Pマークは自力で取得できる？　その手順を徹底解説

Pマークとは？

そもそもPマークとは何のことでしょうか？

Pマークとは「プライバシーマーク」のことで、事業者が個人情報の適切な保護措置を講じていることを示すマークです。
個人情報が企業の重要な資産である現代社会において、その取り扱いには細心の注意を払う必要があります。
このマークを取得していることで、個人情報を漏えいさせない体制が整った、信用できる企業だと、内外に示すことができます。

Pマーク取得までの流れ

それではPマークを取得するまでの流れを見てみましょう。

Pマーク取得までに必要な期間の目安は6ヵ月です。その期間内に計画の作成と運用、申請書類の作成と提出、審査、そして結果通知と手続きを行います。

Pマーク取得までのスケジュール

まず、上記の流れを意識して具体的なスケジュールを立てましょう。
あくまで一例ですが、Pマークの運用開始を希望するタイミングから逆算して、遅くとも6ヵ月前から指定された個人情報保護を遵守した計画を作成し、その計画をPDCAサイクルで回します。それを2ヵ月間実行したら申請書類を作成し提出して審査に進み、最終的な結果通知と手続きを待ちます。

申請書類の準備

ここではPマーク申請に必要な書類を確認していきます。かなり大変な作業にはなりますが抜け漏れのないように注意して準備しましょう。

①【申請様式1新規】プライバシーマーク付与適格性審査申請書①～③（代表者印の捺印必須）
②【申請様式2新規】個人情報保護体制
③【申請様式3新規】事業者概要
④【申請様式4新規】個人情報を取扱う業務の概要
⑤【申請様式5新規】すべての事業所の所在地及び業務内容
⑥【申請様式6新規】個人情報保護マネジメントシステム文書の一覧
⑦【申請様式7新規】教育実施サマリー（全ての従業者に実施した教育実施状況）
⑧【申請様式8新規】内部監査・マネジメントレビュー実施サマリー
⑨登記事項証明書（「履歴事項全部証明書」または「現在事項全部証明書」）等申請事業者（法人）の実在を証す公的文書の原本（申請の日前3か月以内の発行文書。写し不可。）
⑩定款の写し
⑪最新の個人情報保護マネジメントシステム文書一式の写し（【申請様式6新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。）
⑫個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録（様式ではない）の冒頭1ページの写し
⑬上記12に対応する、いわゆる「リスク分析結果」の写し

出典：一般財団法人日本情報経済社会推進協会（JIPDEC）

さらに、上記以外にも、任意の提出書類が4種類あります。任意書類を事前に提出すると、現地審査当日の審査がより効率・効果的になり、審査の時間短縮につながります。

⑭教育を実施したことが確認可能な記録一式（「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形）
⑮内部監査を実施したことが確認可能な記録一式（「内部監査計画書」、「内部監査実施報告書」、「内部監査チェックリスト」等の写し）
⑯マネジメントレビュー（代表者による見直し）を実施したことが確認可能な記録一式（「マネジメントレビュー議事録」の写し）
⑰会社パンフレット等

出典：一般財団法人日本情報経済社会推進協会（JIPDEC）

申請書類送付後の流れ

申請書送付後は文書審査と現地審査があります。いずれも万全の準備を整えて臨めるように以下で詳しく解説していきます。

①文書審査

文書審査では、受理された申請書類の記載内容等に関して、PMS（個人情報保護マネジメントシステム）等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程に準じた体制整備状況の視点から審査が行われます。

基本的には、「プライバシーマークの付与適格性審査を申請できる事業者」としての条件を満たしていることが必要ですが、特に以下の事項については重要な条件となります。

1. 個人情報保護管理者が指名され、個人情報保護についての組織内の責任、役割分担が明確である等、個人情報を適切に取扱う体制が整備されていること
2. 2年分、個人情報保護マネジメントシステム(PMS)の周知徹底の措置（教育、研修等）を実施していること
3. 2年分、事業者内部の個人情報保護の状況を監査し必要な見直しが実施されていること
4. 2年分、代表者の見直しが実施されていること
5. 個人情報保護に関する相談窓口が常設され、かつそれが対外的に明示されていること
6. 事業の用に供している個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全管理措置を講じていること
7. 外部への個人情報の提供、取扱いの委託を行う際には、責任分担や守秘に係わる契約を締結する等、個人情報について適切な保護措置を講じていること

