Written by 夏野ゆきか
目 次
Pマーク(プライバシーマーク)とは、個人情報を適切に管理していることを証明するマークです。
多くの企業や官公庁、自治体などがすでに取得しており、個人情報保護の重要性が高まる中で、その価値がますます高まってきています。
Pマークを取得することで、以下のようなメリットが期待できます。
- 顧客・取引先からの信用獲得
- 情報漏洩リスクの低減
- ビジネスチャンスの拡大
- 従業員の個人情報に対する意識の向上
このPマークを取得するためには、必要な書類を揃えるだけでなく、『JIS Q 15001』の要求事項に基づいたPMS(個人情報保護マネジメントシステム)を構築し、少なくとも一度はPDCAサイクルを実施した上で申請を行う必要があります。
申請後、審査をクリアすればPマークが付与されますが、付与後に個人情報の漏洩や目的外利用が発生した場合、取り消されることもあるので注意が必要です。
▼この記事でわかること
- Pマーク(プライバシーマーク)とは、個人情報の適切な取り扱いを行っていると認められた企業に付与されるマーク
- Pマーク(プライバシーマーク)を取得するためには、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム‐要求事項」をベースとした審査基準をクリアする必要があり
- Pマーク(プライバシーマーク)と同じく情報セキュリティに関する規格である「ISMS」は国際規格に準拠しており、「個人情報を含めた情報資産全体」を保護の対象としている
- Pマーク(プライバシーマーク)を取得するメリットとしては「顧客・取引先からの信用獲得」「情報漏洩リスクの低減」「ビジネスチャンスの拡大」「従業員の個人情報に対する意識の向上」などが挙げられる
- Pマーク(プライバシーマーク)取得には最短でも6か月から1年程度の期間を要することが一般的で、費用は事業者規模によるが、最低でも30万程度かかる
- Pマーク(プライバシーマーク)の有効期間は2年間で、有効期間満了後も継続してPマークを維持したい場合は、2年ごとに更新手続きを行う
- Pマーク(プライバシーマーク)取得後に、「個人情報の漏えい」「個人情報の目的外利用」「法令違反」などが発生した場合、取り消しになることがある
Pマーク(プライバシーマーク)とは?
Pマーク(プライバシーマーク)とは、個人情報を適切に管理していると認められた企業に付与されるマークです。
付与の対象は、国内に活動拠点を持つ事業者に限定されており、国際的な基準ではありません。しかしながら、2024年5月現在、17,000社を超える事業者がPマークを取得しています。
取得自体は義務ではありませんが、個人情報保護法が適用される全ての事業者にとって、取得しておくことが望ましいとされています。Pマークを取得することで、企業は自社のWebサイトやパンフレットなどにロゴを掲載でき、取引先や顧客からの信頼獲得につながります。
このPマークを取得するためには、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム‐要求事項」をベースとした、審査基準をクリアする必要があります。
また、Pマークの取得を取引条件にしている企業もあることから、取得しておくことでビジネスチャンスを広げることもできるでしょう。
JIS Q 15001(個人情報保護マネジメントシステム―要求事項)とは
JIS Q 15001(個人情報保護マネジメントシステム―要求事項)とは、組織が個人情報を適切に管理するためのマネジメントシステムの要件を定めた規格です。
組織が個人情報の取り扱いルールを確立し、関係者に周知徹底することで、個人情報の適正な管理を実現する枠組みを提供しています。また、PMSを構築し、PDCAサイクルを継続的に回すことで、個人情報保護レベルの向上を図ることが求められます。
PMSとは、計画(Plan)・実施(Do)・点検・評価(Check)・改善(Act)の4つの要素からなるPDCAサイクルを回し、個人情報保護レベルの継続的な向上を図る仕組みを指します。
Pマーク(プライバシーマーク)とISMSの違い
Pマーク(プライバシーマーク)と同じく情報セキュリティに関する規格に「ISMS」があります。
ISMSとは、リスクアセスメントに基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みを指します。
一見すると似ているため、どちらを取得すべきなのか悩む事業者も多いですが、両者には以下のような違いがあります。
▼プライバシーマークとISMSの違い早見表
| プライバシーマーク | ISMS | |
|---|---|---|
| 開始日 | 1998年4月 | 2002年4月 |
| 認定機関 | 一般財団法人日本情報経済社会推進協会(JIPDEC) | 一般社団法人情報マネジメントシステム認定センター(ISMS-AC) |
| 審査基準 | JIS Q 15001:2017 ※2024年10月1日以降 JIS Q 15001:2023 |
ISO27001:2013 |
| 有効期限 | 2年 | 3年(ただし1年ごとに継続審査) |
