DIME MAGAZINE
個人情報保護の重要性が高まる中、『Pマーク』を取得する企業が増えています。JIPDECのプライバシーマーク制度に基づいて発行される第三者認証で、個人情報の取り扱いが適切と認められた場合にのみ付与されます。取得のメリットや手順を確認しましょう。
そもそもPマークとは
『Pマーク』とは「プライバシーマーク」の略です。
日本には、個人情報やプライバシーの取り扱いについて定めた『プライバシーマーク制度』があり、個人情報の取り扱いが適切と認められた業者のみが、Pマークを取得できます。
個人情報を保護する制度
Pマークを語る上で理解しておきたいのが、プライバシーマーク制度です。
『一般財団法人日本情報経済社会推進協会(JIPDEC)』が行う認証制度で、個人情報取扱事業者が、個人情報の取り扱いを適切に行っているかを評価しています。
ここでいう『個人情報取扱事業者』とは、件数にかかわらず、個人情報データベースなどを事業の用に供している事業者のことです。
審査は、『JIS Q 15001 個人情報保護マネジメントシステム-要求事項』に基づいて行われます。
個人情報の取り扱いが適切と判断されるとPマークが付与され、『プライバシーマーク付与事業者』として認定されるのです。
認定後は、ホームページ・名刺・ポスターなどにPマークを使用できます。
申請資格や期限について
Pマークの申請資格があるのは『国内に活動拠点を持つ事業者』です。個人情報を取り扱う業者であれば誰でも申請できるわけではなく、以下の条件を満たしている必要があります。
- 『JIS Q 15001 個人情報保護マネジメントシステム-要求事項』に基づいた『個人情報保護マネジメントシステム(PMS)』を定めている
- PMSに基づいた体制が整備され、かつ適切な個人情報の取り扱いが行われている
- 社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)が従業員として2名以上いる
Pマークの有効期限は2年間のため、2年ごとに更新を行う必要があります。更新を希望する事業者は、有効期間の終了する8~4カ月前までに申請を行わなければなりません。
出典:申請資格|申請手続き |プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
出典:有効期間|制度案内 |プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
ISMS(ISO27001)との違い
Pマークと混同されやすい認証の一つに『ISMS(ISO27001)』があります。
『情報セキュリティマネジメントシステム(Information Security Management System)』の略で、簡単にいえば、情報資産のセキュリティの管理をするための枠組みのことです。
PマークとISMSは主に、管理対象や認証範囲などが異なります。Pマークの管理対象は『事業者が所有するすべての個人情報』なのに対し、ISMSの管理対象は個人情報を含む『情報資産すべて』です。
Pマークは法人単位で申請するため、認証範囲は『企業全体』となりますが、ISMSは『企業全体』はもちろん、『事業所単位』や『部門単位』も認証範囲として認められています。
また、Pマークは日本の事業者を対象とした制度なのに対し、ISMSは『国際標準規格』です。ISMSの取得は、個人情報以外の機密情報を管理している企業や、海外企業との取引が多い企業に適しています。
出典:概要 | ISO/IEC 27001(情報セキュリティ) | ISO認証 | 日本品質保証機構(JQA)
Pマークを取得するメリット
Pマークを取得するには、申請や審査に費用がかかります。高い費用を払ってまでPマークを取得するからには、自社にどんなメリットがあるのかを把握しておかなければなりません。
顧客からの信用を得られる
Pマークは、『事業者が個人情報の取り扱いを適切に行う企業である』ということを示す証です。Pマークのない企業と比べて、消費者や顧客からの信用を得られやすいのがメリットでしょう。
Pマーク付与事業者は審査に通過すると、企業のパンフレットや広告、Webサイト、名刺などにPマークが表示できます。
つまり、優良企業であることを大々的にアピールできる材料になるのです。
「この企業は個人情報の取り扱いがしっかりしている」と顧客から見なされると、企業全体のイメージがグッと上がります。
スムーズに契約が結べる
Pマークを取得すると、取引先とスムーズに契約が結べるのがメリットです。個人情報を扱う業界においては、企業がほかの中小企業に業務を委託するケースがあります。
元請け企業がPマーク付与事業者である場合、委託先に対する 個人情報の監督義務が生じるため、契約を結ぶ前に情報管理を徹底させなければならないのです。
