プライバシーマーク(以下、Pマーク)は、個人情報の標準を満たすルールを定めて守っている企業に対して与えられるマークです。
このPマークの取得によりもたらされるメリットや、取得の際の注意点など、初めてPマークに取り組む会社にもわかりやすいガイダンスをまとめました。ダウンロード資料と合わせてご活用ください。
Pマークとは
Pマークとは、JIS Q 15001の要求事項を満たしたマネジメントシステムを構築し、運用していることが第三者によって認められた証となります。
つまり、日本産業標準調査会で制定した個人情報保護の標準を満たすルールを定め、守っている状態ということです。守っていることにより、企業にはさまざまなメリットが生じます。
守っていることの「お墨付き」がPマークです。
Pマークを取得するメリット
Pマークを取得すると、「個人情報保護の標準を満たした」との第三者からの客観的な評価がなされたことになるので、企業にはさまざまなメリットがもたらされます。メリットを具体的に見ていきましょう。
個人情報取り扱いについて消費者へ信頼感を与えられる
消費者にとっては、その企業が個人情報を保護するための取り組みを行っているのか、個人情報を預けても問題がないのかといった一つの判断基準にすることができます。
Pマークの取得は、BtoCビジネスに取り組んでいる企業にとっては、ビジネス・収益上プラスの効果がもたらされることとなります。
取引先に個人情報取り扱いについての品質をアピールできる
企業にとっては、取引先として信用することができるのかどうかといった点に大きく関わってきます。
特に大手企業による多額の発注など、重要な取引では、取引先の調査が行われたり、アセスメントが実施されたりします。
また、委託先などで個人情報の処理を委託する場合、個人情報を普段から適切に取り扱っているのか、従業員には個人情報保護教育をしっかりと行っているのかなどといった心配があると思いますが、Pマークを持っていれば必ず実施しているため、安心して委託することができるというわけです。
Pマーク取得を条件とする入札案件に参加できる
公共案件でも有利です。
例えば、官庁等の一般競争入札などといった入札の条件としてPマークを持っているかどうかが問われることが多く、持っていることで有利に進めることができます。
Pマークを持っている企業と持っていない企業であれば、Pマークを持っている企業のほうが個人情報を安心して預けることができるからです。
Pマークを取得する際の注意点
Pマークの要求事項は、文書化されており、文書に記載された要求事項を満たすと取得できることが基本です。
しかし、JIS Q 15001の要求事項に明示的に書かれていない内容であっても、審査を担当した審査員が推奨するセキュリティルールを満たしていない場合、ルールとして制定するよう求められることがあります。
規格ですので、本来あってはならないのですが、実際には審査員に影響されることがあることには注意が必要です。
また、あくまでJIS規格であり、ISO(国際基準)ではないため、海外では特に優遇されることはありません。
国際取引が多い企業などは、ISO27001(ISMS)を取得することの方が取引上のメリットが多いでしょう。
PマークとISMSの違い
PマークとISMSは時として混同されがちですが、日本の規格か国際規格か、の違いのほか保護対象・取得範囲などに違いがあります。
| Pマーク | ISMS | |
|---|---|---|
| 準拠している規格 | 日本産業規格 JIS Q 15001 | 国際標準規格 ISO 27001 |
| 取得範囲 | 会社全体(法人単位) | プロジェクト、部門・部署単位でも取得が可能 |
| 保護対象 | 個人情報 | 取得範囲の情報資産 (個人情報を含む) |
| 更新 | 2年ごと | 3年ごとに更新審査 1年ごとに維持審査(更新審査の年は含まない) |
PマークとISMSの違いや審査の流れについてより詳細にご存じになりたい方は、こちらもご参照ください。
Pマーク取得にかかる期間
Pマーク取得には、準備期間が必要です。
まず、実際に運用している期間が必要となりますが、取得までの間に、マネジメントシステムを構築し、3ヶ月程度運用していることが想定されます。
その後、申請⇒審査⇒審査通過を経て7~8か月程度が平均的な取得期間とされています。
