Pマーク取得・更新はTFK

プライバシーマーク取得を社内で対応する手順をお伝えします。

2021/08/10

■プライバシーマークとは？

自分では登録した覚えがないのに、なぜ自分の住所や電話番号、名前などの個人情報を第三者が知っているのだろう?と不安を感じたことはありませんか？

だからといって 自分で個人情報がどのように取り扱われているのか確かめることはとても大変なことです。

そこで自分の個人情報を安心して提供できる目安となる「プライバシーマーク制度」があるのをご存知ですか？どこかで耳にしたことがある「プライバシーマーク」とは一体どのようなものなのでしょうか？

フリー百科事典『ウィキペディア（Wikipedia）』では、このように説明されています。プライバシーマークは、個人情報の保護体制に対する第三者認証制度。個人情報保護体制の基準への適合性を評価し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾する。

これを簡単に説明すると企業や団体等(事業者)の事業活動における個人情報の取り扱いについて、資格を持った審査員が審査して、適切であると評価できた事業者のみにプライバシーマークの使用を認める制度のことです。つまり事業者が、あなたの個人情報を適切に取り扱ってくれるかどうか、それを知るための目安となるのが「プライバシーマーク」として一般財団法人日本情報経済社会推進協会(JIPDEC)が審査・認証をしています。

個人情報の英訳である「Personal Information」の頭文字であるPとIをモチーフとしてデザインされた登録商標は、Pマークと通称されています。プライバシーマークの使用が認められた事業者はプライバシーマーク付与事業者とよばれ、個人情報を大切に取り扱う事業者としてホームページやポスター、広告などにプライバシーマークを使用しています。つまり安心をひとめで伝えることができるのが、この「プライバシーマーク」です。

現在、プライバシーマーク付与事業者は1万6千社（2021年7月31日時点）を超えており、一般財団法人日本情報経済社会推進協会(JIPDEC)のホー厶ページ「付与事業者情報」から事業者名を検索することが可能です。

https://privacymark.jp/certification_info/index.html

■プライバシーマーク取得がなぜ必要なのでしょうか？

情報化の急速な進展により、私たちは個人情報を利用したさまざまなサービスが受けられるようになり、生活は便利なものになりました。その反面、誤った取り扱いによりトラブルとなるなどの不安も高まっています。

ご存知の通り情報漏えいによる被害が毎日のように大きく報道される昨今、事件が起こることにより企業の信頼性は大きなダメージを受け、築き上げた取引関係にも甚大な影響を及ぼしてしまいます。このように情報セキュリティ事故がビジネスに及ぼす影響は非常に大きく、その対策はいまや業種や企業規模にかかわらず全ての事業者にとって必須の課題となっています。

一度個人情報の漏えい事故が起こってしまうと、漏えいしたデータの被害者本人は詐欺や悪徳商法の危険にさらされ、漏えいした企業は被害者や取引先企業から損害賠償を起こされます。その損害賠償額は過去の事例から1人あたり数千円から数万円程度といわれています。仮に1万人分の個人情報を漏えいさせたら賠償額は億単位になり、そうなれば一般の企業であれば、その存続も危ぶまれます。実際、損害賠償額だけで済むものではなく、その企業の社会的信用の失墜という、経営危機につながる影響を及ぼすような事例がとても多くなってきました。プライバシーマークを取得することで、このような個人情報漏えい事故を防ぐ体制づくりが可能となります。

またプライバシーマークは「JIS Q 15001：2017 個人情報保護マネジメントシステム－要求事項」に基づいた個人情報の管理ができていることを、第三者機関が証明するものです。JIS Q 15001の要求事項は、個人情報保護法よりも厳しいとされており、マークの表示により顧客や消費者などに、自社が個人情報保護に積極的に取り組んでいることや、その体制が非常に高いレベルにあることなどを即座に証明・認知してもらうことが可能となります。これがプライバシーマーク取得の最大のメリットといえます。

その他にも下記のようなメリットが期待できます。

メリット①．取引先への信用の拡大

企業間で取引を行う際に、プライバシーマークを用いることで自社の信用が拡大します。取引先に対して個人情報保護の管理体制が適切であることを示せます。最近では、官公庁や自治体などの入札参加条件に、プライバシーマークの認証を条件としているところも多くなっています。

メリット②．顧客への信用の拡大

個人情報保護法の施行以来、個人情報に対する利用者の関心は高まる一方です。プライバシーマークを取得し、自社のパンフレットやウェブサイトなど公の場で使用することで、しっかりした個人情報の保護体制があることを利用者にアピールすることができます。

