Pマーク(プライバシーマーク)の取得は、個人情報保護の重要性が高まるなかで、企業や団体にとって大切なステップです。取得することで、個人情報の適切な取り扱いを実践していることを証明でき、信頼性が向上します。しかし、取得にはいくつかの手順や準備が必要です。
本記事ではマークの取得方法や所要期間・費用について解説します。また、Pマークを取得するメリットについても紹介するため、取得をご検討の方は、ぜひ参考にしてください。
Pマークの取得方法
Pマーク(プライバシーマーク)とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営する認証制度で、個人情報を適切に管理していると評価された事業者に与えられるマークです。
ここでは、取得対象となる条件や流れについて解説します。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマークとは」
(https://privacymark.jp/system/about/index.html)
Pマークの申請対象となる条件の確認
まず、Pマークを取得できる事業者の条件を確認しましょう。Pマークを申請できるのは、日本国内に活動拠点を持つ事業者で、付与は法人単位となります。また、申請には以下の条件を満たしている必要があります。
・個人情報保護マネジメントシステム(PMS)の構築
「JIS Q 15001 個人情報保護マネジメントシステム—要求事項」に基づき、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に沿ったPMSを定めていること。
・PMSの適切な運用
構築したPMSに基づき、個人情報を適切に取り扱うための体制が整い、運用が実施できていること。
・従業員の要件
PMSを適切に運用するために、社会保険・労働保険に加入している正社員、または登記上の役員(監査役を除く)が2名以上いること。これは、個人情報保護管理者と個人情報保護監査責任者をそれぞれ1名ずつ配置する必要があるためです。
このように、Pマークの申請には事業の規模や運用体制が一定の基準を満たしていることが求められます。
また、例外的に医療法人等例外的な条件が設けられているケースもあるため、注意しましょう。対象となるのは医療法人と学校法人で、それぞれ特別な条件が設定されています。
医療法人の場合
- ・病院組織として構成されていること
- ・病院の運営権限を持つ病院長がいること
- ・病院組織が地域ごとに分散していること
学校法人の場合
- ・学校法人を構成する学校であること
- ・学校の運営権限を持つ学校長がいること
- ・学校の種類が異なり、それぞれが個人情報を独立して管理・運営していること
- ・Pマーク取得に必要な設備が整っていること
これらの要件を満たすことで、医療法人や学校法人もPマークを取得できる可能性があります。
ただし、Pマークの取得対象外となるケースもあります。取得できない事業者には、外国会社や反社会関係事業者、または風俗営業関係事業者等が欠格に該当するケースなどがあげられます。
また、申請不可期間にも注意が必要です。プライバシーマークの付与契約の取り消しを受けた場合は、1年間申請不可となります。虚偽の申請があったり、打ち切りがあったりした場合にも、1年間申請不可となるため注意しましょう。
このほか、審査機関から適格性を有しないと決定された場合には3か月の不可期間が定められています。また、個人情報の外部への漏えい等の事故等が発生したことにより、付与機関からプライバシーマーク付与の一時停止がなされた事業者については、一時停止が終了するまで取得対象外となります。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「申請資格」(https://privacymark.jp/p-application/qualification.html)
PMSの構築
Pマーク取得には、方針を決定し、PMSの構築と文章の作成を行わなければなりません。PMSとは「個人情報保護マネジメントシステム」のことです。まずはPマーク取得に向けての方針を決定し、社内での意識づけを行います。
Pマーク取得の担当者を決めて、PMSの構築から取得までの企画作成や社内規定の決定を行います。構築から取得までスムーズに行うために、おおむねの取得目標日程を設定しましょう。考えられるリスクへの対策決定も行います。
次にPMS(個人情報保護マネジメントシステム)文章を作成しましょう。作成を要する文章は、個人情報保護マニュアルのほか、安全管理規定や個人情報保護方針などです。文章作成が完了したら、構築を行います。「JIS Q 15001」に記された要求事項に基づいて構築を行いましょう。
PMSの運用
PMS(個人情報保護マネジメントシステム)文章の作成・構築が完了したら、組織内で運用を開始します。運用は、PCDAサイクルに基づき行うのが通例です。
PDCAとは、P(プランの作成)D(実行する)C(チェック・点検を行う)A(改善する)を意味しており、さまざまなマネジメントシステムで活用されている運用方法です。Pマーク取得のためのPMS運用では、最低でも1回はPDCAサイクルを回さなければいけません。実際に運用を行い、状況などを記載します。
なお、Pマーク取得のための審査では、リスク分析や委託評価記録、マネジメントレビューなどの書類の提出が求められるため、しっかりと作成しましょう。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「審査基準と構築・運用指針」(https://privacymark.jp/guideline/outline.html)
教育・内部監査の実施
運用を実施したあとには、従業員への教育とともに内部監査を実施する必要があります。業務に携わる従業員に対して、教育や研修の計画書を作成し、実際に教育内容などの記録を行いましょう。なお、教育記録は、取得時に提出が求められます。
