Pマーク取得にかかる期間は？最短で取得するコツ、取得までの流れも紹介

１．Pマーク（プライバシーマーク）とは

Pマークは、個人情報保護マネジメントシステム（PMS）の適切な運用を証明するための認証です。
企業や団体が個人情報を適切に管理し、保護していることを第三者機関が認証するもので、正式名称は「プライバシーマーク」と呼ばれます。

Pマークを取得することで、企業は個人情報の適切な取り扱いと管理体制が整っていることを外部に示すことができ、顧客やビジネスパートナーからの信頼獲得につながります。

２．Pマークの取得にかかる期間は？

Pマークを新たに認証取得するためには、プロであるコンサルティング会社のサポートを受けた場合でも6～9ヶ月、自社で担当者を設定して取得を進める場合は1年以上かかるケースが多いでしょう。

Pマークを取得する流れは、大きく6つの過程に分けられます。

1. 取得のための計画作成　　　　　　　　　　　【必要な期間：1ヶ月～3ヶ月】
2. Pマーク取得に必要な文書・記録を用意する 　【必要な期間：1ヶ月半～3ヶ月】
3. 申請手続き　　　　　　　　　　　　　　　　【必要な期間：1ヶ月】
4. 審査　　　　　　　　　　　　　　　　　　　【必要な期間：文書審査を入れて1ヶ月】
5. 指摘事項の改善　　　　　　　　　　　　　　【必要な期間：1ヶ月～3ヶ月】
6. 認証書発行、認証完了、取得　　　　　　　　【必要な期間：1ヶ月～2ヶ月】

 

このように、Pマークの取得にはコンサルティング会社によるサポートを利用したとしても最短で6ヶ月が必要です。

これは一般的な目安であり、時期や審査機関、社内の状況によって取得にかかる期間は前後します。
また、自社で新規に取得する場合は、1年以上かかることもよくあります。

認証取得を目指す場合は、「〇年〇月までに取得したい」というゴール期日を明確にし、逆算して取得プロジェクトをはじめる必要があります。

プライバシーマークを取得するまでに必要な期間についての詳細は、こちらでご確認ください。
関連記事：プライバシーマークを取得するまでに必要な期間はどのくらい？ | 株式会社ヒュープロ

ちなみに、プライバシーマークは一度取得すれば永久に有効というわけではなく、「２年間」の有効期限が設定されています。
有効期限が切れると、何も手続きを行わなければPマークは失効してしまいます。そのため、認証を維持するには2年ごとに更新審査を受ける必要があります。

3．Pマークを最短で取得するコツ４点

「急ぎで／最短でPマーク取得したい」という方は、以下の４つのポイントに気を付けて進めるとかかる期間を短くできる場合があります。

1. 申請書を早く提出する
2. 審査を早めに受ける
3. 審査機関選びに注意する
4. 支払い期日を守る

⑴申請書を早く提出する

コンサルティング会社のPマーク取得サポートを利用する場合、通常のプロセスは以下のようになります。

• • 申請手続き：約1ヶ月～2ヶ月
  • 審査（書類審査を含む）：約1ヶ月
  • 審査で指摘された事項の改善：約1ヶ月～3ヶ月
  • 認証書の発行と認証完了、Pマーク取得：1ヶ月～2ヶ月

申請書の提出には約2ヶ月必要です。申請書を早く提出するためには、PDCAサイクルを迅速に回す必要があります。

申請書には内部監査、教育、マネジメントレビューの記載が必須ですので、これら3点の計画を早期に立て、遅延なく実施することが重要です。

ただし、内部監査や教育の迅速な実施は、拠点数や従業員数などの規模に大きく依存します。拠点数が少なければ内部監査は容易であり、従業員数が少ないほど教育の実施も容易です。

