プライバシーマーク(Pマーク)更新申請から実際の審査まで徹底的に解説
プライバシーマークは、取得してから2年間有効となっており、有効期間を延長するには所定の更新申請をして審査を受けなければなりません。本記事ではプライバシーマークの更新申請に必要な費用や書類、さらには申請書送付後の文書審査と現地審査のポイントも含めて徹底的に解説します。
目次
1. 更新申請受付期間
そもそも、プライバシーマークは、いつ更新申請すべきなのでしょうか。
JIPDEC(プライバシーマーク推進センター)によると、プライバシーマークは付与の有効期間満了の8か月前の日から4か月前の日までに更新申請書類を提出しなければなりません。
2. 更新までのスケジュール
以下で詳しく解説しますが、Pマーク更新には時間が掛かるので、上記の更新申請受付期間から逆算して計画を立てることから準備を始めましょう。
こちらが実際のスケージュール例です。
1. Pマークの有効期間を確認し約10ヵ月前から計画を立てる
2. 約9ヵ月前から各種の管理台帳を見直し、また定期的に行うべき教育等を実施する
3. 約6ヵ月前から更新申請に必要な書類を準備する
4. 約5ヵ月前に申請書を送付する
5. 更新申請から約3か月の間、文書及び現地審査を受ける
6. 審査の結果、指摘事項等がある場合は文書で通知されるので速やかに対応する
7. 認証機関とPマーク付与に関する契約を再締結する
8. Pマークの有効期間が2年間延長される
3. 更新に必要な費用
更新に必要な費用をまとめた料金表(2019年10月1日適用)は以下の通りです。
| 新規のとき | 更新のとき | |||||
| 事業者規模 | ||||||
| 種別 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 |
| 審査料 | 209,524 | 471,429 | 995,238 | 125,714 | 314,286 | 680,952 |
| 登録料 | 52,382 | 104,762 | 209,524 | 52,382 | 104,762 | 209,524 |
| 合計 | 314,288 | 628,573 | 1,257,144 | 230,478 | 471,430 | 942,858 |
参照:JIPDECホームページ(https://privacymark.jp/p-application/cost/index.html)
4. 更新申請先
基本的に最初にプライバシーマークを付与された審査機関(JIPDECを含む)に申請書類を提出します。
5. 申請書類の作成
それでは実際にPマーク更新申請に必要な書類について詳しく解説していきます。
5-1. JIPDECに申請する場合
必ず用意する書類
1. 【申請様式1更新】プライバシーマーク付与適格性審査申請書①~③(代表者印の捺印必須)
2. 【申請様式2更新】個人情報保護体制
3. 【申請様式3更新】事業者概要
4. 【申請様式4更新】個人情報を取扱う業務の概要
5. 【申請様式5更新】すべての事業所の所在地及び業務内容
6. 【申請様式6更新】個人情報保護マネジメントシステム文書の一覧
7. 【申請様式7更新】教育・内部監査・マネジメントレビュー実施サマリー(教育・内部監査・マネジメントレビューの実施状況)
8. 【申請様式8更新】前回付与適格決定時から変更のあった事業報告
9. 最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6更新】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。)
10. 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し
11. 上記10に対応する、いわゆる「リスク分析結果」の写し
該当する場合に用意する書類
12. 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を証す公的文書(申請の日前3か月以内の発行文書)の写し
13. 定款の写し
14. 変更報告書(前回の付与契約の締結後に「事業者名、本店所在地」に変更があったが変更報告書を提出していない場合は必須)
任意で用意する書類
15. 教育を実施したことが確認可能な記録一式(「教育計画書」「教育実施報告書」等の運用記録や教材の写し、「理解度確認テスト」等の雛形)
16. 内部監査を実施したことが確認可能な記録一式(「内部監査計画書」「内部監査実施報告書」「内部監査チェックリスト」等の写し)
17. マネジメントレビュー(代表者による見直し)を実施したことが確認可能な記録一式(「マネジメントレビュー議事録」の写し)
18. 会社パンフレット等
以上の準備ができたらJIPDEC宛に申請書類を送付しましょう。
5-2. JIPDEC以外の審査機関に申請する場合
こちらのプライバシーマーク指定審査機関一覧よりご確認ください。
6. 申請書類送付後の流れ
申請書送付後は文書審査と現地審査があります。いずれの審査にも万全の準備を整えて臨めるように以下で詳しく解説していきます。
