2026年4月3日
の-審査で最低限準備すべきもの-1200x600.png)
プライバシーマーク(Pマーク)の審査では、たくさんの種類の書類を準備しなければなりません。
プライバシーマーク(Pマーク)取得審査の事前準備は、余裕を持って始めましょう。
本記事では、プライバシーマーク(Pマーク)審査への準備の大切さについてお話していきます。
目次
もっと見る
「プライバシーマークの審査に向けて、何をどこまで準備すればいいのかわからない」
このような悩みをお持ちではないでしょうか。
個人情報保護に対する社会的な要求が高まるなか、プライバシーマーク(Pマーク)の取得・更新を検討する企業は年々増えています。
一方で、Pマーク審査は「書類をそろえれば終わり」というものではなく、実際に運用されている個人情報保護マネジメントシステム(PMS)が求められるため、準備不足のまま受審して指摘を受けるケースも少なくありません。
特に、どの書類が必須なのか、どこまで運用記録を残す必要があるのか、内部監査や教育はどの程度実施すべきなのかといった点で、全体像をつかめずに手が止まってしまうことがあります。
この記事では、プライバシーマーク審査までに最低限準備すべき事項を、
チェックリスト、書類、運用、教育、管理、環境、体制といった観点から体系的に解説します。
審査で実際によく確認されるポイントや、準備不足として指摘されやすい点についても整理しています。
最後までお読みいただくことで、Pマーク審査に向けた準備の全体像が明確になり、
自社で何から着手すべきかを具体的に判断できるようになるはずです。
1.プライバシーマーク審査までに最低限準備すべきもの
プライバシーマーク(Pマーク)審査では、個人情報保護マネジメントシステム(PMS)が文書化され、かつ実際に運用されていることが必須とされます。
審査基準である JIS Q 15001 では、単に書類が揃っているだけでは不十分であり、記録として残る「運用の証跡」が求められます。
特に重要となるのは、PMSのPDCAサイクルが1周回っている証跡が揃っていることです。
計画(P)、運用(D)、点検(C)、見直し(A)のいずれかが欠けると不適合となり、特に 内部監査 と マネジメントレビュー が未実施の場合は受審そのものができません。
【審査前に準備すべき主な項目】
以下は、Pマーク審査に必ず求められる準備事項を整理したものです。
| 区分 | 必要な準備内容 | 具体例・ポイント |
|---|---|---|
| 文書化(P) | 個人情報保護に関する規程・手順書の整備 | 個人情報保護方針、PMS基本規程、取扱手順、委託先管理手順など |
| リスク分析(P) | 保有する個人情報の特定とリスク分析 | リスク分析表、台帳、評価記録など |
| 運用(D) | 教育実施 / 運用記録の整備 | 教育記録、同意取得、アクセス権管理、委託管理記録など |
| 内部監査(C) | 内部監査の実施と記録 | 監査計画、チェックリスト、報告書、是正処置記録など |
| マネジメントレビュー(A) | 経営層による見直しの実施と記録 | 議事録、決定事項、改善方針の記録など |
| エビデンス | 運用を示す証跡の準備 | 各種記録の保存・提示準備 |
| 審査対応 | 現地またはリモート審査の環境整備 | 審査資料の提示方法、担当者の配置など |
2.Pマーク審査前に準備すべきチェックリスト
Pマーク審査では、書類の整備と実際の運用記録(エビデンス)の両方が求められます。審査当日に机上に並べておくべき主要項目を、以下に整理します。審査では、これらの文書と記録をもとにヒアリングが行われるため、内容を説明できる担当者の配置が必要になります。
【審査前に準備すべき項目一覧】
| カテゴリ | 準備すべき項目(エビデンス) | チェックポイント |
|---|---|---|
| 規程整備 | 個人情報保護方針、PMSマニュアル、各種下位規程、様式類 | 最新版が全従業員に周知されているか |
| 個人情報の特定・リスク分析 | 個人情報管理台帳(データマップ)、リスク分析結果 | 情報の漏れがないか/リスク対策が具体的か |