中には例外もあります。親会社の一部の業務が子会社化されて、親会社の従業員が子会社の従業員として働く場合など、個人情報保護マネジメントシステムを運用していたという実績がある場合です。
この場合、1ヶ月程度の運用で新規取得のための申請を行うといった前例があります。
この場合であれば、現地審査では親会社での運用の記録も必要となるため、親会社の運用記録の準備が必要です。
Pマーク取得にかかる費用
Pマーク取得の際には、審査費用、その他必要に応じてコンサル費用・社内ルール変更に必要な諸費用の支出が必要となります。
どれくらいの費用を掛けたら取得できそうか、事前の見積もりも外部のコンサルタントに相談するとより把握しやすいものです。
- 審査費用
- コンサル費用
- 社内ルール変更に必要な諸費用
もう少し具体的に各費用について見ていきましょう。
審査費用
Pマークでは審査費用は事業規模によって予め決まっています。
そこで、審査費用が不明な方は、自社がどの規模に分類されるかご確認ください。
このページから自社の規模を確認後、以下の規模毎の審査費用を確認していただければ、自社におけるPマークの審査費用が把握できます。
コンサル費用
コンサルタントに Pマーク取得のコンサルティングを依頼した場合は、コンサルティング費用が必要になります。
自社のみで取得する場合と比べると作業負担を圧倒的に軽減でき、取得までの期間も短縮できるメリットがあります。
コンサルタントは希望すれば運用前の段階から依頼でき、会社の状況に合わせて取得までのサポートを行います。
料金は大体30万円~100万円あたりが相場になっています。
かなり料金にばらつきがありますが、「費用が高い=良いサービス」とは限りませんので、気になった場合は営業の方にお話しを聞き、サービス内容や自社ですべき作業などを聞くのがいいでしょう。
また、「担当コンサルタントの方と1度お話させていただきたい」旨をお伝えすると、面談可能な企業がほとんどだと思いますので、依頼前に「どういったコンサルタントなのか?」という雰囲気や人柄を確認することもオススメです。
社内ルール変更に必要な諸費用
Pマーク取得活動を行う上では、社内ルールを変更することや、備品の購入や、ルールの教育にコストをかける必要があります。
また、これを機会にシステムを更新するなどの費用がかかる場合もあります。
会社の実情に応じた費用が係るので、費用は一概には言えませんが、人件費・備品代などを事前に見込む必要があります。
Pマーク取得までに対応する内容
Pマークを取得するには、規格の要求事項を満たす必要があるので、さまざまな対応事項が発生します。その内容を一つずつ見ていきましょう。
個人情報保護マネジメントシステム(PMS)の確立
Pマーク取得のためには個人情報保護マネジメントシステムを確立する必要があります。
社内の規則を遵守して、個人情報の機密性・完全性・可用性を保持し、継続的に改善するための会社の仕組み作りが必要になるのです。
PMSの仕組みは、基本的に「計画(Plan)」「実施(Do)」「点検・評価(Check)」「改善(Act)」から成る「PDCA サイクル」によるものです。
個人情報保護方針を定め、代表者をはじめとした社内の体制を整備、PDCAサイクルを実施します。
そのためには、個人情報の特定・棚卸、リスクアセスメントと対策を立てます。
点検や評価、改善のための具体的な行動も、会社の規定や手順書に定めて、実行しなければなりません。
PMSを活用して社内プロセスのPDCAサイクルを回す
Pマークの審査を受けるための申請を行う前に、PMSによって定められたルールを順守した運用、教育、内部監査など、本来1年間を想定して回すPDCAを一通り行います。
自社に適したマネジメントシステムを構築できているかの確認とできていなかった場合に修正することが必要です。
PMSに従い、業務を行ったこと・評価・その後の改善策の立案・実行を記録することも審査の際に利用するので重要です。
Pマーク審査の申請
Pマーク付与適格性審査の申請を行います。
申請書類を作成し、PMSを1年間運用した業務記録や研修記録などを準備しておきます。
申請ではありますが、同時に構築したマネジメントシステムが JIS Q 15001:2017に準拠した内容になっているのかどうかの確認、及び文書化されたルール、運用の実績を確認されます。
現地審査
書類だけはキチンとしたものであっても、実際に社内でPMSが行われているか、現地審査で確認しないと検証は不足となります。