6-1. 申請・審査料の振込
申請書が受理されると「プライバシーマーク申請・審査料請求書」が送付されます。
指定の口座に申請・審査料を振込んでください。
6-2. 文書審査
申請・審査料の振込が確認されると、まずは文書審査からスタートとなります。
以下の注意事項は特に重要ですのできちんと確認しておきましょう。
1. 個人情報を適切に取り扱う体制を整備していること
例)個人情報保護の管理者が指名されており、個人情報保護についての組織内の責任や役割の分担が明確であること
2. 教育や研修等を通じて個人情報保護マネジメントシステム(PMS)を徹底する措置を2年間実施していること
3. 事業者内部の個人情報保護の状況を監査し必要な見直しが実施されていること
4. 代表者の見直しが実施されていること
5. 個人情報保護に関する相談窓口が常設されており、かつそれが対外的に明示されていること
6. 外部からの侵入または内部からの漏えいが発生しないように事業で使用する個人情報の適正な安全管理措置を講じていること
7. 個人情報保護のための適切な措置を講じていること
例)外部への個人情報の提供や取り扱いの委託を行う際に、責任の分担や守秘に係わる契約を締結している
審査に際して生じた疑義については、別途必要な資料の提供が求められることもありますのでそうならないように万全の準備をしておきましょう。
6-3. 現地審査
次に現地審査となります。
現地審査では、文書審査で生じた疑義の確認と、個人情報保護マネジメントシステム(PMS)に従った体制の整備と運用の確認が丸1日かけて行われます。
交通費、宿泊費、日当については現地審査の費用に関する規程が適用されますが、現地審査は原則として2名の審査員によって行われるため、現地審査に係る交通費、宿泊費等が2名分請求されることに注意してください。
トップインタビュー
所要時間は20分から30分程度で、実際のインタビューの内容は以下の通りです。
1. 申請日から現地審査日までの事故の有無
2. 事業概要と個人情報の関わり
3. 個人情報保護の目的、個人情報保護方針
4. 共同利用、外国の第三者提供等、匿名加工情報、GDPR「補完的ルール」について
5. 個人情報保護体制や委員会等の個人情報保護のための人的資源
6. 貴社における最も心配な点
7. マネジメントレビューを最も直近に実施した日及び経営的観点などから指示した事項
8. 現在の従業員数 申請時との差の有無
9. 申請書の「事業の概要」に記述した事業の売上比率
10. 申請書の「事業の概要」に記述した事業で個人情報を扱う量の多い事業
現地審査で用意する書類
1. 最新のPMS規定文書一式
2. 特定した個人情報、リスク分析、法令等参照する規範、緊急事態に関する記録
①「個人情報管理台帳」など、特定した個人情報を示した帳票
②個人情報を取り扱う際のリスクを認識して分析や対策を講じた記録
③「法規制管理台帳」など、法令、国が定める指針、その他規範を特定したリスト
④緊急事態に備えた連絡体制、また事故発生のある場合にはその記録
3. 個人情報の取得に関する記録規格
A.3.4.2.5(直接書面)により取得した際に明示して同意を得た記録申込書
Web申込時の通知文
採用時の通知同意書
従業員への通知同意書
4. 外部委託に関する記録
①委託先の一覧表
②委託先を評価選定した記録
③委託先との契約書や覚書等(全社分)
5. 開示等に関する記録
開示等の要求に対応した記録
6. 教育(認識)に関する記録
①教育計画書
②受講者一覧を含む教育実施記録
③教育で使用した教材
④受講者の理解度を確認する資料
7. 運用の確認に関する記録
日常的な運用確認の記録
8. 内部監査に関する記録
①内部監査計画書
②内部監査の実施記録
③内部監査で使用したチェックリスト等
④指摘事項を記した代表者への内部監査結果報告書
9. 是正処置に関する記録 「是正処置記録票」等
10. マネジメントレビューに関する記録
①マネジメントレビューの際に見直しの検討のために使用した各種資料
②マネジメントレビューの実施を確認できる記録
③マネジメントレビューの結果として検討した計画や実施施策等の資料
11. 安全管理に関する記録
①入退室記録
②書類や電子媒体の送受信管理記録
③個人情報を発送する際の記録
その他
●組織体制図の概要
●個人情報の取り扱い手順を説明する資料
●ネットワーク構成を説明する資料
●フロアレイアウト
7. 審査結果の通知
文書及び現地審査の結果に基づいて審査結果が通知されます。
審査の結果、指摘事項等がある場合には文書でその旨が通知されるので、指摘事項等の改善が確認されると合格となります。
8. まとめ
いかがだったでしょうか?
プライバシーマーク(Pマーク)更新には申請受付期間内に必要な書類を用意したり審査を受けたり等いくつもの手続きがあり、担当者様のご負担は相応なものになります。弊社では業界No.1の実績を誇るPマーク更新コンサルティングサービスを提供しておりますので、お悩みの企業様・ご担当社様はどうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
