェックリスト」等の写し) |
| 16 | マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式 (「マネジメントレビュー議事録」の写し) |
| 17 | 会社パンフレット等 |
プライバシーマーク(Pマーク)の申請書の作り方をまとめておりますので、こちらをご覧ください。
プライバシーマーク(Pマーク)の申請書の作り方
ステップ4.審査〜認証完了まで
(1) 形式審査〜文書審査
いよいよプライバシーマーク(Pマーク)の審査を受けます。
審査は細かくわけると 「形式審査」「文書審査」「現地審査」と3つあります。
形式審査では、申請された書類に不備がないかどうか確認されます。
ここで足りない書類や不備等がある場合、修正や追加での書類提出を求められます。
問題なく申請の受付ができた場合、次の文書審査へ移行します。
文書審査では、
申請時に提出された書類がプライバシーマークの要求事項に沿って作成された規程かどうか、要求事項を満たしている文書かどうかを確認されます。
文書審査の結果は現地審査の2~3週間ほど前には届きますので、「×」の項目がある場合は、現地審査までに修正する必要があります。
(2) 現地審査
文書審査の対応が終わったら、現地審査が行われます。
現地審査では、審査員が会社に来訪し、実際に個人情報の管理ルールがあるか、ルール通りに運用されているかを確認されます。
現地審査のタイムスケジュールや審査項目別の対策ポイントはこちらの記事をご覧ください。
プライバシーマーク(Pマーク)審査の対策ポイント
また プライバシーマーク(Pマーク)の現地審査は、よほどのことがない限り落ちません。
逆に「取得すること」よりも「維持し続ける」ことが大変とも言われています。
よほどのことと書きましたが、「審査に落ちる基準」も決まっています。
興味のある方はこちらの記事もご覧ください。
プライバシーマーク(Pマーク)の審査基準とは?落ちることはあるの?審査機関と付与機関の違いについても解説
(3) 認証書発行、認証完了、取得
やっとここまできました。 ついにプライバシーマーク(Pマーク)の取得です。
認証書という証明書が発行され、認証完了になります。
ここで1つ注意点があります。
審査に受かっても、「付与登録料」を支払わないと認証書が送られてきません!
必ず支払いましょう。
まとめ
Pマークの取得方法は、計画作成、文書記録作成、申請、審査、認証完了の5ステップを進めることです。
Pマークの取得方法にある「審査」を細分化すると「形式審査」「文書審査」「現地審査」と3回もあるので、事前に準備が必要です。
お悩みがあれば、まずは無料でご相談も可能ですのでお気軽にお問い合わせください。
計画作成や必要な文書・記録の用意を含めて、Pマーク認証取得のサポートも実施させていただきます。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