セミナー情報Pマークの取得方法を徹底解説|費用・期間・準備から申請の流れまでわかりやすく解説
近年、個人情報の流出が相次いでいることから、事業者の信頼性を高める「Pマーク(プライバシーマーク)」の需要が高まっています。
本記事では、Pマークの取得を検討している組織に向けて、制度の概要から準備方法、申請~審査~取得までのプロセスや、かかる費用/期間などを詳しく解説します。
・Pマークを取得するメリット
・Pマークの取得までのフロー
・Pマーク取得にかかる費用
・Pマーク取得後の注意点と更新・運用のポイント
・Pマークをスムーズに取得するためのコツ
・まとめ|まずは自社が対象となるかを確認しよう
・情報セキュリティの管理にも適したIT資産管理ツール「SS1/SS1クラウド」
そもそもPマークとは?目的と意義
Pマーク(プライバシーマーク)とは、個人情報の適切な管理を実行している組織へ与えられる認証マークです。
本章では、Pマーク制度の概要と、よく混同されやすい「ISMS認証」との違いについてご紹介します。
Pマーク制度の概要
Pマーク(プライバシーマーク)制度とは、日本産業規格である「JIS Q 15001 個人情報保護マネジメントシステム─要求事項」に準拠した方針に基づいて、個人情報に対して適切な管理体制を構築している国内に活動拠点を持つ事業者を評価・認証するものです。
この制度は、一般財団法人日本情報経済社会推進協会(JIPDEC)によって1998年に創設されました。
ちなみにJIPDECの公式サイトでは、Pマーク制度の目的について下記のように説明されています。
・適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること
ISMS認証との違い
Pマーク制度と似た認証制度に、ISMS認証があります。
ISMS認証は、組織が保有するすべての情報資産に対する保護を目的とした制度です。個人情報は「すべての情報資産」の一部に含まれているため、ISMS認証はPマーク制度よりもさらに広範囲の情報に対する体制構築を求めています。
また、ISMS認証の規格が国際規格である一方、Pマークは国内規格であるという点も大きな違いです。
そのほか、2つの制度の主な違いは以下の通りです。
| Pマーク制度 | ISMS認証 | |
|---|---|---|
| 規格 | JIS Q 15001 | ISO/IEC 27001 JIS Q 27001 |
| 保護対象 | 組織内の個人情報 | 組織内の情報資産 |
| 認証範囲 | 組織全体で取得 | 事業所・部門単位で認証可能 |
Pマークを取得するメリット
Pマークを取得することで、組織はさまざまなメリットを享受できます。
取引先や顧客からの信頼を得られる
Pマークによって、「個人情報の保護体制が認証機関に認められたものであること」を客観的に証明できるため、顧客や取引先からの信頼を獲得することが可能です。
また、公共事業や官公庁からの依頼を民間企業が請け負う「入札案件」などのビジネスシーンにおいて、Pマークの取得自体が取引条件として掲げられるケースも増えてきています。市場競争力に直結するという意味で、Pマークの取得は組織の利益向上につながる可能性もあるでしょう。
組織内の個人情報管理体制が整う
Pマークを取得する過程では、組織における個人情報保護体制の整備をおこなうことになります。体制の不備があった場合はこの時点で見直しがかかるため、個人情報の漏洩リスクを低減させることが可能です。
また、体制構築によって管理フローが確立することで、属人化防止にもつなげられます。その結果、万一のインシデントに対する対応力が常に一定の水準に保たれるという効果も期待できるでしょう。
Pマークの取得までのフロー
JIPDECの公式サイトによると、Pマークの取得にかかる期間は「約半年~1年ほど」だといわれています。
ではこの間に何をおこなうべきか、具体的なフローをみていきましょう。
2.運用
3.教育・内部監査の実施
4.Pマーク申請
5.審査(書類/現地)
6.Pマーク取得
1.方針の決定~規定の作成
まずは、Pマーク取得における責任者や関連メンバーを決定したあと、組織として個人情報を保護するための仕組み(PMS:Personal Information protection Management System)づくりに取りかかります。