| 保護領域 | 個人情報保護 個人情報のみが守るべき対象で、個人情報保護規定を満たすことが目的 |
情報セキュリティ 全ての情報が守るべき対象で、情報セキュリティの3大要素を高めることが目的 |
| 保護対象 | 法人単位 | 部署単位など |
両者の大きな違いは国内規格か国際規格かという点です。先述したように、Pマーク付与の対象は、国内に活動拠点を持つ事業者であり、国際規格に準拠しているわけではありません。
対してISMSは「ISO/IEC 27001」という国際規格に準拠しています。
また、保護領域もPマーク(プライバシーマーク)は「個人情報のみ」ですが、ISMSは「個人情報を含めた情報資産全体」という点が大きく違います。
どちらを取得するかは、事業内容や目指すべきセキュリティレベルなどによって異なります。
Pマーク(プライバシーマーク)を取得するメリット
Pマーク(プライバシーマーク)を取得することには、以下のようなメリットがあります。
- 第三者に個人情報を安全に管理していると証明できる
- 情報漏洩のリスクを減らせる
- 顧客からの信頼を得られ、ビジネスチャンスが拡大する
- 従業員の個人情報保護に対する意識が向上する
Pマークの取得を取引条件にしている企業も多いため、取得することでビジネスチャンスを広げることが可能です。
また、Pマークの取得には、厳格な審査基準をクリアする必要があります。審査の過程で、企業は個人情報保護のための徹底した管理体制を整えることになるため、情報漏洩リスクの低減にもつながります。
最後に、Pマークの取得プロセスを通じて、社員全員が個人情報保護の重要性を認識し、セキュリティ意識が向上します。社員一人ひとりが責任を持って情報を取り扱うことで、組織全体の個人情報保護体制が強化されるでしょう。
Pマーク(プライバシーマーク)取得までの流れ
ここでは、Pマーク(プライバシーマーク)を取得するまでの具体的な流れを解説します。
1. 方針の決定~規定作成(PMS構築)
まずはPマーク(プライバシーマーク)取得に向けて
- 担当者の選定
- 取得期日の設定
などを行いましょう。
担当者は、審査の際に対応をする可能性があるため、企業全体の業務内容が把握できている人物や、システム担当者を任命する場合が多いです。
また、基本的なことではありますが、具体的な取得期日を設定しておくと行動計画が立てやすくなります。
さらに、業務で取り扱う個人情報を洗い出し、リスク分析を行います。この分析結果を基に、PMSの構築に関する方針や対応手順などを記載したPMS文書を作成しましょう。
2. 運用
作成したPMS文書に基づき、組織内でPMSを運用します。Pマーク(プライバシーマーク)取得には、『JIS Q 15001』の要求事項に基づいたPMSを構築し、少なくとも1回はPDCAサイクルの実施が必要です。
この運用状況を記録し、次の審査で提出できるよう準備しておきます。
3. 教育・内部監査の実施
内部監査は、PMSの運用が規定通りに行われているか確認するプロセスです。内部監査の結果、問題が見つかった場合は、この段階で改善を行います。
監査結果は組織の代表者に報告され、代表者から指示を受けて改善作業が実施されます。
4. Pマークの申請
提出する書類が全てそろい、PMSの構築・運用が完了したら、Pマーク(プライバシーマーク)の申請を行います。
提出書類には、必須の書類と任意の書類があり、任意の書類も提出すると審査時間の短縮される場合があります。
▼必須書類
出典:プライバシーマーク制度|申請書類の作成
▼任意提出書類
出典:プライバシーマーク制度|申請書類の作成
また、業種や登記している住所、登録している審査機関などによって、申請先が異なるので注意してください。
5. 審査(書類・現地)
申請後、形式審査、書類審査、現地審査の3つの審査が実施されます。
- 形式審査…申請資格の有無や申請書類に不備がないか確認。
- 書類審査…PMS文書の審査基準への適合状況や内部規定を遵守するための具体的な手順などを確認。
- 現地審査…PMS通りに対策が整備・運用されているか審査員が確認。
現地審査後に指摘事項があった場合は、PMSの改善および改善報告の書類提出が必要です。
6. Pマーク取得
全ての審査をクリア後、Pマーク付与機関と契約を結び、付与登録料を支払うことで、Pマークを取得できます。
ただしPマーク(プライバシーマーク)は、2年ごとの更新審査が必須です。
Pマーク取得後もPDCAサイクルを継続的に回し、個人情報保護レベルの維持・向上に努める必要があるでしょう。
Pマーク(プライバシーマーク)取得にかかる期間と費用
Pマーク(プライバシーマーク)取得にかかる、期間と費用を解説します。
まずPマークの取得には、PMSの構築から、実際に3か月程度運用していることが想定されています。その後、審査機関へ申請を行い、書類審査と現地審査を経て、合格すればPマークが取得可能です。
申請から取得までの標準的な期間は概ね7〜8か月程度とされています。このことから、Pマークの取得にかかる期間は、PMSの構築から申請、審査、取得までおおよそ6か月から1年程度の期間がかかります。費用は事業者の規模によって異なりますが、最低でも30万円程度が必要です。