| 教育 | 教育計画書、教材、受講者名簿、テスト結果 | 受講率100%が必須 |
| 内部監査 | 監査計画書、監査実施記録、監査報告書、是正処置記録 | 監査員が被監査部門以外から選任されているか |
| マネジメントレビュー | レビュー報告書 | 代表者の指示事項が明確に記録されているか |
| 運用記録 | 入退室管理、委託先評価、同意書、持ち出し管理、苦情対応記録など | 記録の空欄や日付矛盾がないか/実運用と整合しているか |
3.【書類編】審査で必ず確認される必須文書
Pマーク審査(文書審査)では、PMSの中核となる文書が重点的に確認されます。特に、文書の内容が実際の運用と一致していることが厳しくチェックされます。審査では、以下の文書を基にヒアリングも行われるため、内容を説明できる担当者を事前に決めておく必要があります。
【審査で確認される主要文書の一覧】
| 文書区分 | 内容 | 審査で確認されるポイント |
|---|---|---|
| 個人情報保護方針 | 企業の個人情報保護に関する基本姿勢を示す文書。一般的には「取得・利用・提供の方針」「法令遵守」「安全管理措置」「苦情・相談対応」「継続的改善」などを含む。 | ・会社の実態に合った内容か ・Webサイト等で公開されているか ・従業員に周知されているか ・最新版に代表者の署名または捺印があるか |
| 個人情報保護管理規程 | PMSの根幹となる規程。個人情報管理体制、取得〜廃棄の流れ、委託管理、教育、内部監査、事故対応などを定める。 | ・JIS Q 15001の要求事項を満たしているか ・規程内容と実運用が一致しているか |
| 法令・規範の一覧 | 企業が遵守すべき法令やガイドラインを整理した文書。例:個人情報保護法、業界ガイドライン、関連条例など。 | ・法令リストが作成されているか ・最新の改正に対応しているか ・定期的な見直しが行われているか |
| 個人情報管理台帳(データマップ) | 自社が保有する個人情報を一覧化した台帳。一般的に「種類」「取得方法」「利用目的」「管理責任者」「保存場所」「保管期間」「廃棄方法」などを記載。 | ・取得経路、利用目的、保管場所等が実務と乖離していないか ・情報の漏れがないか ・台帳と現場の整合性が取れているか |
4.【運用編】個人情報の洗い出しとリスク分析
Pマーク審査では、個人情報の洗い出し(特定)とリスク分析が最も重視されるポイントの一つです。
書面だけでなく、実際の業務と整合しているか、そしてリスクに対応した安全管理措置が適切に紐づいているかが確認されます。
(1)個人情報の特定
企業が取り扱う個人情報を、部門ヒアリングなどを通じて漏れなく洗い出します。
対象には、一般的な情報だけでなく、見落としがちなデータも含まれます。
【代表例】
- 顧客情報
- 従業員情報(マイナンバー、履歴書など)
- 採用応募者情報(不採用通知など)
- 取引先担当者情報
- 防犯カメラ映像
- Webサイトのクッキー情報
審査では「個人情報管理台帳(データマップ)」に過不足なく記載されているか、実務と乖離していないかが厳しく確認されます。
(2)リスク分析
特定した個人情報に対して、リスク(脅威)を具体的に特定し、評価を行います。
抽象的な「紛失」ではなく、「メール誤送信」「PC盗難」のような具体的な事象を記載する必要があります。
【リスク例と対策例】
| リスク(脅威) | 対策内容 |
|---|---|
| 書類の紛失 | 施錠保管、持ち出しルールの明確化 |
| メール誤送信 | ダブルチェック、送信前確認ルール |
| PCの盗難 | 物理的施錠、持ち出し管理 |
| 不正アクセス | アクセス制御、ログ管理 |
| 不正利用 | 権限管理、監督者によるチェック |
審査では、
- 「漏えい」
- 「滅失」
- 「毀損」
の3側面から分析されているかも確認されます。
(3)安全管理対策
リスク分析の結果に基づいて、以下のような安全管理措置を設定します。
- 物理的対策:入退室管理、施錠、文書保管
- 技術的対策:アクセス権限、パスワード管理、ログ管理
- 組織的対策:ルール整備、持ち出し基準、教育
- 人的対策:教育の徹底、遵守状況の確認