⑵審査を早めに受ける

プライバシーマークの審査では、審査機関が審査日を決定するため、その日程をコントロールするのは難しいですが、いくつかの工夫をすることが可能です。

プライバシーマークの場合、申請書を提出した後に審査日が決定されます。

申請書を提出する際には、審査日程に関するアンケートで「最短の日程を希望する」と明記しましょう。

また、申請書が審査機関に到着するタイミングで電話連絡を取り、「早期に審査を希望している」と伝えてみるのもいいかもしれません。

通常は1ヶ月半～2ヵ月程度で審査日程が決まりますが、審査が立て込んでいる場合も多く、審査日程を予測しにくいです。

⑶審査機関選びに注意する

審査機関の選び方には、取得時期を早めるためのコツがあります。

プライバシーマークの審査はJIPDECで行われると考えられがちですが、実際にはPマークの審査を行う機関は20機関あります（※2024年5月現在）。

審査機関によっては、他の機関よりも早く審査日を設定できる場合があります。これは、案件の数と審査員の数のバランスによるものが大きいとされています。

ただし、審査機関によっては入会金や年会費が発生することもあるため、注意が必要です。

プライバシーマークの審査機関についての詳細は、こちらをご確認ください。

⑷支払い期日を守る

基本的なことですが、審査機関が指定する支払い期限を守ることが重要です。

プライバシーマークの費用は3回に分けて支払うことになります。

特に、付与確定後に支払う「付与登録料」は期限内に支払うよう注意しましょう。付与登録料を支払わない場合、登録証やプライバシーマークのデータは送付されません。

４．Pマーク取得のメリット・デメリット

時間と工数のかかるプライバシーマーク認証ですが、改めて認証を取得するメリットとデメリットを見てみましょう。

⑴メリット

①顧客からの要求や入札の条件を満たすことができる

取引先や顧客からの要求に応じて、プライバシーマークを取得していないと、競合他社との比較で不利になることがあります。

また、取引が成立した後も、個人情報の管理に関する厳格なチェックリストの提出や定期的な監査への対応が求められることがあります。

プライバシーマークを取得していると、これらのチェックリストの提出が免除されたり、監査が緩和されるなど、取引がスムーズに進むことが期待できます。

②対外的なアピールになる

プライバシーマークを取得することで、企業が個人情報を適切に管理しているという信頼を築けます。

また、名刺にPマークを表示することが可能で、営業活動においても有効なアピール材料になります。

過去に発生した大規模な個人情報漏洩事件を受けて、多くの企業が個人情報の適切な管理を重視するようになりました。

このような状況の中で、プライバシーマークの取得は企業の信頼性を高める重要な要素となります。

⑵デメリット

①リソースがかかる

Pマークの取得を自社で行う場合、準備と手続きに時間がかかることが一般的です。

個人情報の管理体制やセキュリティ対策を整える必要があるからです。

まず内部で個人情報保護方針を策定し、関連する規程を整備し、従業員に対する研修を実施するなど、多くのステップを踏む必要があり、担当者の時間および人件費がかかってくるでしょう。

日常業務に加えてPマーク取得のための作業も必要となるため、就業時間内に作業が終わらないこともあり、残業をして対応する必要が生じることもあります。

そのため、費用削減を目的として自社での取得を選択した場合でも、結果的に人件費が増加してしまうことがあります。

②費用がかかる

新規認証の際には初期費用が必要であり、その後2年ごとの更新時には企業の規模に応じた現地審査料が発生します。

これは継続的なコストとしてのデメリットと言えるでしょう。

さらに、社内に専門知識を持つ人材が不足している場合や、社内の負担を軽減したい場合には、コンサルティング会社の支援を受けることが一般的ですが、これにはコンサルティング料が必要になります。

５．PマークとISMS（ISO27001）の違い

PマークとISMS（ISO27001）は、どちらも情報管理に関連する認証ですが、その焦点と目的に違いがあります。

Pマークは、主に個人情報の保護に特化した認証で、企業が個人情報の適切な管理と保護を行っていることを示します。
この認証を取得することで、企業は個人情報の取扱いに関する信頼性を顧客に対してアピールできます。