次に、PMSの運用について組織内で内部監査を行います。内部監査の計画書を作成して、正しく運用できているかどうかを内部監査にて審査します。この時点で問題が見つかった場合は、この時点で改善しなければなりません。
Pマークの申請
PMS文書や運用記録などといった必要書類がすべてそろい、PMSの構築・運用が完了したら、Pマークの取得申請を行います。申請方法はオンラインと郵送の2種類があり、必要書類が異なるため、以下サイトをご確認ください。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「Pマーク申請・報告書類」(https://privacymark.jp/p-application/download/p-document/index.html)
あらかじめ申請書類の提出先を決めておくと、よりスムーズに申請できるでしょう。
また、事業者の業種や、会員になっている審査機関の有無、本社の登記所在地によって申請書類の提出先が変わります。以下サイトをご確認ください。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「申請先」(https://privacymark.jp/p-application/submission.html)
審査
Pマークの取得申請後は、形式審査と書類審査、さらに現地審査が実施されます。形式審査を経て、書類審査が行われます。書類審査合格後には、現地審査が実施されるという流れです。
申請料の入金が確認された後、申請内容に不備がないか、また申請資格を満たしているかが形式審査されます。もし記載内容に不備があった場合は、修正や再提出が求められることがあります。
次に、文書審査が行われます。この審査では、個人情報保護マネジメントシステム(PMS)に関する規程や運用体制が適切に整備されているかを文書上で確認します。もし審査基準を満たしていない点があれば、現地審査までに改善するよう求められます。
文書審査が完了すると、現地審査の準備が進められます。主任審査員が申請事業者と日程を調整し、実際に訪問してPMSの運用状況や文書審査で指摘された点を直接確認します。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「形式審査~文書審査」(https://privacymark.jp/p-application/new/document/documentary_examinatio.html)
現地審査では「JIS Q 15001」に基づいたPMSの構築と運用ができているかが評価されます。必要であれば、追加の書類提出を求められることもあります。
現地審査では、体表者へのインタビューや安全管理措置に関する評価も実施されます。現地調査の最後には、PMS改善の必要事項の有無などが説明されます。現地審査の結果、不適合な箇所が見つかった場合は、指摘事項が記載された文書が申請事業者に送付されます。
指摘事項に関する文章を作成して提出します。指摘事項がなければ、審査会にてPマークの付与定格が決定されます。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「現地審査」(https://privacymark.jp/p-application/new/document/on_site_review.html)
Pマーク取得
Pマークの審査が終了すると、審査結果の通知が届きます。取得が認められた場合は、「プライバシーマーク付与契約」を締結する必要があります。
Pマークの申請は、JIPDECまたはその他の審査機関で行うことができます。ただし、Pマークには2年間の有効期限があり、取得後も定期的な更新が必要です。
更新審査の申請期間は、取得満了日の8か月前から4か月前までと定められています。更新審査では、新規取得時と同様に書類審査と現地審査が実施されます。ただし、更新審査中に有効期限が切れた場合でも、即座にPマークが失効するわけではありません。
このように、Pマークは取得後も継続的な運用と更新が求められます。日々の管理体制を維持し、更新審査の準備をしっかりと進めることが重要です。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「付与後の手続き」(https://privacymark.jp/p-application/decision/index.html)
Pマーク取得までに発生する所要期間・費用
ここでは、具体的にPマークを取得するために必要な期間や費用について解説します。
所要期間
Pマークの取得には、事前準備であるPMS(個人情報保護マネジメントシステム)の構築と運用期間、申請・調査にあたる審査対応期間、認定・使用に当たる認定後の対応期間の3つのプロセスがあります。
事前準備では、企業の現状分析のほか、個人情報保護方針の策定や従業員への教育などを行わなければなりません。PMSの構築だけでなく運用も必要となるため、おおむね3か月から6か月の期間が必要となるでしょう。
申請・審査期間では、書類審査のほか、現地審査のスケジュール、さらに是正対応も必要です。おおよそ6か月から1年程度かかるとされています。審査に合格してから付与までにかかる期間は1か月程度です。
3つのプロセスを合計すると、Pマーク取得の所要時間は10か月から1年半かかるとされています。なお、専門知識を持つコンサルタントを活用すれば、最短6か月での取得も可能です。
費用
Pマーク新規取得には、申請料・審査料・付与登録料の3つの費用がかかります。新規でかかる料金は以下のとおりです。
| 小規模 | 中規模 | 大規模 | |
|---|---|---|---|
| 申請料 | 52,382円(税込) | 52,382円(税込) | 52,382円(税込) |
