2021.07.27
情報セキュリティ概要・トレンド
Pマーク取得の手順を解説!注意点や申請の流れまでチェック
1998年4月に開始されたPマーク(プライバシーマーク)制度※ですが、今やポピュラーな存在になりつつあると言えます。消費者としてPマークを目にすることも増えてきたと思いますし、企業側でもPマークを取得して、対外的に個人情報保護のレベルの高さをアピールしたいと考えているところも数多くあるでしょう。
しかし、実際にPマークを取得するためには、どのような手順を踏めばよいのかわからないという方もいらっしゃるのではないでしょうか。今回はPマークの取得方法をテーマに、その手順や注意点、申請の流れまでを解説していきたいと思います。
※注意※
プライバシーマーク、Pマーク、プライバシーマーク制度、Privacymark、PrivacyMark、Privacy Mark、Privacy Mark System、PrivacyMark System、Privacymark Systemは、JIPDECの登録商標です。
MDM導入のご検討・ご相談はこちら
Pマーク付与の対象
まず、Pマークが付与される対象の範囲を確認していきます。
Pマークの付与は、国内に活動拠点を持つ事業者が対象となります。法人単位での付与になりますが、医療法人、学校法人等については例外もあります。なお、2名以上の従業員がいることも条件です。
さらに、以下の内容を満たしており、かつ実際の事業活動の中で、個人情報の保護を推進している必要があります。
【必要要件】
- JIS Q 15001「個人情報保護マネジメントシステム-要求事項」に基づいた個人情報保護マネジメントシステム(以下、PMS※)を定めている
- PMSに基づき実施可能な体制が整備されて個人情報の適切な取扱いが行われている
- 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に定める欠格事項のいずれかに該当しない事業者である
※PMS:Personal information protection Management Systemの略称
Pマーク取得の手順
それでは、実際にPマーク取得するにはどういった手順を踏むべきかについて見ていきたいと思います。まずはPマーク取得のステップをまとめた以下表をご覧ください。
| 項目 | |
| 1 | マニュアル・ルールの作成 |
| 2 | マニュアル・ルールの運用 |
| 3 | 申請 |
| 4 | 受取から文書審査 |
| 5 | 現地審査の実施 |
| 6 | 可否決定・決定結果の通知~付与適格付与決定後の手続き |
上記のステップを踏むことで、Pマークの取得が完了します。次項より、各ステップをより詳細に解説していきますので、ぜひチェックください。
ステップ(1)マニュアル・ルールの作成
まず最初のステップは、組織内での個人情報保護におけるマニュアル・ルールの作成です。ここで重要なのが、単にマニュアルやルールを定めればよいというものではなく、「個人情報保護マネジメントシステム-要求事項」に基づいた内容を作成しなければならないということです。「個人情報保護マネジメントシステム-要求事項」の詳細については、書籍などを購入することでその内容を知ることができます。
なお、「個人情報保護マネジメントシステム-要求事項」はこれまで1999年、2006年、2017年と改正が行われており、時代に合わせたものへと変化しています。長期的にPマークを利用していくことを考える場合は、常にこの改正に関する情報をキャッチアップし、対応していくことが求められます。
ステップ(2)マニュアル・ルールの運用
マニュアル・ルールを作成した後は、実際に策定したマニュアルに基づき運用を開始します。Pマークを申請するにあたり、PMSに基づいた計画の作成(P)はもちろんですが、実施(D)、点検・評価(C)、改善(A)という、いわゆるPDCAサイクルを1回以上実施する必要があります。
また、Pマーク審査の申請時には、策定した規程類だけでなく、実際に運用を行った記録も提出する必要があります。運用の記録といっても項目によって分けられてきますので、あらかじめ審査を想定した運用項目を理解しておきましょう。
それでは、具体的にどういった内容がPマークの運用に必要となるのか見ていきます。
Pマーク運用において必要となる文書・書類