一方、ISMSは、企業が情報セキュリティ管理の体系を整え、情報資産を保護するための総合的なフレームワークを提供します。
これには個人情報だけでなく、企業の機密情報や業務情報など、あらゆる種類の情報が含まれます。

ISMSの認証を取得することで、企業は情報セキュリティ管理の国際的な基準に準拠していることを証明できます。

要するに、Pマークは個人情報の保護に特化しているのに対し、ISMSは情報セキュリティ全般にわたる管理と保護を目的としています。

PマークとISMSの違いについての詳細は、こちらをご確認ください。

６．Pマーク取得にかかる費用

⑴審査にかかる費用

プライバシーマークの審査を行う際、申請料、審査料、付与登録料などの費用が発生します。

これらは審査機関及び付与機関への支払いであり、Pマークを取得または更新する際には必要となります。

審査機関による費用の違いはありませんが、新規取得の場合と2回目以降の維持・更新の場合では金額が異なります。

さらに、企業の規模に応じても費用は変わりますが、小規模企業でも審査には約30万円が必要です。

⑵コンサルに依頼した場合の費用

Pマークを取得する際にコンサルティング会社のサポートを受ける場合、コンサルティング料が発生しますが、これにより自社だけで取り組む場合に比べて作業の負担が大幅に軽減され、認証取得までの時間も短縮されるというメリットがあります。

コンサルタントは運用前の段階からの依頼が可能で、企業の状況に応じたサポートを提供します。

費用はおおよそ30万円から100万円程度が相場ですが、料金が高いからといって必ずしもサービスの質が良いわけではありません。

コンサルティング会社のサポートを検討する場合は、営業担当者にサービスの詳細や必要な自社作業について確認するようにしましょう。

⑶その他にかかる費用

Pマークの取得には、社内規則の変更、備品の購入、教育など、審査費用以外にも多くの費用が必要です。また、Pマークの取得を機にシステムを更新するなどの追加費用が発生することもあります。

会社の具体的な状況に応じて必要な費用は異なるため、一概には言えませんが人件費や備品代などを事前に見積もる必要があります。

Pマークの取得費用についての詳細は、こちらをご確認ください。

７．Pマークを取得できない事業者

資格を剥奪する理由となる行為や条件を「欠格事由」と呼びます。

プライバシーマークの付与が不適格とされる例としては、外国法人や付与機関が指定する特定の業種や業態、サービスがあります。

通常、外国法人にはPマークの付与は許可されていません。これは、Pマークが日本の法律に基づく日本固有の規格であるためです。ただし、外国法人が日本国内に営業所を登録している場合は、例外的にPマークの付与が認められることがあります。

付与機関が指定する業種や業態、サービスには、例えばインターネット異性紹介事業が含まれます。

また、プライバシーマーク制度の信頼性を損なう恐れのある事業活動を行う事業者は、Pマークを取得する資格がありません。

８．プライバシーマーク認証取得の流れ

⑴個人情報保護マネジメントシステムの確立

Pマークを取得するためには、個人情報保護マネジメントシステム（PMS）を構築する必要があります。

これには、社内規則の遵守と個人情報の機密性、完全性、可用性を維持し、継続的に改善するための体制を整えることが求められます。

PMSのフレームワークは、「計画（Plan）」「実施（Do）」「点検・評価（Check）」「改善（Act）」のPDCAサイクルに基づいています。

このプロセスにおいては、個人情報保護方針を策定し、代表者を含む社内体制を整え、PDCAサイクルを適用します。

これには、個人情報の特定と棚卸し、リスク評価とその対策の策定が含まれます。また、点検、評価、改善活動を社内の規定や手順に基づいて実施することが必要です。

⑵社内プロセスのPDCAサイクルを回す

Pマークの認証申請を行う前には、PMSに基づくルールの遵守、教育、内部監査を含む、通常1年間を想定したPDCAサイクルを一度完全に実施する必要があります。

自社に適したマネジメントシステムが構築されているかを確認し、不備があれば修正します。

さらに、PMSに従って行った業務の記録、評価結果、改善策の立案と実施の記録は、審査時に重要な資料として使用されるため、これらをしっかりと記録しておくことが重要です。

