Pマーク取得を委託する場合

プライバシーマーク（Pマーク）を取得するためには、自社で自ら社内規定を作成し取得を目指す方法と、「プライバシーマーク取得支援サービス」などを活用し、これまで企業の取得をサポートした実績のあるコンサルタントなどのアドバイスを受けながら、ある意味、社員への個人情報保護に関する教育などは一部委託する形で取得を目指す方法の2通りがあります。

自社で取得を目指す場合には、その知識や努力は事業所や組織の財産となっていくメリットがある反面、膨大な労力と知識、時間が必要となってきます。

また、ほとんどの企業ではマーク取得のために専任の担当者を配置することができないため、担当者の日常的な業務の効率が落ちてしまうというデメリットがあります。

コンサルタントに委託を行えば、もちろん費用も発生することになりますが、半年程度でスピーディな取得が可能となるうえに、自社の規模や業務内容に合った適切な管理体制を構築することができ、スムーズな運用が可能となります。

そのため、取引先などからマークの取得を促されている場合などには事業拡大も速やかに行うことができますので、結果的にはコンサルタント料金を支払う方が大幅にコストを削減することができたという企業も多く見られます。

Pマーク申請まで

プライバシーマーク（Pマーク）を取得する際には、申請までにもさまざまな準備が必要となってきます。

まず、社内のすべての部署で取り扱っている個人情報を洗い出し、情報の利用目的や、その媒体が紙であるのか、あるいはデータであるのか、また入手の経路や利用する部署名、保管している場所期間や期間、廃棄の方法などを記載した「個人情報管理表」を作成します。

また、情報を管理・利用するにあたって起こりうるリスクについて想定したうえで、安全対策を検討し、その方法について具体的な文書にし、社内規定とします。また、それらの作業と並行して、情報を実際に取り扱う社員に対して、個人情報保護についての教育も行わなければなりません。

どんなに高価なセキュリティシステムを導入しても、運用の要である社員に根本的な理解がなければ意味がありません。

教育を実施するとともに、実際に社員は文書化された社内規定に従って、個人情報の取り扱いや管理方法などを運用していき、無理のない規定であるかどうか修正や変更などを行います。

また、運用が開始されて数週間を経過したら、監査責任者は運用の状況について点検や監査を行い、運用中に生じた問題がないか、改善すべき箇所についての提案など、事業者の代表者による見直し作業をしなければなりません。

このように、プライバシーマークとは、申請書に記入捺印をして、申請をすればすぐに取得ができるというような制度ではなく、実際に規定の文書が作成されたうえで、社員の教育や監査、見直しなど、実際の運用が滞りなく実施された記録が揃って、初めて申請が可能となります。

Pマークの費用と流れ

プライバシーマーク（Pマーク）の申請を行い受理されたら、申請書類の中の規程が「JISQ15001」に準拠しているか審査が行われ、受理から約１ヵ月前後で、審査機関から事業者の元へ審査結果が送られてきます。

その後、担当している審査員から連絡が入り、代表者へのインタビューや個人情報保護管理者および監査責任者へのヒアリングなどのほか、実際に個人情報を扱っている部署の実施状況などの確認が行われ、総合評価や指摘事項の確認が実施されます。

改善箇所があれば、改善報告書を提出し、その後、審査機関内で有識者を交えた判定会議が行われ、正式に付与が決定されるというのがおもな流れになります。

マークの付与が認められたら、付与機関である「JIPDEC」からプライバシーマーク使用許諾契約書と使用許諾料の請求書が届き、晴れてプライバシーマーク認定事業所となることができます。

マーク取得に伴う費用は、事業所の規模によっても異なり、小規模事業所の場合は、申請料51,429円、審査料205,715円、付与登録料51,429円の合計308,573円、中規模の場合は、申請料51,429円、審査料462,857円、付与登録料102,858円の合計617,144円、大規模の場合には、申請料51,429円、審査料977,142円、付与登録料205,715円の合計1,234,286円となっています。

もちろん、コンサルタントに委託を行う場合には、別途コンサルタント料が発生することになりますが、自社で取得を目指すよりも、圧倒的にスピーディな取得が可能となります。

Pマークの更新について

プライバシーマーク（Pマーク）とは、取得することがゴールではなく、あくまでスタートラインに立ったに過ぎません。

マーク取得後には、2年後の更新審査に向けて、社内で個人情報を保護するPMS（個人情報保護マネジメントシステム）を PDCAサイクルで継続的に運用していかなければなりません。

PDCAサイクルとは、典型的なマネジメントサイクルのひとつで、P＝plan（計画）、D＝do（実行）、C＝check（見直し、評価）、A＝act（改善）の一連のプロセスを順に実施していくことで、品質の維持や向上、および継続的な業務の改善活動を推進させていく手法です。

更新の申請は、有効期間が満了となる8ヶ月前から4ヶ月前までの4ヶ月間に更新申請を行い、その際には、プライバシーマーク制度が要求する1年に1回以上の教育と監査、つまり2年分の実績を提出しなければなりません。

法令一覧や個人情報、リスク分析などの資料の見直しを定期的に行い、最低1年に1度実施しなければならない、社員への個人情報保護の教育や内部監査、代表者による見直しなども必要となります。

また、本人へ個人情報の取得の同意や開示の対応などのほか、新入社員が入社するタイミングでは個人情報保護に関する教育も行わなければなりません。

取得までであれば、なんとか自社で乗り切ることができたという場合でも、その後の運用や社員教育、運用方法の見直しや改善、安定した運用など、更新を視野に入れた場合には、自社だけでの対応では限界があるのも事実です。

もしも「現状の運用が上手くいっていない」、「もっとスムーズな運用を目指したい」という場合には、「プライバシーマーク取得支援サービス」などを活用されることをおすすめします。

プライバシーマーク（Pマーク）を取得した場合の最大のメリットは、企業間取引を行なう場合の信用拡大であると言われています。

個人情報保護法では、業務を委託する企業の監督責任を負うことも義務となっていますので、最近は大手の企業のほとんどが、委託先にもプライバシーマークの取得を促しています。

実際に、官公庁などの入札条件や大企業の外注先の選定基準の条件としてマークの認証取得を要件化しているところも多く、社会のグローバル化やコンピュータの普及に伴い、今後はさらに厳しくなっていくでしょう。

また、取引先や顧客、消費者からの信頼拡大だけでなく、マークの取得活動を行うことで、社内の規定が整い、定期的に新鮮な状態が保たれるため、社員の個人情報保護に対する意識の向上が見込めます。

情報漏洩のおもな原因は、ヒューマンエラーであり、ほとんどが社員の無頓着な対応や不注意などによって事故が起こっています。

マークを取得するためには、社内全体一丸となって対応しなければ取得することはできませんから、従業員の意識向上には大きく寄与するでしょう。

とはいえ、社内全体に常に最新の情報を浸透させて、それを維持していくことは自社の力だけでは、偏りが生じるのも事実です。

コンサルタントのセミナーなどを上手に利用し、常に社内に安全管理の大切さを発信していくことが大切です。