まず、Pマークの運用において必要となる文書や書類は以下となります。審査の際に提出する内容もありますので、しっかり準備しておきましょう。
| 内容 | 詳細 |
| 個人情報保護マニュアル | PMSを運用するためのルールをまとめたマニュアル |
| 安全管理規定 | 盗難の防止策や事業所への入退室の管理、さらに個人情報を移送や送信する際のリスクに対しての対策をまとめた安全管理規定を定めたもの |
| 個人情報保護方針 | 会社として個人情報をどのように取り扱うかを定めた文書で、必要とされる項目があるため、作成時には注意が必要 |
Pマーク運用において必要となる記録
続いては、Pマーク運用において必要となる「記録」についてです。実際にその事業者がPMS運用のためにどういった活動を行っているのかを示していくものになり、その記録を提出することで審査を受けることができます。
個人情報を管理するための台帳から、従業員への教育記録など、さまざまな内容がありますが、いずれも必要とされるものとなりますので、運用の時点から記録を残し審査に活用していきましょう。
具体的に必要される記録としては、以下となります。
| 内容 | 詳細 |
| 個人情報管理台帳 | 利用目的や保管場所などを記載し、個人情報を管理するためのもので、年に一度更新するなど、最新の状態の維持が求められます |
| 法令 | 業務に関連する法令だけでなく、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定します |
| リスク分析 | 個人情報管理台帳の個人情報を取り扱う中でのリスクの検証と対策を一覧にします |
| 委託評価記録 | 個人情報を委託している事業者があれば、その事業者を特定し評価を行った記録を残します |
| 教育記録 | 全従業者に対して個人情報保護教育を行うための計画書と、実施した記録を作成します |
| 内部監査記録 | ・自社で設けているPMSについて問題がないか監査するための計画書と、実施した記録を作成します ・監査は全事業部門で行わなければなりません |
| 是正処置に関する記録 | 監査により不適合だと判断された場合には、別途こちらの記録を作成します |
| マネジメントレビュー | ・年に一度、代表者による個人情報保護の方針見直し(マネジメントレビュー)を行う必要があります ・監査による結果や、日常的に行われている運用の報告、社内外からの意見などを踏まえた論議を行い、その議事録を残します |
| 帳票類 | ・従業員の入退室記録や来訪者の記録、採用活動で得た個人情報の同意書、従業員の個人情報の同意書などを含みます ・個人情報保護に関する苦情や事故があった場合も、報告書などを作成します |
ステップ(3)申請
ここからは、実際にPマークの申請へ進みます。今回は、JIPDEC(一般財団法人 日本情報経済社会推進協会)へ申請を行う場合を例に説明していきたいと思います。
まず、申請にあたり必要な書類を用意しましょう。書類の申請様式は用意されていますので、それをダウンロードしたのち、書式に合わせて必要事項を入力していけば問題ありません(ダウンロードはこちら)。前述した文書、記録と重複する点もありますが、以下の表より申請にあたり必須となる書類を確認していきます。
| No. | 内容 |
| 0 | 【申請様式0新規】プライバシーマーク付与適格性審査申請チェック表 |
| 1 | 【申請様式1新規】プライバシーマーク付与適格性審査申請書(代表者印の捺印必須) |
| 2 | 【申請様式2新規】事業者概要 |
| 3 | 【申請様式3新規】個人情報を取扱う業務の概要 |
| 4 | 【申請様式4新規】すべての事業所の所在地及び業務内容 |
| 5 | 【申請様式5新規】個人情報保護体制 |
| 6 | 【申請様式6新規】個人情報保護マネジメントシステム文書の一覧 |
| 7 | 【申請様式7新規】JIS Q 15001との対応表 |
| 8 | 【申請様式8新規】教育実施サマリー |
| 9 | 【申請様式9新規】内部監査実施サマリー |
| 10 | 【申請様式10新規】マネジメントレビュー実施サマリー |
| 11 | 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を証す公的文書の原本(申請の日前3か月以内の発行文書。写し不可。) |
