プライバシーマーク(Pマーク)取得はなぜ必要なのか、メリットや取得の目的、フローを解説 | akeruto_ はたらく未来のカギになる

Akeruto はたらく未来のカギになる

MANAGEMENT

プライバシーマーク(Pマーク)取得はなぜ必要なのか、メリットや取得の目的、フローを解説

2021.05.12

プライバシーマーク(Pマーク)取得はなぜ必要なのか、メリットや取得の目的、フローを解説

プライバシーマーク (Pマーク)とは

プライバシーマークとは、1998年から一般財団法人日本情報経済社会推進協会(JIPDEC)が運営する個人情報の保護体制に関する認証制度です。企業による個人情報を扱う仕組みと運用が適切であること評価するもので、取得すると事業活動でプライバシーマークの使用が可能となります。

この認証取得により、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合していることを示し、消費者や取引先に高いレベルの個人情報管理体制を確立・運用していることをアピールすることができます。2020年9月30日時点の調査では、認定事業者数は16,485社に上ります。

なぜプライバシーマークを取得する必要があるのか?

ここからは、プライバシーマークを取得する企業が増えている背景、プライバシーマーク取得の目的を解説します。

情報セキュリティリスクの増大

インターネットやIT技術の普及・進展に伴い、個人情報の取り扱いをめぐるセキュリティ環境は大きく変化してきています。官民問わず継続的に個人情報保護に関する議論が行われるなか、プライバシーマーク取得は企業の信頼性を向上させる一手段にもなっています。電子マネー決済やオンラインショッピングなど、個人情報を必要とするサービスが一般化する一方、企業が利用者の同意を得ずに無断で個人情報を使用するケースや大規模な情報漏えいも発生したことから、2017年には個人情報に関するセキュリティリスクにこれまで以上に対応するため、個人情報保護法が改正されました。

個人情報の保護に関する消費者意識の高まり

相次ぐ企業の個人情報の取り扱い問題や情報漏えいに呼応して、消費者の側も情報セキュリティに関する意識が高まっています。2021年3月にはコミュニケーションアプリ事業者が管理する利用者の個人情報に、業務委託先企業からアクセスできる状態となっていたことが発覚し、日本政府の個人情報保護委員会からも個人情報保護上の問題があるとして報告を求められるケースがありました。

社会的な信用をアピールするために有効なツール

プライバシーマークを取得することで、店頭、封筒、便箋、ホームページなど消費者の目に触れる場所に認定マークを記載することが可能になります。個人情報保護に対する消費者意識の高まる近年では、プライバシーマークは企業にとって消費者からの信頼を高めるための重要なツールにもなっています。

また、プライバシーマークを取得することで個人情報の管理体制が確立していると取引先企業にアピールすることもできます。プライバシーマーク未取得の企業と比べ社会的な信頼度向上が見込め、取引先や提携企業からの信頼も高めることが可能です。

プライバシーマーク取得のメリット・デメリット

ここでは、プライバシーマークを取得する主なメリット、デメリットを解説します。

プライバシーマーク取得のメリット

・個人情報漏えいのリスクを低減できる
個人情報保護のための規定を社内で作成した上で運用を行い、JIPDECの厳密な審査を受ける過程で自社内の個人情報漏えいのリスクを改めて洗い出すことで、事業活動に影響を与えるリスクを低減できます。

・取引先との契約条件を満たすことができる
企業によっては、個人情報を扱う業務などに関する契約を結ぶ際にプライバシーマーク取得を条件にしているケースもあります。また、政府機関や地方自治体など官公庁の場合は入札条件にプライバシーマーク取得を挙げていることも多いため、プライバシーマークの取得によって取引可能な企業や官公庁の幅が広がります。

・個人情報に関する社内の意識向上
プライバシーマーク認定基準を満たすためには、社内教育を含む情報セキュリティ管理体制強化が必須となるため、自社内での個人情報保護に関する意識向上につながります。

プライバシーマーク取得のデメリット

・プライバシーマークの取得・継続のための費用がかかる
プライバシーマークを取得し、継続して認定を受けるためには申請費用、審査費用、付与登録費用などの諸費用がかかります。また、プライバシーマークの取得を効率的に進めたい場合、別途専門のコンサルタント企業へのコンサルティング費用などが発生します。

・都度の監査や、毎年の従業員教育を行う手間がかかる
プライバシーマーク取得前と取得後には、最低年に1回の社内教育や社内監査を行う必要があり、通常業務への負担となる可能性があります。

プライバシーマークの取得方法

ここまで、プライバシーマークの概要やメリット・デメリットを紹介してきました。ここからは、プライバシーマーク取得までの流れを解説します。プライバシーマーク取得には、個人情報を保護するための体制を整備し、取得条件に定められた「個人情報保護マネジメントシステム(PMS)」に基づく体制を申請までに自社内で構築する必要があります。

参考:一般財団法人日本情報経済社会推進協会(JIPDEC)|プライバシーマーク制度(申請手続き)

主な内容としては以下があります。

①個人情報の洗い出しとリスク分析

まず、住民票、年金手帳、雇用契約書、給与振込口座届出書、勤務表など社内の個人情報を洗い出します。個人情報管理表を作成するとともに全ての部署で取得している個人情報を整理し、その上で個人情報の入手、利用、保管、廃棄の流れの中で発生しうる個人情報のセキュリティリスクを分析し、対策を検討します。