メリット③．社員意識の向上

例でも記載しましたが、過去の情報漏えい事件の多くの原因に、従業員のケアレスミスがあります。一人の社員の不注意で、会社の存続に関わる一大事に発展することもあるのです。個人情報保護法では、従業員に対する監督義務も盛り込まれています。

■プライバシーマークを取得するには

上記にも説明したようにプライバシーマークの取得は、日本標準規格「JIS Q 15001:2017 個人情報保護マネジメントシステム－要求事項」に準拠することで認定されます。まず、この「JIS Q 15001:2017 個人情報保護マネジメントシステム－要求事項」を読み、理解することから始める必要があります。

最初からハードルが高そうな内容ですが、ここは避けては通れません。そして「個人情報保護マネジメントシステム（Personal Information Protection Management Systems」（通称PMS）を確立し、「個人情報」を安全に管理する体制を整え、運用していく準備を行います。

またプライバシーマークの取得は、誰でもできるというわけでなく、国内に活動拠点を持つ事業者で組織内に社員が2人以上いることが条件のひとつです。なぜ2名以上必要かという理由ですが、プライバシーマークを取得する際、組織内では個人情報保護管理者と個人情報保護監査責任者という役割をもつ人物を立てる必要があります。この2つの役割は兼任することができませんので、必然的に組織内の正社員が最低でも2人必要になるというわけです。社員が2人以上いれば個人事業主でも可能となります。

気になる取得費用ですが、申請料・審査料・付与登録料といった費用がかかります。事業者規模によって必要となる費用は異なり、業種、従業員数、資本金の3つによって判断されます。小規模企業で約32万、中規模企業で約63万、大規模企業で約126万となります。（こちらは、あくまで申請に必要な最低限の基本料金ということで参照ください。上記以外に、現地審査に係る審査員の交通費、宿泊費等がかかります。）

※事業者規模の区分け

■プライバシーマークの取得の流れ

ここからはプライバシーマークの取得を行う説明となります。まずは、自社でおおまかなスケジュールを作ることが大切です。

上記のスケジュールのポイントは、大きくわけて４つとなります。

①PMSの構築・運用 （作成目安約3ヶ月間）
②書類の作成と申請、文書審査（作成目安2ヶ月間）
③現地審査（調査1日）
④合否判定・Pマーク付与 （約2～4ヶ月間）

■PMSの構築・運用について

PMSの構築・運用 は、一般財団法人日本情報経済社会推進協会(JIPDEC)のサイトではこう説明されています。

PMSの基本的な仕組みは、「計画（Plan）」「実施（Do）」「点検・評価（Check）」「改善（Act）」から成る「PDCAサイクル」によるものです。まず、「個人情報保護方針」を定めます。この方針に基づき、PMSを推進するための社内の体制を整え、作業計画を立てて（Plan）、実施していきます（Do）。具体的には、「個人情報」の特定、リスク分析と対策、規程などの作成とその運用、従業員の教育などです。そして、その運用状況を点検・評価し（Check）、課題を改善します。また、代表者は高い立場からPMS全体を見直します（Act）。

少し難しい感じがしますが、①を実行する具体的なスタートとして、以下のような社内規定（②書類の作成）が必要になります。

■個人情報保護方針

■個人情報管理マニュアル（管理基準を元にした詳細マニュアル）

■個人情報管理台帳（リスク分析も）

■法令一覧

■緊急連絡先一覧

■委託先一覧表

■委託先評価

■委託先評価基準

■開示対応履歴

■研修計画書／報告書

■運用チェックシート

■内部監査計画書／報告書／チェックシート

■マネジメントレビュー記録

これらの社内規定を「JIS Q 15001:2017 個人情報保護マネジメントシステム－要求事項」に沿った形で修正し、無いものは作成します。次に規定書にあわせて社内の設備も整える必要がでてきます。必要になる設備は業種や会社の規模、個人情報の運用ルールなどによって異なりますが、よく必要となるのが下記のような設備となります。

・鍵付きの書類ロッカー

・シュレッダー

・パソコン用セキュリティソフト

・ホームページのSSL認証

・防犯カメラ等

そして社内規定や体制を整えたら、次は、上記のJIPDECのサイトに説明があるように、一通りの運用を実行し構築に移ります。規定や設備はただ揃えるだけでなく、これらがきちんと運用されているかどうかが重要です。そして従業員に対して研修実施したり、内部監査したり、代表者による見直しと是正を繰り返し実施していきます。このようにすべて全社員の協力を仰がないと構築が出来ませんので、補足用の研修資料の作成や、他の社員に応援を依頼して会社一丸となって進めていくことが必要になります。また構築した際の、従業員の研修、内部監査、代表者による見直しと是正などは申請時に書類を提出する必要がありますので、きちんと書類として作成しておきましょう。