一方で、委託先の企業もPマーク付与事業者である場合、個人情報を適切に管理できることが既に証明されています。委託契約はスムーズに進むでしょう。
官公庁や自治体では業務のすべて、または一部を外部の事業者へ委託することがあります。近年は、外部委託の入札条件に『Pマークの取得』を挙げているところが増えているようです。
取引の幅を広げたい企業にとって、Pマークは欠かせないものといえるでしょう。
従業員の意識が向上する
Pマークの取得に際し、企業では従業員に対する研修を行います。情報セキュリティに対する従業員の意識が低いままでは、情報漏洩などの人為的事故が多発してしまうためです。
Pマークを取得すると従業員の意識が向上してミスによる情報漏洩が減り、業務の質が上がることが予想されます。顧客からの信頼もさらに厚くなるでしょう。
研修内容は企業によって異なりますが、『個人情報保護方針』や『個人情報保護マネジメントシステムに適合する重要性』『違反した際に予想される結果』などについて時間をかけて学び、最後にテストで理解度のチェックを行うのが一般的です。
Pマークを取得するデメリット
Pマークを取得すると、外部からの信頼度が上がる上、従業員の個人情報管理に対する意識が向上します。
一方で、取得までの道のりは長く、取得後もシステムを維持するために、時間・費用・労力を費やさなければならないというデメリットもあるのです。
業務量が増える
Pマークを取得するにあたり、業務量の増加が予想されます。
Pマークは申請すればすぐ取得できるものではなく、PMSに基づいた体制が整備され、かつ適切な個人情報の取り扱いが行われていることが前提です。
都道府県の条例やガイドラインに従って規程を作成したり、従業員の研修を行ったりしなければならず、Pマークの担当者は普段の業務に支障が出るおそれがあります。
Pマークの取得後は、PMSを日常業務に組み込んで運用するのがルールです。PMSを運用している証拠として記録を残す必要があるため、業務量は増える一方でしょう。
年1回の『内部監査』と2年に1度の『Pマークの更新』にも労力が費やされます。
コストがかかる
Pマークの取得や運営にはコストがかかります。新規登録時、JIPDECに支払う費用は主に、『申請料』『審査料』『付与登録料』の三つです。
費用は事業規模によって決まっており、中規模企業の場合は合計で62万8573円(税込)です。(2019年10月2日)もし、コンサルタントに手続きを依頼する場合は、30~100万円程度が上乗せされるでしょう。
Pマークの取得後も、パンフレットや名刺などにPマークを印刷したり、システムを維持したりと費用が継続的に発生します。
とはいえ、コストがかかるからと一度取得したPマークを手放すと、取引先や顧客からの信用が大きく低下するのが実情です。
出典:費用|申請手続き |プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
Pマークを取得する流れ
Pマークを取得するにあたり、企業は個人情報保護マネジメントシステムを1年以上、運営していることが前提です。
申請までの大まかな流れとしては『文書審査』→『現地審査』→『合否通知』となります。具体的な手順と注意点を確認しましょう。
付与機関へ書類を提出
Pマーク取得を希望する事業者は、『JIPDEC』または『プライバシーマーク指定審査機関』に申請書類を提出します。提出先は事業者の業種または所在地によって変わるため、JIPDECのWebサイトで詳細を確認しましょう。
書類審査に通過すると、『現地審査』が行われます。実際に審査員が事業者を訪れ、個人情報保護マネジメントシステムに則って業務が行われているか、以下の流れでチェックするのです。
- 事業者の代表へのインタビュー
- 従業者教育や内部監査を含むPMS運用状況の確認
- 現場における安全管理措置の実施状況を確認
- 審査員からの総括
指摘事項がある場合、現地審査後に『指摘事項文書』が送付されます。3カ月以内に改善報告書を提出しましょう。
出典:申請手続き|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
合否の通知後、使用可能に
各審査機関の審査会では、書類審査と現地審査の結果に基づいて合否を決定し、申請事業者に対して『プライバシーマーク付与適格性審査決定結果』を郵送します。
合格通知を受け取ったあと、事業者は付与機関と『プライバシーマーク付与契約』を締結しなければなりません。
付与機関より『プライバシーマーク付与契約書』及び『プライバシーマーク付与登録料請求書』が郵送されるため、速やかに手続きを済ませましょう。
出典:5.付与適格決定可否|申請手続き |プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
構成/編集部
最新号