⑶Pマーク審査の申請

プライバシーマークの適格性審査の申請を行います。申請書類を作成し、PMSを1年間運用した業務記録や研修記録などを準備しておきます。

この申請には、構築したマネジメントシステムがJIS Q 15001:2017に準拠しているかどうかの確認、および文書化されたルールや運用の実績の確認が同時に行われます。

⑷現地審査

プライバシーマークの認証申請に際しては、書類の準備だけでなく、社内でPMSが適切に運用されているかどうかの検証も必要です。

このため、審査員が直接職場を訪れて、ルールの遵守状況や記録の取り方を確認します。

現地審査で、JIS Q 15001:2017の基準に準拠していない場合や法令違反がある場合は、不適合と判断されます。

また、稀に審査員個人の推奨するセキュリティルールを満たしていない場合にも不適合となることがあります。

審査終了時には審査結果が報告されるため、不適合が指摘された場合はその理由を詳しく聞き、次回の審査に向けて改善策を準備することが重要です。

⑸指摘事項対応

現地審査が終了すると、1週間～2週間後に審査員から「指摘文書」が送付されます。

この「指摘文書」に対しては、3ヶ月以内に「指摘改善文書」を作成し、審査員に提出する必要があります。

一度の改善で問題が解決することは少なく、不適合が解消されていないと判断された場合には、2回目、3回目と改善文書を再作成し、提出する必要が生じます。

2回目以降の提出期限は1ヶ月以内です。迅速な対応が求められるため、遅れることなく対応することが重要です。

Pマークの取得方法と流れについての詳細は、こちらをご確認ください。

９．Pマークを取得する際にコンサルティング会社のサポートを受けるメリット

⑴ 取得までのスケジュールで迷わない

経験と知識が豊富なコンサルティング会社のサポートを受けることで、必要なToDoが明確になり、効率的なスケジュールを組み立てることができます。

また、規格の内容を分かりやすく説明してもらえるため、プロセス全体を理解しやすく、計画的に進めることが可能になります。

⑵ 専門的なアドバイスが得られる

コンサルタントからは、セキュリティに関する専門的なアドバイスが提供されます。

これにより、最新のセキュリティ基準に適合した対策を講じることができるほか、豊富な他社事例を参考にすることも可能です。

これらの情報は、適切なセキュリティ対策を構築する上で非常に有効です。

⑶ 担当者の負担が軽減できる

文書や記録の作成において、どのように記載し、どのようなルールを設けるべきかについてのアドバイスを受けることができます。

これにより、文書作成にかかる時間や労力が削減され、担当者の負担が軽減されます。

さらに、文書審査や現地審査後の指摘事項に対する対応方針の決定や改善対応のフォローもサポートしてもらえるため、スムーズに認証取得に向けて進めることができます。

10.まとめ

Pマークの新規認証を取得するには、コンサルティング会社のサポートを受けても最短で6ヶ月が必要です。また、プライバシーマークの取得スケジュールは審査機関によって前後することが多く、計画が立てにくいのが現状です。

プライバシーマークと一緒に検討されがちなISO27001（ISMS）は、プライバシーマークに比べて取得までの期間が短いため、プライバシーマークではなくISO27001の取得を検討するのも一つの選択肢です。

「うちにはPマークとISO27001のどちらが適しているのか？」
「どの審査機関を選ぶのが最適か？」
「早く申請したいが、何から始めればいいかわからない！」

このようなお悩みをお持ちの方は、ぜひ一度ご相談ください。