プライバシーマーク(Pマーク)審査の対策とは？必要なセキュリティ対策も解説

１．プライバシーマーク（Pマーク）とは

プライバシーマーク（Pマーク）は、日本工業規格（JIS）に基づいて個人情報の保護に取り組んでいる企業や組織に対して、日本情報経済社会推進協会（JIPDEC）が付与する認証マークです。

プライバシーマークは、「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」に基づく「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の基準を満たした事業者のみ使用が認められます。

プライバシーマークを使用する許可を得た事業者はプライバシーマーク付与事業者と呼ばれ、個人情報を適切に扱う事業者として、ウェブサイトや名刺、ポスターなどにPマークを掲示することができます。

プライバシーマークについて、詳しく知りたい方はこちらの記事をご覧ください。

２．プライバシーマーク（Pマーク）の取得方法

プライバシーマークを取得するためには、

1. 申請準備
2. 必要書類の提出
3. 現地審査の実施

と大きく3つのステップを踏みます。

（１）申請準備

プライバシーマーク取得のためには、「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に基づいた個人情報保護マネジメントシステム（PMS）を構築し、PDCAサイクルを少なくとも1回以上実施しておく必要があります。
また、審査の申請時には、マネジメントシステム（PMS）を運用した記録と規程類の提出が求められます。
体制の整備や規程類の策定だけでは、申請はできないため注意が必要です。

（２）必要書類の提出

申請には「申請書」と「文書・記録」が必要で、その中でも「文書・記録」は文書類、記録類、帳票類の3つに分類されます。

また、「申請書」の提出には約20種類の書類が必要です。新規申請と更新申請では、提出する書類が審査機関により異なるため、各審査機関のウェブサイトで詳細を確認してください。

（３）審査の実施

プライバシーマークの審査は、「形式審査」「文書審査」「現地審査」の3つに分けられます。

形式審査では、申請された書類に不備がないかを確認します。

文書審査では、提出された申請書類がプライバシーマークの要求事項に準拠したものであるか、要求事項を満たしているかを確認します。

形式審査、文書審査が終わると、現地審査が行われます。現地審査では、審査員が直接企業に訪れ、個人情報のルールが実際に存在し、適切に運用されているかを確認します。

プライバシーマークの取得方法と流れについて、詳しく知りたい方はこちらの記事をご覧ください。

３．プライバシーマーク（Pマーク）認証のためのセキュリティ対策

プライバシーマークを取得するためには、物理的な設備や機器などのハード面と、社内のルールや教育などのソフト面の両方でのセキュリティ対策が必要です。

（１）ハード面でのセキュリティ対策

ハード面での対策とは、物理的な設備や機器などの整備のことを指します。
具体的には、カギの管理、シュレッダー、パソコン用のワイヤーロックなどが挙げられます。

《カギの管理》

オフィスの鍵の開閉時間とその担当者を把握する必要があります。
トラブルが発生した際、その時点で誰がいたのか、最終的なチェックが行われていたのかが分かれば、適切な対応を取ることができます。

また、個人情報を含む書類は、鍵付きキャビネットなどに保管し閲覧できる人を限定することで、リスクを軽減することができます。

《シュレッダー》

個人情報の取り扱いと破棄の手順が曖昧な場合、情報漏洩のリスクが高まります。
そのため、個人情報の使用と破棄の手順を明確にし、シュレッダーを設置しておきましょう。

《パソコン用のワイヤーロック》

パソコン用のワイヤーロックは、盗難を防ぐための対策として役立ちます。

（２）ソフト面でのセキュリティ対策

ソフト面での対策とは、パソコンに入っている情報などのことを指します。
具体的には、ウイルス対策ソフトの導入、アクセスログの管理、リモートワーク時の環境を整えるなどが挙げられます。

《ウイルス対策ソフトの導入》

パソコンには必ずウイルス対策ソフトを導入し、定期的にアップデートを行いましょう。これにより、ウイルスやマルウェアからパソコンを守ることができます。

《アクセスログの管理》

情報漏洩事故が発生した際には、その原因が社内から来ているのか、それとも外部からのものなのか調査します。そのため、サーバーなどのアクセスログを保管しておく必要があります。

現在では多くの企業がクラウドサーバーを利用していますが、そのログ管理がどのように行われているかを事前に確認しておくと良いでしょう。

《リモートワーク時の環境整える》

リモートワークでは、オフィス内での作業とは異なり、自宅や外出先など、様々な場所で作業を行うため、セキュリティ対策が非常に重要となります。
パソコンの共有使用やフリーWi-Fiの使用を禁止するなどのルールを設けましょう。

４．プライバシーマーク（Pマーク）審査の内容を知ろう

プライバシーマークを取得・更新するためには、審査機関による審査を受けなければなりません。

プライバシーマークの審査はJIPDEC（一般財団法人日本情報経済社会推進協会）でしか受けられないと思っている方もいらっしゃるのですが、JIPDEC以外でも19の審査機関があります。
これらは、業種や地域などにより受けられる審査機関が変わります。

審査には段階があり、『形式審査』『文書審査』『現地審査』の３段階に分かれています。

（１）形式審査

申請書類を郵送して中身をチェックされる審査です。
チェックの際に不明点が生じたら、審査機関の事務局から連絡があります。（連絡方法は、電話かメールかを選択できる審査機関が多いです）
申請書類に過不足や記載漏れ誤字脱字がないか、申請資格があるのかどうか、審査を受けるに値する企業なのか判断されます。