審査に際して生じた疑義については、別途必要な資料の提供が求められることもあります。

③現地審査

現地審査とは、書類上の審査において生じた疑義の確認及びPMSの通りに体制が整備され、運用しているか等について確認するために終日行われるものです。なお、実際には以下の4つが行われます。

1. 事業代表者へのインタビュー
2. PMS運用状況の確認（ヒアリングによるチェック）
3. 安全管理措置の実施状況確認（実際の個人情報を扱う作業場所でのチェック）
4. 総括・総評

現地審査における注意点として、現地審査では審査料だけでなく、審査員の交通費や宿泊費なども申請者負担となります。現地審査終了後に請求書が送付されるので、到着後は指定の口座に振り込みましょう。入金がない場合、審査中止となる可能性もあるので、入金忘れにご注意ください。

Pマーク取得を成功させるために

さてPマーク取得までの具体的な流れを見てきましたが、ここではさらにPマーク取得を確実に成功させるために忘れてほしくない3つのポイントをご紹介します。

①Pマーク取得にかかる費用

まず以下の料金表をご覧の通り、審査費用だけでも相当な費用がかかります。

料金表（2019年10月1日適用）

出典：一般財団法人日本情報経済社会推進協会（JIPDEC）

助成金の活用

Pマーク取得の費用を抑える方法の1つに、自治体が提供している助成金を活用するというものがあります。例えば、東京都港区では「ISO等取得支援事業補助金」という制度があり、Pマーク取得を対象に助成金を受け取ることができます。

ご自身の自治体にも同様の助成金制度があるかどうか確かめてみましょう。

②継続的なPMSの運用

PMSとは「個人情報保護マネジメントシステム（Personal Information Protection Management Systems」）のことで、Pマークが付与された事業者は個人情報を安全に管理する体制を整えて継続的に運用することが求められます。基本的には「計画（Plan）」「実施（Do）」「点検・評価（Check）」「改善（Act）」の「PDCAサイクル」によってPMSの運用と改善を毎年繰り返し行います。
2年に1度は審査があり、それまでの2年分の記録を開示しなければなりません。したがってこのPMS運用を怠っていると最悪の場合、せっかく時間とお金をかけて苦労して取得したPマークが剥奪されるという事態にもなりかねませんので注意しましょう。

③個人情報保護体制の整備

Pマーク取得の際の審査で重要なのは単なるツール導入ではなく個人情報保護のためのルールとそれをきちんとチェックするセキュリティ体制です。上記のPMS運用も意識した個人情報保護体制を整備していきましょう。

Pマーク取得のメリット

最後にPマーク取得のメリットについて確認しておきましょう。
個人情報を厳重に取り扱う会社の証として社会的な信頼性が得られるPマークですが、具体的にどのようなメリットがあるのでしょうか。

①潜在的なビジネスチャンスの増加

先方との取引や、官公庁の入札条件として、Pマークの取得が必須になっていることもあります。
そのためPマークを取得しているだけでビジネスチャンスが増える可能性があります。

②企業の信頼度の向上

Pマークの普及が進むとともに、その知名度はますます上がってきており、今や一般消費者も知る言葉となりました。
そんな中でPマークを取得していることを社外に向けてアピールすることで、企業・消費者からの信用を得ることができます。

③個人情報保護体制の整備

Pマークの取得にあたり、「個人情報保護マネジメントシステム（PMS）」を構築する必要があります。
マネジメントシステムを構築することで、企業自身が厳しい管理をした上で、個人情報を活用することになるため、漏洩リスクを抑えることができます。

まとめ

ここまでPマークを自力で取得するための方法を解説してきました。
Pマークの審査を突破するには入念な準備が大切ですので、取得までのスケジュールを確認して早めに対策を練られることをおすすめします。
Pマークの取得には申請受付期間内に必要な書類を用意したり審査を受けたり等いくつもの手続きがあり、担当者様のご負担は相応なものになります。弊社では業界No.1の実績を誇るPマーク取得コンサルティングサービスを提供しておりますので、お悩みの企業様・ご担当社様はどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。