そこで、実際に、審査員の方が来て、業務を行っている現場でルールが守れているのか、記録はしっかりと取れているのかといった確認を行います。
現地審査では、定めたルールを守れていなかった、JIS Q 15001:2017に準拠していなかった、法令などに違反していたといったものは不適合となります。
また、本来あってはなりませんが、審査を担当した審査員個人が推奨するセキュリティルールを満たしていない場合に不適合となることもあります。
対策として、現地審査の最後には、審査の結果を報告されますので、不適合があった場合は必ずその場で不適合となった理由の詳細を聞き、次回の審査に備える必要があります。
指摘事項対応
現地審査の結果で不適合となった点について、是正していきます。是正策を記録することも必要です。
Pマーク取得はコンサルタントへ依頼すると効率的
自社で取得する場合も、コンサルタントへ依頼して取得する場合も行う事は変わりません。
一から自社のルールを文書化し、全従業者に対し教育の実施・ルールの徹底など、PDCAを回していくことになるため、長期的な取り組みとなります。
しかし、自社ですべてを対応することには限界もあります。
まず、担当者は本来の通常業務と兼任しながらの作業になりますので、多大な負荷がかかります。
更に、P マークに関しての知識が無ければ、取り組みの段階で様々な問題が発生する事が想定され、結果として取得計画自体が頓挫してしまう事も良く聞きます。
せっかくの取り組みを無駄にしないためには、コンサルタントの活用がおすすめです。
実際コンサルタントに依頼すると、以下のようなメリットがあると考えられます。
- 経験と知識が豊富なコンサルタントに依頼することにより、何をしなければならないのかといったToDoが明確になり、スケジュールを組み立てることができる。
- 規格でどのようなことが書かれているのかを、コンサルタントから分かりやすい言葉で説明してもらうことができる。
- セキュリティに関する専門的なアドバイスが得られる。
- 豊富な他社事例を参考にできる。
- 文書や、記録にどのように記載したらいいのか、どのようなルールにすることが望ましいのかといった悩む時間、文書類の作業時間が削減されることにより、担当者の負担が軽減される。
- 文書審査、現地審査後の指摘事項の対応方針の決定や改善対応のフォローをしてもらうことができる。
コンサル費用はかかってしまいますが、「整理されたルールが作成できる」、「行うことの明確化」、「スケジュール設定」、「指摘事項に対するアドバイスやフォロー等がもらえる」という観点から、トータルコストはかえって合理的であることが考えられます。
そのため、基本的にはコンサルタントに依頼することをオススメします。
LRMでは、訪問回数無制限、取得 100%のPマーク取得コンサルティングを実施しています。
まずはお気軽にご相談ください。
Pマークを取得できない企業
企業によっては、Pマークを取得することができない場合があります。
例えば、以下のような場合が該当します。
- 外国法人である場合
外国法人の支店・営業所は取得できません。これに対して、日本の現地法人として日本の法令に基づき設立された会社等の法人がある場合は取得が可能です。 - 役員の方が「暴力団員による不当な行為の防止等に関する法律」の規定に基づき指定暴力団又は暴力団連合に指定された暴力団の構成員である場合
このようなPマークを取得できない制限事項は「Pマーク制度における欠格事項」と呼ばれており、JIPDECのHPにて「プライバシーマーク制度における欠格事項及び判断基準」として公表されています。
Pマークをご検討いただく際は、一度目を通していただくと良いと思います。
まとめ
Pマークの取得には、会社が信頼を獲得し、入札や取引を有利に進められるなどのメリットがあります。
取得には、PMS(個人情報マネジメントシステム)の導入および運用も含め、標準的には7-8か月の期間を要します。
その間に、要求事項を満たすようにPMSを運用し、取得審査を実際に受けることが必要です。
要求事項に対応するには、なかなか自社だけで対応することが難しいケースもありますので、経験豊富なコンサルタントを活用することがおすすめです。
だけで対応することが難しいケースもありますので、経験豊富なコンサルタントを活用することがおすすめです。