どこで・誰が個人情報を取り扱っているのかといった実態を調査し、組織内に存在している個人情報を洗い出して、それぞれにどのようなリスクがあるのかを分析します。分析が完了したら、その結果をもとにしてリスクレベルの評価をおこない、対策方法を検討しましょう。
これらの工程を終えた段階で、PMS構築にあたっての全体方針や各規定をまとめたPMS文書を作成します。
2.PMSの運用
作成したPMS文書の内容をもとに、実際に組織内で運用を開始します。必要に応じてセキュリティツールの活用や従業員への教育なども織り交ぜながら、策定したルールがどのように作用するかを確認しましょう。
運用の過程で課題が見つかったら、「JIS Q 15001」に基づいたPMSとなるよう改善内容を検討していきます。
ちなみに、ここでおこなった運用状況はきちんと記録し、書類として残しておかなければなりません。これらの書類は審査の際に必要となるため、きちんと保管しておきましょう。
3.教育・内部監査の実施
PMSの運用がきちんとおこなえているかは、内部監査によってチェックします。ここでの結果は組織の代表者へと報告され、内容によっては改善指示などを受けます。
このように、方針の決定(Plan)・規定作成や教育の実施(Do)・内部監査(Check)・改善指示(Act)のサイクルを回すことが、PMSの基本的な運用方法です。
ちなみにPマークにおいては、「まずは運用し、少なくとも一度はPDCAを回すこと」が認証取得の必須条件となります。この初期のPDCAサイクルを回す期間はおおむね3か月ほどであるという意見もあるため、Pマーク取得にあたっては余裕をもったスケジュール設定をおすすめします。
4.Pマーク申請
審査に必要な書類の準備やPMSの十分な運用が完了したら、いよいよPマーク取得の申請をおこないます。
申請にあたっては、「必要書類」と「任意書類」が存在します。また、オンライン申請/郵送申請で提出が必要な書類が異なる場合があるため、詳細は各審査機関のホームページなどをよく確認してください。
ちなみに、任意書類を提出すると審査時間を短縮できます。余力があれば、任意書類も準備しておくとよいでしょう。
5.審査(書類/現地)
申請に必要な書類を作成して審査機関へ提出すると、まずは「書類審査」に入り、その後実際にPMS体制がきちんと構築・運用されているのかを確認する「現地審査」が実施されます。
現地審査では、代表者へのインタビューや個人情報保護管理者などへのヒアリング、個人情報を取り扱う現場での安全管理措置の実施状況チェックなどがおこなわれます。
改善事項があった場合は、現地審査の最後に審査員によって内容を説明されると同時に、後日指摘事項をまとめた文書が送られるため、それらを確認しながら速やかに改善対応をおこなわなければなりません。
指摘事項文書に記載のある日付から3か月以内に、改善のエビデンスとともに報告書を提出しましょう。
6.Pマーク取得
書類審査・現地審査後、審査機関にてPマーク付与の適格性が審議され、その結果を記載した通知文書が送付されます。
晴れて審査に合格していた場合は、Pマーク付与機関と「プライバシーマーク付与契約」を結ぶことで、Pマークを取得することが可能です。
Pマーク取得にかかる費用
Pマークの取得にあたっては、申請料・審査料・付与登録料が発生します。
これらはPマーク取得フロー内の各過程で必要となるため、いつ・どのタイミングで支払うのかはあらかじめきちんと確認しておきましょう。
認証関連の基本費用(2019年10月1日適用)
Pマーク関連費用は、事業規模によって変化します。また、業種分類でも事業規模の定義が異なるため、自社がどの規模に当てはまるかはJIPDECの公式サイトを参照ください。
| 小規模 | 中規模 | 大規模 | |
|---|---|---|---|
| 申請料 | ¥52,382 | ||
| 審査料 | ¥209,524 | ¥471,429 | ¥995,238 |
| 付与登録料 | ¥52,382 | ¥104,762 | ¥209,524 |
| 小規模 | 中規模 | 大規模 | |
|---|---|---|---|
| 申請料 | ¥52,382 | ||
| 審査料 | ¥125,714 | ¥314,286 | ¥680,952 |
