LRM株式会社が発信する情報セキュリティの専門マガジンはじめに
Pマークとは、JIS Q 15001:2017の要求事項を満たしたマネジメントシステムを構築し、運用していることが第三者によって認められた証となります。
つまり、日本産業標準調査会で制定した個人情報保護の標準を満たすルールを定め、守っている状態ということです。
Pマーク認証取得に必要な手順について、検討段階から審査当日に至るまでの一連を21項目のTodoリストにいたしました。無料でDLできますので、ぜひ、本記事と併せてご活用ください。
取得するメリット、デメリット
メリット
消費者
消費者にとっては、その企業が個人情報を保護するための取り組みを行っているのか、個人情報を預けても問題がないのかといった一つの判断基準にすることができます。
企業
企業にとっては、取引先として信用することができるのかどうかといった点に大きく関わってきます。
特に、委託先などで個人情報の処理を委託する場合、個人情報を普段から適切に取り扱っているのか、従業員には個人情報保護教育をしっかりと行っているのかなどといった心配があると思いますが、Pマークを持っていれば必ず実施しているため、安心して委託することができるというわけです。
また、一般競争入札などといった入札の条件としてもPマークを持っているかどうかが問われることが多く、持っていることで有利に進めることができます。
Pマークを持っている企業と持っていない企業であれば、Pマークを持っている企業のほうが個人情報を安心して預けることができるからです。
デメリット
要求事項には書かれていない内容であっても、審査を担当した審査員が推奨するセキュリティルールを満たしていない場合、ルールとして制定することを強要されます。
また、あくまでJIS規格であり、ISO(国際基準)ではないため、海外では特に優遇されることはありません。
PマークとISMSの違い
| Pマーク | ISMS | |
|---|---|---|
| 準拠している規格 | 日本産業規格 JIS Q 15001 | 国際標準規格 ISO27001 |
| 取得範囲 | 会社全体(法人単位) | プロジェクト、部門・部署単位でも取得が可能 |
| 保護対象 | 個人情報 | 取得範囲の情報資産 (個人情報を含む) |
| 認証の更新 | 2年ごと | 3年ごとに更新審査 1年ごとに維持審査(更新審査の年は含まない) |
PマークとISMSの違いや審査の流れについてより詳細にご存じになりたい方は、こちらもご参照ください。
Pマーク取得にかかる期間・費用
期間について
取得までの間に、マネジメントシステムを構築し、3ヶ月程度運用していることが想定されます。
その後、申請⇒審査⇒審査通過を経て7~8か月程度が平均的な取得期間とされています。
例外として、親会社の一部の業務が子会社化されて、親会社の従業員が子会社の従業員として働く場合など、個人情報保護マネジメントシステムを運用していたという実績がある場合、1ヶ月程度の運用で新規取得のための申請を行うといった前例があります。
この場合であれば、現地審査では親会社での運用の記録も必要となるため、準備が必要です。
費用について
取得にかかる費用のうち、審査機関へ支払う審査費用は、コンサルタントの依頼有無にかかわらずかかる費用となります。
コンサル費用
コンサルタントに依頼した場合はコンサルティング費用が必要になりますが、自社取得と比べると作業負担を圧倒的に軽減でき、認証取得までの期間も短縮できるメリットがあります。
料金は大体30万円~100万円あたりが相場になっています。
かなり料金にばらつきがありますが、「費用が高い=良いサービス」とは限りませんので、気になった場合は営業の方にお話しを聞き、サービス内容や自社ですべき作業などを聞くのがいいでしょう。
また、「担当コンサルタントの方と1度お話させていただきたい」旨をお伝えすると、面談可能な企業がほとんどだと思いますので、依頼前に「どういったコンサルタントなのか?」という雰囲気や人柄を確認することもオススメです。
審査費用
Pマークでは審査費用は事業規模によって予め決まっていますので、審査費用が不明な方は、自社がどの規模に分類されるかご確認ください。
自社の規模を確認後、以下の規模毎の審査費用を確認していただければ、自社におけるPマークの審査費用が把握できます。
その他費用
Pマーク取得活動を行う上で、備品の購入などがある場合の費用になります。
「ルールの変更により、鍵付きのキャビネットが必要になったので購入する」等が該当します。
通常そこまで多数の備品を購入することはあまりありません。