また、Pマークの取得には「申請料」「審査料」「付与登録料」の3つ支払いが必要です。新規および更新時にそれぞれ支払いを行います。
▼Pマーク取得に発生する費用
単位:円(消費税10%込)
| 新規のとき | 更新のとき | |||||
|---|---|---|---|---|---|---|
| 事業者規模 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
| 申請料 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 |
| 審査料 | 209,524 | 471,429 | 995,238 | 125,714 | 314,286 | 680,952 |
| 付与登録料 | 52,382 | 104,762 | 209,524 | 52,382 | 104,762 | 209,524 |
| 合計 | 314,288 | 628,573 | 1,257,144 | 230,478 | 471,430 | 942,858 |
申請料および審査料の支払いは「審査機関(JIPDEC含む)」にて行い、それぞれ申請書類受付後と、現地審査終了後に支払います
付与登録料の支払先のみ、支払先が「付与機関(JIPDEC)」になるので注意しましょう。付与適格決定通知後に支払いを行います。
Pマーク(プライバシーマーク)の有効期間と更新
Pマーク(プライバシーマーク)の有効期間は、2年間と定められています。Pマークを取得した事業者は、この2年間に個人情報保護マネジメントシステム(PMS)の、適切な運用を継続する必要があります。
有効期間満了後も継続してPマークを維持したい場合は、2年ごとに更新手続きを行わなければなりません。
更新の申請は、有効期間終了の4~8か月前の間に申請を済ませておく必要があります。
Pマーク(プライバシーマーク)は取り消しになることがある?
Pマーク(プライバシーマーク)取得後に個人情報の不適切な取り扱いが確認された場合、取り消し処分を受ける可能性があります。
具体的には
- 個人情報の漏洩
- 個人情報の目的外利用
- 法令違反
などが生じた時に、Pマーク付与機関から取り消し処分を受けることになります。意図的な違反行為はもちろん、誤って個人情報を流出させてしまった場合も対象です。
また、一度取り消された場合、1年間はPマークの再取得ができません。
さらに、その間Pマーク付与機関のWebサイトに、取り消し事実が2年間公表されるペナルティもあるので注意しましょう。
組織はPマークを取得することで、顧客や取引先からの信頼を得ることができますが、同時にその信頼を維持する責任も伴います。
LANSCOPE エンドポイントマネージャー クラウド版 なら「Pマーク」取得の支援が可能
Pマークの取得においては、情報セキュリティ体制の構築と運用のPDCAサイクルを回すことが求められます。しかし、情報資産の把握やインシデントの有無の確認を手作業で行うと、非常に多くの工数がかかってしまいます。
そこで有効となるのが、IT資産管理ツールの活用です。弊社が提供するIT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」には、情報セキュリティ体制を構築するための以下の機能が備わっています。
- PC・スマホなどIT資産の管理
- USBメモリーなど記録メディアの利用制限
- Windowsアップデート管理
- 操作ログの収集による不正操作の抑止やインシデント発生時の原因追及等
詳しい機能については、以下のページをご覧ください。
まとめ
本記事では、Pマークとは何か、取得のメリットや流れ、取得期間や費用について解説しました。
本記事のまとめ
- Pマーク(プライバシーマーク)とは、個人情報の適切な取り扱いを行っていると認められた企業に付与されるマーク
- Pマーク(プライバシーマーク)を取得するためには、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム‐要求事項」をベースとした審査基準をクリアする必要があり
- Pマーク(プライバシーマーク)と同じく情報セキュリティに関する規格である「ISMS」は国際規格に準拠しており、「個人情報を含めた情報資産全体」を保護の対象としている
- Pマーク(プライバシーマーク)を取得するメリットとしては「顧客・取引先からの信用獲得」「情報漏洩リスクの低減」「ビジネスチャンスの拡大」「従業員の個人情報に対する意識の向上」などが挙げられる
- Pマーク(プライバシーマーク)取得には最短でも6か月から1年程度の期間を要することが一般的で、費用は事業者規模によるが、最低でも30万程度かかる
- Pマーク(プライバシーマーク)の有効期間は2年間で、有効期間満了後も継続してPマークを維持したい場合は、2年ごとに更新手続きを行う
- Pマーク(プライバシーマーク)取得後に、「個人情報の漏えい」「個人情報の目的外利用」「法令違反」などが発生した場合、取り消しになることがある
Pマークの取得は、情報漏洩リスクの低減やビジネスチャンスの拡大に役立ちます。取得には周到な準備と運用実績が必要ですので、計画的に進めていきましょう。
おすすめ記事