上記の図のように構築が完了したら、いよいよ次は審査へ進んでいきます。

■審査の前準備について

審査を受けるには、最初に申請書や社内の文書や登記簿謄本などが必要になります。下記が審査に必要な書類となります。

・【申請様式0新規】プライバシーマーク付与適格性審査申請チェック表

・【申請様式1新規】プライバシーマーク付与適格性審査申請書（代表者印の捺印必須）

・【申請様式2新規】事業者概要

・【申請様式3新規】個人情報を取扱う業務の概要

・【申請様式4新規】すべての事業所の所在地及び業務内容

・【申請様式5新規】個人情報保護体制

・【申請様式6新規】個人情報保護マネジメントシステム文書の一覧

・【申請様式7新規】JIS Q 15001との対応表

・【申請様式8新規】教育実施サマリー（全ての従業者に実施した教育実施状況）

・【申請様式9新規】内部監査実施サマリー（全ての部門に実施した内部監査実施状況）

・【申請様式10新規】マネジメントレビュー（事業者の代表者による見直し）実施サマリー

・登記事項証明書（「履歴事項全部証明書」または「現在事項全部証明書」）等申請事業者（法人）の実在を証す公的文書の原本（申請の日より前3ヶ月以内の発行文書。写し不可。）

・定款、その他これに準ずる規程類の写し

・最新の個人情報保護マネジメントシステム文書一式の写し（【申請様式6新規】、及び【申請様式7新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。）

・個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録（様式ではない）の冒頭1ページの写し

・上記に対応する、いわゆる「リスク分析結果」の写し

■いよいよ審査です。

審査のおおよその流れは下記のように進んでいきます。（審査機関によって、審査スケジュール等が違うケースがあります。）

書類を準備し、審査を申請すると提出した文書の審査が行われます。文書審査結果は現地審査前に届きます。指摘箇所があれば、すべて現地審査までに修正を行う必要があります。現地審査へ向けての対策等を含め、できる限り早く備えておきましょう。そして最後に現地審査が行われます。文章修正確認は、このときに同時に行われます。

一般的に審査員の方は２名で対応されます。企業側からは、個人情報保護マネジメントシステム（PMS）を構築した担当者は、最低でも同席する必要あります。代表取締役へのトップインタビューも冒頭にあり、代表取締役はZoom等での参加も可能となっていますが、できるだけ同席が望ましいです。また現地審査に同席できるのは、「従業者」のみとなり、コンサルタントや業務委託の方は同席不可です。

気になる現地調査ですが、まず代表取締役へのトップインタビューが冒頭の30分あります。よく聞かれる内容としては下記のような項目です。事前準備しておきましょう。

・事業内容、経営方針等について

・個人情報に関する事故の有無

・申請動機や個人情報保護の目的

・個人情報保護方針について

・個人情報保護のための人的資源（体制）について

・マネジメントレビュー

・PMSの継続的な改善について

代表取締役へのトップインタビューが終了すると、PMS運用状況の確認となります。

まず代表取締役に対して聞かれた内容の補足や実施状況が訪ねられますので、きちんと会社代表とすり合わせをしておきましょう。

※その際の質問の一例です。

・従業者教育はどのようにおこなっていますか。

・内部監査はどのようにおこなっていますか。

・リスクアセスメントの内容を見せてください。

それが済んだら一緒に現場での実施状況の確認があります。主に個人情報を実際に取扱っている執務室や作業場等で、事業者が講じている安全管理措置の実施が定めたルール通りされているかの確認があります。

※その際の質問の一例です。

・バックアップは実施していますか。

・最終退室の際には、施錠のチェックを行っていますか。

・ウイルス対策はできていますか。

最後に総括があります。もし審査員からPMS運用において改善が必要であると判断された事項（指摘事項）などがあればきちんと説明があります。もし指摘事項がある場合は、この現地審査後に指摘事項文書が送付されますので、指摘事項文書に記載の日付から3ヶ月以内に、改善報告書を改善のエビデンスを添えて提出が必要になります。 以上すべて完了したら無事、合格となります。

最後のアドバイスとして準備や構築はとても大変なものです。そしてプライバシーマークの認定取得基準は予告も無く変更されます。審査基準は定期的に変更されます。企業側からすると、とてもやりづらい（構築しづらい）部分が多々あります。しかしながら、審査基準が変わるだけで合否判定は同じですので、しっかり事前調査して前準備を行うことがとても重要です。

また審査で不合格になることは基本的にはありません。ただし、不合格になる例としては以下のものがあります。

・虚偽の事実があった場合

・審査費用の支払いが遅れた場合

・個人情報保護マネジメントシステム(PMS)の構築・運用ができていない場合

基本的なことですので守るべきことは、しっかり守って万全の形で審査に望みましょう。