| 審査料 | 209,524円(税込) | 471,429円(税込) | 995,238円(税込) |
| 付与登録料 | 52,382円(税込) | 104,762円(税込) | 209,524円(税込) |
| 合計 | 314,288円(税込) | 628,573円(税込) | 1,257,144円(税込) |
また、Pマークは更新時にも費用がかかります。新規取得はもちろん更新時にも費用の準備が必要となります。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「費用」(https://privacymark.jp/p-application/cost/index.html)
Pマークを取得するメリット
ここでは、Pマークを取得するメリットについて解説します。
社外へ信頼性をアピールできる
Pマークの取得は第三者機関により審査を受け、PMS(個人情報保護マネジメントシステム)が適切に運用されていることの証です。そのため、社外への信頼向上につながります。
さらにPマークを取得するとHPや名刺などにも記載できます。そのため、企業同士の取引はもちろん、消費者のアピールにもなるでしょう。企業価値を高められるだけでなく、競合他社との差別化にもつながり、ビジネスチャンスの拡大の期待もできるでしょう。
情報漏えいのリスクを軽減できる
Pマークの取得には、企業内への周知を行いPMS(個人情報保護マネジメントシステム)を構築、運用するなど、さまざまな工程が必要となります。さらに、適切な運用を行うために従業員への教育も必要となるでしょう。また、個人情報管理についてマニュアル化も行わなければなりません。
教育やマニュアル化によって社員ひとりひとりの意識の向上が期待できるでしょう。これは社内全体の情報漏洩のリスク軽減につながるといっても過言ではありません。
参加できる入札案件が増える
入札案件では、Pマークの取得を条件としているケースもあります。どれだけ素晴らしいサービスを展開していても、Pマークを取得していなければ取引できないケースもあります。
しかし、Pマークを取得していれば、このような案件の入札に参加できるようになるでしょう。また、Pマークを持っている企業と持っていない企業で比べた場合、安心材料としてPマークを取得している企業が選ばれやすくなります。
取引先からの信頼を向上させるだけでなく、新規案件獲得をスムーズにするという大きなメリットがあるでしょう。
Pマークの取得状況
近年、個人情報漏えいなどの問題の深刻化により、個人情報保護への意識が高まっています。これにともない、企業内でのPマーク取得への動きが高まっています。取得企業は、増加傾向にあり、今後も取得件数の増加が予想されるでしょう。
また、Pマークを取得している業種にはさまざまなものがあります。最後に、JIPDECの「プライバシーマーク付与事業者情報(2024年9月30日版)」を参考にPマークの取得企業数と実際に取得している業種について紹介します。
自社でPマーク取得を検討されている方はぜひ参考にしてください。
出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマーク付与事業者情報(2024年9月30日版)」(https://privacymark.jp/certification_info/data/g7ccig0000000gll-att/pmark_data_20240930.pdf.pdf)
Pマークの取得企業数
2024年9月30日時点で、17,766もの企業がPマークを取得しています。1998年度はわずか58社でしたが、2004年には1,000社を超え、さらに、2008年には10,000社を超えています。
取得まで一定の機関や費用がかかるものの、新たなビジネスの獲得や企業の信頼向上、社内での情報漏洩へのリスク軽減など、メリットも大きく、現在も多数の企業がPマーク取得に取り組んでいます。
Pマークを取得している業種
Pマークはさまざまな業種が取得しています。なかでも全体の70%以上を占めているのが、サービス業です。サービス業では個人情報を取り扱う機会が多く、Pマークを取得していることは、直接的なアピールポイントとなるからと考えられるでしょう。
サービス業のなかでもPマークを取得している業種とされているのが、情報サービス・調査業です。情報サービス・調査業では大量の個人情報を取り扱います。個人情報を適切に管理して保護することは、情報サービス・調査業では欠かせない項目といえるでしょう。
このほか、飲食料業や運輸・通信業、製造業でも多くの企業がPマークを取得しています。
こちらの記事では、Pマーク入りの名刺を使うメリットついて解説しています。ぜひあわせてご覧ください。
Pマークを取得するメリットとは?取得費用や方法も紹介
Pマークを取得するメリットとは?取得費用や方法も紹介
こちらの記事では、Pマークを取得するメリットを解説しています。取得費用や方法も紹介しているので、ぜひあわせてお役立てください。
まとめ
Pマークを取得するには、社内で個人情報保護マネジメントシステム(PMS)を構築・運用するだけでなく、従業員への教育や内部監査も実施しなければなりません。申請には6か月から1年半かかるとされており、申請費用も必要となるでしょう。
Pマークを取得することで、顧客様や取引先からの信頼を得るだけでなく、新たなビジネスチャンスにつながるという大きなメリットもあります。また、Pマークのロゴは名刺などに記載できます。
プリントバーンは、7,000社以上の導入実績を持つWEB名刺発注システムです。スピーディーかつ正確な校正と発注までの作業をすべてWEBのシステム上にて完結するシステムで、名刺作成における管理業務を効率化し、コスト削減にも貢献します。
名刺用紙の種類も多数ご用意し、安心のカスタマーサポートでデザイン変更なども迅速に対応いたします。ご相談も承っておりますので、ぜひお気軽にお問い合わせください。