（２）文書審査

形式審査を通過できたら文書審査に進みます。
文書が審査基準（JIS規格）に適合しているか確認される審査です。

審査後、不適合や確認事項などの結果がまとめて返送されてきます。
もし不適合や確認事項があれば現地審査までに修正しておく必要があります。

（３）現地審査

審査員が実際に来社し、個人情報保護マネジメントシステム通りに体制が整備され運用ができているのか確認される審査です。

１日かけて審査が行われます。
下記「６．現地審査の項目別！対策ポイント」で具体的な対策を紹介します。

審査についてこちらの記事でも詳しく解説しています。

５．現地審査のタイムスケジュール

よく質問をいただくのが、現地審査の１日のタイムスケジュールです。
多少の差異はありますが、概ね下記のスケジュールのように審査は進んでいきます。

08:45頃　　　審査員来社
09:00　　　　審査開始
09:00-09:30　トップインタビュー（代表者へのヒアリング）
09:30-12:00　建物の状況確認、個人情報保護管理者または事務局等への確認
12:00-13:00　昼休憩
13:00-14:00　各部署への業務ヒアリング
14:00-16:30　プライバシーマーク運用記録の確認
16:30-17:30　文書審査の結果確認
17:30-18:00　総評および、審査終了の挨拶

時間によって対応してもらう人物が変わることがあるので、事前に確認しておくと審査時にスムーズな対応ができます。

また、審査の数日前に、審査機関から当日の案内がメールで届きます。
当日のタイムスケジュールや準備物が書かれていますので、必ず目を通しておきましょう。

６．現地審査の項目別！対策ポイント

（１）トップインタビュー（代表者へのヒアリング）

審査のはじめにトップインタビューがあります。

審査員はまず代表者の考えを確認したいと考えています。

なぜプライバシーマークを取得・維持しているのか、どういう方針で運用を行っているのか、何をリスクと感じているのかなどを代表者に聞きます。

このインタビューで審査員は代表者の考えを把握し、「今日の審査をどのように進めていくか」、「何を重点的に見ていくか」を決めていきます。

（２）業務ヒアリング

各部署で行っている業務内容や流れを確認する時間です。
「どういう書類を扱っているのか？」「どういうシステムを使っているのか？」など、個人情報の管理方法や委託状況を審査員に説明する必要があります。

最近ではマイナンバーやテレワークの導入に伴い、運用方法が変わってきている会社も多いですよね。
そういった業務の変化についても審査員は質問してきますので、業務を詳しく把握して説明できるようにしておく必要があります。

説明するのは必ずしもプライバシーマーク担当者である必要はありません。
該当部署のメンバーにも立ち会ってもらって大丈夫です。

（３）記録類・安全管理対策の確認

新規取得審査の場合は1年間分、更新審査の場合は2年間分の記録を見られます。
審査員が見る視点は「マニュアル通りに運用されているか」です。

現地審査での不適合の大部分はこの記録類・安全管理対策の部分で出されます。
したがって、作成した記録類が揃っているのか、最新のものに更新されているか、を事前にしっかり確認しておくのがよいでしょう。

記録の確認後、実際に現場・オフィス内を見られる場合もあります。

安全管理のルールに則って実務を行っているかをサンプリングでチェックされます。
例えばパソコンのスクリーンセーバの設定やウイルス対策ソフトの設定などです。

審査までにルールを再度確認し、そのルール通りに実施できているかをチェックしておきましょう。

７．審査で慌てないために…コンサル会社によるサポートも検討してみる

「プライバシーマーク担当者が急に退職したので分かる人がいなくなった」
「審査直前になり書類の更新が出来ていないことが発覚した」

などといったお問合せを多くいただきます。

そのような事態であわててつじつま合わせの対応をすると、通常業務の時間を大幅に削られてしまったり、準備不足で審査でたくさん不適合が出てしまったり…ということが発生してしまいます。

そのような事態を防ぐために、自分たちで運用をやりながらも、管理や作業は外注して審査直前に慌てるという事が無いような形態にするのもひとつの選択です。

よろしければこちらの記事も参考にしてください。

コンサルティングについて、弊社スリーエーコンサルティングの場合は月額４万円～でPマーク取得、運用サポートを提供しています。審査費用・コンサルティング費用の具体的な金額が知りたい方はお気軽にお見積り依頼ください。

８．そもそもプライバシーマーク（Pマーク）のメリットは？

プライバシーマークを取得・維持するメリットは大きく３つになります。

1. 顧客要求、入札の条件を満たすことが出来る
2. 対外的なアピールになる
3. 社内の現状を把握し、ルールの統制がはかれる

詳しくは以下で御確認ください。

９．実はISMS（ISO27001）も似ている？Pマークと比較してみよう

プライバシーマークを取得する際、同時に検討されるのがISMS（ISO27001）です。
どちらも情報保護に関する認証だからです。

しかし、ISMS（ISO27001）とプライバシーマークは似て非なるものです。
目的、考え方、準拠する規格はもちろんですが、適用範囲の設定も異なります。

大きく違う点は、プライバシーマークでは個人情報が対象となるのに対し、ISMS（ISO27001）では個人情報を含む情報資産全般が対象となるところです。

詳しくはこちらのコラムをご覧ください。

まとめ

いかがでしたでしょうか。

プライバシーマーク（Pマーク）の審査は、『形式審査』『文書審査』『現地審査』の３段階に分かれています。

現地審査のスケジュールは概ね9:00～18:00で、時間によって必要なメンバーが変わることがあるので、事前に確認しておくと審査時にスムーズな対応ができます。

プライバシーマーク審査項目ごとの対策としては、

1. トップインタビュー
2. 業務ヒアリング
3. 記録類・安全管理対策への確認

を抑えておくといいでしょう。

審査で慌てないためにコンサル会社によるサポートを検討してみるのも一つの手です。

定期的に個人情報が正しく取り扱えていることを証明することが目的ということを忘れずに、プライバシーマークの更新準備や審査準備を計画的に進めていきましょう。