Pマーク取得までの流れ
Pマークの取得までは、一定のフローを踏むことになります。具体的な流れを見ていきましょう。なお、こちらはあくまで一般的な流れとなっているため、お客様の状況等によって変更になる可能性もございます。あくまで参考としてご覧ください。

STEP1.個人情報の特定・保護ルール明文化
再確認した業務内容から、個人情報に関わる部分を洗いだし、取り扱っている個人情報を特定します。業務フローに沿って個人情報を洗い出すことで、既に必要なくなってしまった個人情報を見つけることができます。
取り扱っている個人情報では「いつ」「どのような」リスクが生じてくるのかを検証すると同時に、リスクを回避するためのルールづくりも行っていきます。列挙したリスクは表にして管理します。
STEP2.各種規程作成、従業員への周知・教育
明文化した個人情報保護ルールから、社内で取り組むべき個人情報の取り扱いに関するガイドラインを作成します。ここでは個人情報に関する責任の所在を明らかにすることも重要です。セキュリティ関連の記録方式の決定もあわせて行います。
規程内容は従業員へと周知を行い、また、教育を徹底します。教育実施方法に関する決まりは特にありません。個別・集団教育、E-ラーニングなど、企業に合った形式をとることが望ましいです。
STEP3.監査・是正、代表による見直し
規程内容に沿った個人情報の取り扱いを開始します。作成した書類等が適切かどうかを確認します。また、実際の運用からわかった規程の現実的でない部分があれば必要に応じて是正します。
総括したレビューが終われば、代表者による見直しを行います。書類、規程を確認し、代表者のイメージに違わぬシステム構築ができていれば、ついに審査機関への申請となります。
STEP4.現地審査・指摘改善
審査機関による現地審査が行われます。適切なルールに基づいて個人情報を管理しているか、ルールへは遵守されているか、といった内容が審査機関の目から判断されます。審査後、審査機関からはフードバックが届きます。事業所はこれに対して改善報告書を提出しなければなりません。このやり取りが複数回続き、すべての問題点が是正されれば、晴れてPマークの取得となります。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
サプライチェーン全体のセキュリティを「見える化」する新制度「SCS評価制度」がいよいよ始まります✨UPFにできること
サイバー攻撃の手口が年々巧妙になるなか、最近特に増えているのが「取引先を踏み台にして、本来の標的企業へ侵入する」という手口です。 セキュリティが手薄な中小企業を経由することで、大企 […]
個人情報保護法改正案に専門家が懸念――本人同意なき第三者提供とPマーク取得企業が知るべきリスク
国会で審議中の個人情報保護法改正案をめぐり、専門家や消費者団体から強い懸念の声があがっている模様ですね。 参院デジタルAI特別委員会が開いた参考人質疑では、改正案の核心となる「本人 […]
SCS評価制度・ISMS・Pマーク、結局どれを取ればいいの?目的と使い分けを整理してみた
「セキュリティの認証、何か取っておいた方がいいですよね?」という話を、取引先や社内でされたことはないでしょうか。 そう言われたとき、「じゃあSCSとISMSとPマーク、どれを選べば […]
AIツール利用中の情報漏洩、他人事ではない!今すぐガイドラインを整備すべき理由(マネーフォワードのケース)
(本記事は、プライバシーマーク(Pマーク)・ISMS取得コンサルティングで業界No.1・累計5,000社超の実績を持つ株式会社UPFが執筆・監修しています。) 2026年5月1日、 […]
AI社内利用規定の整備が急務に──国際規格ISO/IEC 42001をベースにしたルール策定の重要性
生成AIツールの普及が急速に進むなか、企業内でのAI活用に関するルール整備が大きな課題となっています。 弊社にも、ここ数か月で「AI社内利用規定」の策定支援に関するご相談が急増して […]