審査では、対策が具体的なリスクと正しく紐づいているかが必ずチェックされます。
5.【教育編】全従業員への個人情報保護教育
Pマークでは、全従業員への個人情報保護教育の実施と、その運用記録の整備が必須要件です。
単に「教育を実施した」という説明だけでは認められず、誰に・いつ・何を・どのように行い、その結果どう対応したかまでが確認されます。
(1)教育内容
教育では、次のような内容を扱うのが一般的です。
- 個人情報保護の基本的な考え方
- 社内の個人情報保護ルール
- 事故・インシデント発生時の対応
- 情報セキュリティに関する注意事項
【審査で確認される教育関連の記録・運用】
| 区分 | 確認される内容 | 審査でのチェックポイント |
|---|---|---|
| 教育実施記録 | 教育実施日、参加者、教育内容、使用教材 | 欠席者への再教育が行われ、記録が残っているか |
| 誓約書 | 個人情報保護・秘密保持に関する誓約書 | 入社時だけでなく、教育時や退職時の誓約書も取得されているか |
| 理解度確認 | テスト結果、評価記録 | 点数が低い従業員への再テストや面談などのフォローが行われているか |
| 未受講者対応 | 再教育・追加教育の記録 | 未受講者を放置していないか |
(2)理解度確認とフォローアップ
教育後にテストを実施し、理解度を確認する企業も多くあります。
審査では次の点が確認されます。
- テスト結果が記録されているか
- 未受講者や理解度が低い従業員への対応が行われているか
- 再テストや面談など、具体的なフォローアップが実施されているか
「80点未満は再試とする」など、運用ルールを定めている場合は、そのルールどおりに運用されているかが確認され、教育の厳格さが問われます。
6.【管理編】内部監査とマネジメントレビュー
Pマークでは、個人情報保護マネジメントシステム(PMS)が継続的に管理・改善されている仕組みが求められます。その中心となるのが「内部監査」と「マネジメントレビュー」です。ここは準備不足になりやすく、審査で重点的に確認されます。
(1)内部監査
内部監査では、PMSが規程どおりに運用されているかを客観的に確認します。形式的なチェックではなく、実際の運用状況を確認することが求められます。
【主な確認内容】
- 規程の遵守状況
- 各種運用記録の内容
- 現場での個人情報の管理状況
【必要な記録】
| 項目 | 内容 |
|---|---|
| 監査計画 | 監査対象部門、監査日、監査項目 |
| チェックリスト | 規程・運用に基づく確認項目 |
| 監査報告書 | 指摘事項、評価結果 |
| 是正処置記録 | 指摘への対応内容と完了状況 |
審査では、「不適合ゼロ」の監査結果よりも、軽微な不備(例:記録の押印漏れなど)を指摘し、それを是正したプロセスがある方が、健全な運用として評価される傾向があります。
内部監査で問題が見つかった場合は、以下のような改善を行います。
- 規程やルールの見直し
- 教育の再実施
- 運用方法の修正
(2)マネジメントレビュー
マネジメントレビューは、経営層(代表者)がPMSの運用状況を確認する会議です。内部監査や日常運用の結果を踏まえ、今後の方針を決定します。
【主な確認・報告内容】
- 内部監査の結果
- 教育の実施状況・結果
- 苦情や事故の発生状況
- 改善提案や課題
審査では、
- 監査結果や教育結果が代表者に報告されているか
- 代表者が「次期はどこを強化するか」などの指示を出しているか
- その指示内容が記録として残っているか
が確認されます。
マネジメントレビューは、単なる報告で終わらせず、代表者の意思決定と指示が明確に記載された記録を残すことが重要です。
7.【運用記録編】審査で確認される運用エビデンス
Pマーク審査では、日常業務の中で実際に運用されている「生きた記録(エビデンス)」が確認されます。
審査員は、あらかじめ決められた資料だけでなく、現場の運用記録をランダムに指定(サンプリング)して確認します。
(1)入退室管理
オフィスや個人情報を取り扱うエリアへの入退室状況を記録します。
【主な記録内容】
- 入退室カードの利用記録
- 来客記録簿
【審査での確認ポイント】
| 項目 | 確認内容 |