| 12 | 定款、その他これに準ずる規程類の写し |
| 13 | 最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6新規】、及び【申請様式7新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。) |
| 14 | 個人情報管理台帳の運用記録(様式ではない)の冒頭1ページの写し |
| 15 | 上記14に対応する、いわゆる「リスク分析結果」の写し |
Pマーク申請の任意書類
上記の必須書類と合わせて、以下の任意書類も設けられています。これらの任意書類を提出することで、審査の時間短縮に繋がります。提出できそうなものがあれば提出し、より円滑な審査となるようにしましょう。
| No. | 内容 |
| 16 | 従業員へ教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形など) |
| 17 | 内部監査を実施したことが確認可能な記録一式(「内部監査計画書」、「内部監査実施報告書」、「内部監査チェックリスト」等の写し) |
| 18 | マネジメントレビューを実施したことが確認可能な記録一式(「マネジメントレビュー議事録」の写し) |
| 19 | 会社パンフレット等 |
ステップ(4)提出・文書審査
申請書類がすべて揃ったところで、審査機関への提出を行います。なお審査結果に関わらず、申請時には申請料が発生します。申請後に請求が行われますので備えておきましょう。
なお、提出する審査機関は全国に設けられています。下記に詳細がまとめられていますので、こちらをよくご覧のうえ提出を行ってください。
ステップ(5)現地審査の実施
文書審査の終了後は、現地審査が行われます。現地審査では、実際にPMSの体制が構築されているのか、また運用されているのかといった点を審査されます。当日は以下の(1)~(4)が実施されますので、よくチェックしておきましょう。
現地審査の内容(1)事業代表者へのインタビュー
事業代表者へのインタビューでは、主に以下の状況への確認を行います。Pマークを取得する事業責任者として、しっかりと答えられるようにしておくようにしましょう。
- 事業内容や経営方針
- Pマークを申請する動機や、個人情報保護の目的
- 個人情報保護方針について
- 個人情報保護のための人的資源(体制)について
- 個人情報に関する事故の有無
- マネジメントレビュー
- PMSの継続的な改善について
現地審査の内容(2)PMS運用状況の確認
続いて、実際のPMS運用状況について確認します。ここでは、Pマーク申請を行った担当者や、個人情報保護管理者、個人情報監査責任者等へのヒアリングが中心となります。
ヒアリングでは、事業の詳細から、個人情報を取り扱う業務ごとの個人情報の特定、リスクアセスメント、リスク対策および安全管理措置等の状況確認が行われます。また、内部監査や従業員教育といったPMS運用についてもチェックがされます。
PMS運用状況の確認では、実際の運用の記録や内部規定などの文書類を提示しなければならない場合もあるので、現地審査時には必ず準備しておくようにしましょう。
現地審査の内容(3)安全管理措置の実施状況確認
次に、個人情報を実際に取り扱っている作業場所にて、安全管理措置の実施状況をチェックします。安全管理措置の内容は、事業者がリスク分析などを踏まえて講じているものとなるため、統一された内容とはなりません。この点はよく認識しておきましょう。
現地審査の内容(4)総括・総評
最後に、審査員から改善が必要であると判断された事項(指摘事項)について、確認と説明が行われます。
なお、指摘事項がある場合、現地審査後に指摘事項文書が送られてきます。まずは指摘事項に対する改善を速やかに行い、指摘事項文書内に記載されている日付から3か月以内に、エビデンスを添えた改善報告書の提出を行ってください。
現地審査における注意点
現地審査の内容はこれまでご説明した通りですが、現地審査においては費用面の注意が必要です。
現地審査においては、審査料だけでなく、審査員の交通費や宿泊費なども申請者側の負担となります。現地審査終了後に請求書が送付されますので、到着後は指定の口座に振り込むようにしておきましょう。こちらの入金がない場合、審査中止となる可能性もありますので、入金忘れなどにはご注意ください。