Pマーク取得までに行うこと
取得までに行うことは、大まかに以下の流れになります。
PDCAサイクルを回す
Pマーク認証の審査を受けるための申請を行う前に、マネジメントシステムを構築し、定められたルールを順守した運用、教育、内部監査など、本来1年間を想定して回すPDCAを一通り行い、自社に適したマネジメントシステムを構築できているかの確認とできていなかった場合に修正することが必要となります。
申請(文書審査)
プライバシーマーク付与適格性審査の申請を行います。
申請ではありますが、同時に構築したマネジメントシステムがJIS Q 15001:2017に準拠した内容になっているのかどうかの確認、及び文書化されたルール、運用の実績を確認されます。
現地審査
実際に、審査員の方が来て、業務を行っている現場でルールが守れているのか、記録はしっかりと取れているのかといった確認を行います。
現地審査では、定めたルールを守れていなかった、JIS Q 15001:2017に準拠していなかった、法令などに違反していたといったものは不適合となります。また、本来あってはなりませんが、審査を担当した審査員個人が推奨するセキュリティルールを満たしていない場合に不適合となることがあります。
対策として、現地審査の最後には、審査の結果を報告されますので、不適合があった場合は必ずその場で不適合となった理由の詳細を聞いておきましょう。
現地審査指摘事項対応
現地審査の結果で不適合となった点について、是正していきます。
取得の方法について(自社取得・コンサル依頼)
自社で取得する場合も、コンサルタントへ依頼して取得する場合も行う事は変わりません。
一から自社のルールを文書化し、全従業者に対し教育の実施・ルールの徹底など、PDCAを回していくことになるため、長期的な取り組みとなります。
Pマークを自社で取得することももちろん可能ですが、担当者は本来の通常業務と兼任しながらの作業になりますので、多大な負荷がかかります。
更に、Pマークに関しての知識が無ければ、取り組みの段階で様々な問題が発生する事が想定され、結果として取得計画自体が頓挫してしまう事も良く聞きます。
コンサルタントに依頼することにより、
- 何をしなければならないのかといったToDoが明確になり、スケジュールを組み立てることができる。
- 規格でどのようなことが書かれているのかを、コンサルタントから分かりやすい言葉で説明してもらうことができる。
- セキュリティに関する専門的なアドバイスが得られる。
- 豊富な他社事例を参考にできる。
- どのように記載したらいいのか、どのようなルールにすることが望ましいのかといった悩む時間、文書類の作業時間が削減されることにより、担当者の負担が軽減される。
- 文書審査、現地審査後の指摘事項の対応方針の決定や改善対応のフォローをしてもらうことができる。
以上のようなメリットがあります。
もちろんコンサル費用はかかってしまいますが、「整理されたルールが作成できる」、「行うことの明確化」、「スケジュール設定」、「指摘事項に対するアドバイスやフォロー等がもらえる」という観点から、基本的にはコンサルタントに依頼することをオススメします。
弊社でも、Pマーク認証取得コンサルティングサービスを行っています。認証取得にご興味のある方はぜひお気軽にご相談ください。
取得できない企業
企業によっては、Pマークを取得することができない場合がございます。
例えば、以下のような場合が該当します。
- 外国法人である場合
※日本の法律に基づいた日本法人がある場合は問題ありません。 - 役員の方が「暴力団員による不当な行為の防止等に関する法律」の規定に基づき指定暴力団又は暴力団連合に指定された暴力団の構成員である場合
このようなPマークを取得できない制限事項は「プライバシーマーク制度における欠格事項」と呼ばれており、JIPDECのHPにて「プライバシーマーク制度における欠格事項及び判断基準」として公表されています。Pマークをご検討いただく際は、一度目を通していただくと良いと思います。
さいごに
Pマークの取得を考えるならば、コンサルタントに依頼することをお奨めします。
自社取得に試み、結果的にコンサルタントへ依頼したといった経緯もよく耳にしますし、本来の通常業務と兼任しながらのPマーク取得はとても大変です。
より確実に、より企業に合ったマネジメントシステムの構築の手段として、コンサルタントに依頼することを考えてみてはいかがでしょうか。
弊社で行っているPマーク認証取得コンサルティングサービスの実際の事例をご紹介いたしますので、ぜひコンサル選びで迷われている方はご参考にしてください。