|---|---|
| 入退室管理簿 | 最終退室者の氏名が記載されているか |
| 施錠確認 | 施錠確認欄やチェックが運用されているか |
| 記録の整合性 | 記入漏れや不自然な空欄がないか |
(2)持ち出し管理
個人情報を含む機器や媒体の持ち出し・返却を管理します。
【対象例】
- ノートPC
- USBメモリなどの記録媒体
【審査での確認ポイント】
| 項目 | 確認内容 |
|---|---|
| 持ち出し管理簿 | 持ち出し日・返却日が明確か |
| ルール遵守 | 定められた期間内に返却されているか |
| 管理方法 | USB使用管理などのルールが実運用されているか |
(3)委託先管理
委託先が個人情報を取り扱う場合は、委託先管理が必須となります。
【必要な対応】
- 委託先評価の実施
- 委託契約(秘密保持契約)の締結
- 再委託の管理
【審査での確認ポイント】
| 項目 | 確認内容 |
|---|---|
| 委託先評価 | 年1回など、定期的に再評価している |
| 契約内容 | 秘密保持契約(NDA)に再委託の承認などが含まれているか |
| 委託先管理 | 再委託時のルールが定められ、運用されているか |
(4)事故対応記録
個人情報に関する事故やインシデントが発生した場合は、その対応記録を残します。
【記録すべき内容】
- 事実確認の内容
- 原因分析
- 再発防止策
審査では、事故の有無にかかわらず、事故発生時に対応できる体制と記録様式が整備されているか、また実際に発生した場合は対応内容が適切に記録されているかが確認されます。
8.【環境編】現地審査・リモート審査で確認されるポイント
Pマーク審査では、文書や記録だけでなく、実際のオフィス環境や執務状況も確認されます。
現地審査では審査員が執務室に立ち入って直接確認し、リモート審査でもカメラ越しに環境を確認されることがあります。
(1)入退室管理・施錠状況
- 執務室の施錠が適切に行われているか
- サーバー室など、重要エリアの管理がされているか
入退室管理のルールが定められているだけでなく、実際に運用されているかが確認されます。
(2)クリアデスク・クリアスクリーン
クリアデスク・クリアスクリーンは、審査員が最初に確認するポイントの一つです。
| 項目 | 確認内容 |
|---|---|
| クリアデスク | 机の上に顧客名簿、個人情報書類、USBメモリなどが放置されていないか |
| クリアスクリーン | 離席中のPC画面がロックされているか |
「ルールがあるか」ではなく、日常的に守られているかが重視されます。
(3)廃棄管理
個人情報を含む書類や媒体の廃棄方法も確認対象です。
【主な廃棄方法】
- シュレッダー処理
- 溶解処理
【審査での確認ポイント】
| 項目 | 確認内容 |
|---|---|
| ゴミ箱 | 個人情報が記載されたメモや封筒が捨てられていないか |
| シュレッダー | 裁断サイズが適切か |
| 廃棄ルール | 定めた廃棄方法が実際に守られているか |
(4)ホワイトボード・共用スペース
会議室や共用スペースも確認されます。
- ホワイトボードに、前回の会議内容(氏名・顧客情報など)が残っていないか
- 共用エリアに個人情報が表示・放置されていないか
審査員は、執務室に入った瞬間から環境上の「隙」がないかを確認します。日常業務の延長線上で問題がない状態を維持できているかが評価されます。
9.【体制編】審査当日の担当者と役割
Pマーク審査当日は、PMSの運用状況を正確に説明できる体制を整えておく必要があります。
審査では、複数の担当者がそれぞれの立場で質問を受けるのが一般的です。
(1)審査当日に対応する主な担当者と役割
| 担当者 | 主な役割 | 審査で確認・質問される内容 |
|---|---|---|
| 代表者 | 経営責任者 | 冒頭インタビューで「なぜPマークを取得・維持しているのか」といった経営的視点、個人情報保護への姿勢 |
| 個人情報保護管理者(PM) | PMS全体の統括責任者 | 管理体制、規程の整合性、PMS全体の運用状況 |
| 実務担当者 | 日常の個人情報管理・運用担当 | 文書管理、運用記録の内容と保管場所の説明 |