ステップ(6)可否決定・決定結果の通知~付与適格決定後の手続き
文書審査、現地審査の後は、審査機関の審査会にてプライバシーマーク付与適格性の有無が決定されます。審査結果については、各申請機関より、申請事業者に対して結果の通知文書が送られてきます。ここで付与適正決定を受けた事業者は、付与機関とプライバシーマーク付与契約を締結することで、プライバシーマークの付与を受けることができます。契約の手続きに関しては、付与機関より書類が送付されますので、案内に従って対応を進めてください。
なお、プライバシーマークの契約期間(有効期間)は2年間となっています。2年目以降は更新の手続きが必要となりますので、注意しておきましょう。
MDM導入のご検討・ご相談はこちら
Pマーク取得・更新の注意点
ここまでPマーク取得までの一連の流れをご説明していきましたが、注意しておきたい点もいくつかあります。どういった点になるか、詳しく見ていきましょう。
Pマーク取得に係る費用
Pマークの取得や更新には、申請料・審査料・付与登録料がそれぞれ発生します。事業規模によって金額の程度は変わってきますが、新規の申請から登録料まで合算すると、大規模事業者の場合は100万円を優に超える金額となっています。コストがかかることを念頭において、申請を行うようにしましょう。
【新規申請の場合】
| 小規模 | 中規模 | 大規模 | |
| 申請料 | 52,382円 | ||
| 審査料 | 209,524円 | 471,429円 | 995,238円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 314,288円 | 628,573円 | 1,257,144円 |
【更新の場合】
| 小規模 | 中規模 | 大規模 | |
| 申請料 | 52,382円 | ||
| 審査料 | 125,714円 | 314,286円 | 680,952円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 230,478円 | 471,430円 | 942,858円 |
引用:プライバシーマーク付与に係る料金表(2019年10月1日適用)
運用面でセキュリティ対策を適切に行うこと
Pマーク取得のために必要な運用施策について、いくつかご紹介していきましたが、やはり一番重要なポイントは、適切に個人情報保護の措置を行っているかという点です。その方法は様々ありますが、企業としてもパソコンや社用携帯などへのセキュリティ対策は万全に行っておきましょう。
日々手法が巧妙化し続けている不正アクセスや、テレワークに伴う許可なきBYODなどはもちろんですが、業務で利用する社用携帯の紛失といったヒューマンエラーなど、個人情報漏洩に繋がるリスクは常に存在します。特に新型コロナウイルスの影響でテレワーク実施になった場合など、オフィスではない環境でのセキュリティ対策に頭を悩ませたという方も多いのではないでしょうか。
こうした課題に役に立つが、MDM(モバイルデバイス管理)となります。従業員が利用するパソコンや社用携帯といったデバイスを一元管理可能で、初期設定からOSのアップデートなども管理者側で随時行えます。また、MDMを使うと機能制限などを施すこともできるため、たとえば認可しているアプリ以外のダウンロードを制限することも可能です。
さらに、社用携帯を紛失してしまった場合も、MDMを使って遠隔ロックや位置情報の取得も行えますので、万が一の紛失時にも速やかに対応でき、個人情報漏洩の防止にも役立ちます。
弊社では、MDM導入に関するご相談も承っておりますので、費用面や機能など気になる点がありましたら、いつでもお気軽にお問い合わせください!
まとめ
今回は、Pマーク申請の手順について解説をしていきました。本記事からもわかるように、Pマークの取得にはしっかりとした準備と、運用の実績が必要となります。しっかりとした対策を行ったうえで、申請・審査に臨むようにしましょう。
また、個人情報保護対策の一環として、セキュリティ対策やデバイス管理を行いたいという方は、ぜひお気軽に弊社までお問い合わせください!MDMを通して、セキュアな環境の実現をお手伝いいたします。
MDM導入のご検討・ご相談はこちら
記事検索
オススメ記事一覧
タグ一覧
人気の記事