| 付与登録料 | ¥52,382 | ¥104,762 | ¥209,524 |
コンサルティング導入時のコスト
Pマークの取得で専門のコンサルティングを依頼した場合は、上記のコストとは別にコンサルティング費用が発生します。
コンサルティングを依頼することで、専門的な知見からのアドバイスを得られたり、文書作成における工数も削減できたりといったメリットを享受できます。
ただし、料金は30万円~100万円程度が相場とされているため、全体的なコストバランスを慎重に見極めることが重要です。
Pマーク取得にかかる負担や期間の圧縮を望む場合は、前向きに検討するとよいでしょう。
Pマーク取得後の注意点と、更新・運用のポイント
Pマークは、一度の認証で終わる制度ではありません。その後の運用や更新審査にも対応する必要があります。
ここでは、Pマーク取得後の注意点について確認していきましょう。
有効期間と更新時の流れ
Pマークの有効期限は2年間であり、これ以降も継続してPマークを利用する場合は更新手続きが必要です。更新申請は有効期間満了の8か月~4か月前までにおこなわなければならないため、余裕をもった対応が推奨されます。
ちなみに、更新時には上述の費用がかかるほか、再び各種審査を受けることとなります。
Pマークの取り消しについて
仮にPマークの取得後に個人情報の漏洩や法令違反といった不適切な取り扱いが確認された場合には、認証の取り消し処分を受ける可能性があります。
また、一度Pマークが取り消されてしまうと、1年間再取得不可・Pマーク付与機関のWebサイトに「取り消し事実」が公表されるなどのペナルティを受けることになります。
このような事態を招かないよう、更新申請の有無に関わらず、定期的にPMSの見直しをおこない、事業の変化に則して都度体制の改善に努めることが大切です。
Pマークをスムーズに取得するためのコツ
どうしても一定の期間と労力を要するPマークの取得ですが、いくつかのポイントをおさえることで効率的に進められるようになります。
組織内の情報リテラシーを高める
PMSの構築・維持は、一部の担当者だけが働きかけていればよいというものではありません。組織に属するすべての従業員が一丸となって、個人情報保護の重要性を認識し、日頃の業務において意識することが重要です。
定期的に教育の機会を設けるなどして、情報漏洩のリスクを組織全体で共有する文化を育てるようにしましょう。
「取得後」を見越した運用を検討する
Pマークを取得する過程では、個人情報の運用に関するさまざまなルールが生まれます。しかし、ここで実現可能性や継続性を無視した管理方法を採用してしまうと、その後のPMS維持が困難になってしまうかもしれません。
規定を作成する際には、Pマークを取得したあと、本当に続けられる運用になっているのかを確認しながら進めていくとよいでしょう。
例えば、PMSの手順書や記録文書をなるべく簡素なものに設計したり、ITツールを活用した体系的な管理を検討したりすることで、極力手間を増やさない運用を実現できます。
まとめ|まずは自社が対象となるかを確認しよう
Pマーク取得は、信頼性を高め、ビジネスの幅を広げるための有効な手段です。取得には一定のコストがかかりますが、各ステップの肝を理解して着実に準備を進めることで、負担を軽減しながらも確実な認証取得を目指せます。
本記事で紹介した内容を参考に、まずは自社がPマークの取得対象となるかを確認したうえで、必要に応じて取得計画を立ててみましょう。
情報セキュリティの管理にも適したIT資産管理ツール「SS1/SS1クラウド」
PMSの運用においては、効率的な管理と着実なPDCAサイクルが求められるものです。しかし、それらすべてを手作業で実行するのは現実的ではありません。
特に、日頃の運用監視や監査用資料の作成などは、ITツールの手を借りることで大幅に効率化できるケースがあります。
ディー・オー・エスが提供するIT資産管理ツールSS1
/SS1クラウドは、PMS構築にあたって必要な個人情報等の資産の洗い出しや、各種ログ取得およびログの長期保存を実現する製品です。
そのほかUSBメモリの接続制限など、PMSの運用を効率的におこなう際に役立つさまざまな機能を搭載しています。
各機能の詳細については、下記のページをご参照ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