| 委託先管理担当者 | 委託先対応の責任者 | 委託契約の内容、委託先評価、再委託管理の状況(該当する場合) |
(2)実務担当者に求められる対応力
審査では、
「この記録はどこにありますか?」
といった質問が頻繁に出ます。
実務担当者は、
- 文書や記録の保管場所を把握していること
- 指定された記録を速やかに提示できること
が求められ、短時間で提示できる準備が重要となります。
(3)個人情報保護管理者の役割
個人情報保護管理者は、PMS全体の責任者として、
- 規程と運用の整合性
- 体制の妥当性
- 各担当者の役割分担
について説明します。部分的な質問に対しても、PMS全体の視点で回答できることが求められます。
10.よくある準備不足(審査で指摘されるポイント)
Pマーク審査では、書類やルールが存在していても、実態と合っていない運用や記録不足が原因で指摘を受けるケースが多く見られます。特に、教育・リスク分析・運用記録の3点は、準備不足になりやすい代表例です。
【審査でよく指摘される準備不足の内容】
| 指摘項目 | よくある状態 | 具体的な指摘例 |
|---|---|---|
| 教育が形式的 | 教育は実施しているが内容や対象が不十分 | ・アルバイト、派遣社員、役員が教育対象から漏れている ・教育内容が簡易的で、個人情報保護の理解につながっていない ・教育記録が残っていない |
| リスク分析が形だけ | テンプレートを流用しており、実態に合っていない | ・自社業務に即したリスクになっていない ・前回審査から内容が更新されていない ・Slack、Zoomなど新たに導入したツールのリスクが評価されていない |
| 運用記録が残っていない | ルールはあるが、記録が欠落している | ・繁忙期に入退室記録が1週間分抜けている ・バックアップ記録が未記載の期間がある ・記録が古いまま更新されていない |
11.まとめ
本記事では「プライバシーマークの審査に向けた準備」をテーマに、審査前に押さえるべきポイントを体系的に解説しました。要点を整理しておきましょう。
プライバシーマーク審査までに最低限必要な準備として、以下を解説しました。
- プライバシーマーク審査では、書類の有無ではなく、PMSが実際に運用されているかが確認される
- PDCAサイクルを1周回した証跡(計画・運用・点検・見直し)がそろっていなければ受審はできない
審査前に準備すべき全体像として、以下の項目を整理しました。
- 規程整備、個人情報の特定、リスク分析、教育、内部監査、運用記録といった準備項目を一覧で確認することが重要
- 各項目は単独ではなく、相互に連動していることが求められる
書類・運用・教育・管理の各観点について、次の点を解説しました。
- 個人情報保護方針、管理規程、法令・規範リスト、個人情報管理台帳は、審査で必ず確認される中核文書である
- 個人情報の洗い出しとリスク分析では、業務実態に即した具体的なリスクと対策の紐づけが求められる
- 全従業員への教育は必須であり、実施記録・誓約書・理解度確認まで含めた運用が必要
- 内部監査とマネジメントレビューは、PMSが形骸化していないことを示す重要な証拠となる
日常運用・環境・体制面について、以下を解説しました。
- 入退室管理、持ち出し管理、委託先管理、事故対応記録などの運用エビデンスは、ランダムに確認される
- クリアデスク・クリアスクリーン、廃棄管理など、オフィス環境そのものも審査対象となる
- 審査当日は、代表者、個人情報保護管理者、実務担当者などがそれぞれの役割を理解して対応する必要がある
審査で指摘されやすい準備不足として、以下の例を紹介しました。
- 教育が形式的で、対象者漏れや記録不足がある
- リスク分析がテンプレートのままで、業務やツールの変化を反映していない
- 忙しい時期に運用記録が抜け落ちている
本記事を参考に、書類・運用・記録・体制を一体として見直し、審査時に「実際に回っているPMS」を説明できる状態を整えていただければ幸いです。
Pマーク(プライバシーマーク)・ISOの認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.