②規定作成

プライバシーマーク取得の条件として、企業には個人情報保護に関する社内規定を文書化するよう求められています。個人情報の扱いが事業活動の広範囲に及ぶ企業の場合は、この規定文書にセキュリティリスクの対策を詳細に記載する必要があります。規定作成後はプライバシーマーク申請前に1回、取得後も最低でも年に1回は社内教育を実施します。従業員への教育を行った後は理解度を測るためにテストを実施し、記録を残すことが義務付けられています。

③運用

社内規定に基づいて個人情報の扱いや情報漏えいを防ぐための管理・運用体制を構築し、実際に運用を開始します。運用開始後、遵守できていない規定や、業務上実施が困難な規定があった場合は、継続的な安定運用を可能にするために管理・運用体制の見直しが必要です。

④内部監査・見直し

個人情報保護の監査責任者は、社内規定の運用後数週間が経ったタイミングで適切に運用されているかどうか、全部署に対して内部監査を行います。監査の結果は報告書にまとめ、企業のトップである代表者に報告します。内部監査によって社内規定が守られていない部署が見つかった場合は是正措置を行います。監査責任者は自社の従業員に限らずプライバシーマーク取得を支援する専門会社からの選出も可能です。

内部監査が終了したら代表者も同席して、見直しのための会議で監査の報告を行います。会議で提言された改善指示や対策などは議事録に記録しておきます。

⑤申請

規定の作成、運用の見直しなどを経て、申請のための文書がそろった段階で申請を行います。申請には以下の書類の提出が必須となっています。

・プライバシーマーク付与適格性審査申請チェック表
・プライバシーマーク付与適格性審査申請書(代表者印の捺印が必須)
・事業者概要
・個人情報を取扱う業務の概要
・全ての事業所の所在地及び業務内容
・個人情報保護体制
・個人情報保護マネジメントシステム文書の一覧
・JIS Q 15001対応表
・教育実施サマリー(全ての従業員への教育の実施状況)
・内部監査実施サマリー(全ての部門への内部監査実施状況)
・マネジメントレビュー(事業者の代表者による見直し)、実施サマリー
・「履歴事項全部証明書」または「現在事項全部証明書」など申請事業者(法人)の実在を証す公的文書の原本(申請日前3カ月以内の発行文書であり写し不可)
・定款、準ずる規程類の写し
・最新の個人情報保護マネジメントシステム文書一式の写し
・個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録の冒頭1ページの写し
・上記の個人情報を特定した台帳に対応する、いわゆる「リスク分析結果」の写し

⑥受理

審査機関では申請事業者から申請書類を受け取った後、書類がすべて揃っているか、記載漏れの項目がないかを確認します。申請書類が全て揃っており問題ない場合、申請料の請求書が発行されるので指定の口座に振り込みます。申請書類が足りない場合は返却される可能性があります。

申請料の振り込みをした後は、申請資格があるか、申請書類に不備がないかの形式審査が行われ、受理が決定した場合、審査機関から書面での連絡が届きます。

⑦文書審査

申請書類のうち、個人情報保護マネジメントシステム文書(内部規程・様式)がプライバシーマーク付与適格性審査基準に適合しているかどうか審査が行われます。
文書審査は以下の2つの観点で行われます。
1.内部規程のプライバシーマーク付与適格性審査基準への適合状況
2.全ての従業員が内部規程を遵守するための具体的な手順、手段等の策定状況

⑧現地審査

現地審査では個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用されているかを確認されます。審査料や現地審査に係る交通費、宿泊費は現地審査終了後に請求書が送付されます。

現地調査は主に以下のフローで行われます。
1. 事業者の代表者へのインタビュー
2. 個人情報保護マネジメントシステム(PMS)運用状況の確認
3. 個人情報を扱う現場での安全管理措置の実施状況の確認
4. 総括

⑨改善報告

現地調査後に「プライバシーマーク付与申請審査の指摘事項について」という名称の書類が届き、書類上で不備があった点を指摘されます。申請企業側は指摘された事項についての改善報告書を改善の証拠を添えて3カ月以内に提出する必要があり、改善報告書の内容が適切と認可が下りた際には審査員から連絡があります。

⑩判定会議

審査機関の審査会で、プライバシーマーク付与に関する適格性の有無について判定を行います。

⑪合否の通知

判定会議後、プライバシーマーク付与適格性の審査決定結果の通知文書が送付されます。付与適格決定を受けた企業は付与機関とプライバシーマーク付与契約を締結することでプライバシーマークが付与されます。

プライバシーマークの更新方法

プライバシーマーク付与の有効期間満了の8カ月前日~4カ月前日までに、更新申請書類を審査機関に提出し、審査機関から新たに付与適格決定を受ける必要があります。

プライバシーマーク取得にかかる費用

プライバシーマークの新規取得時、更新時にはそれぞれ、申請料、審査料、付与登録料が発生します。具体的な費用については以下の新規の場合、更新の場合にそれぞれまとめました。

新規取得の場合

種別(単位:円) 小規模 中規模 大規模
申請料 52,382 52,382 52,382
審査料 209,524 471,429 995,238
付与登録料 52,382 104,762 209,524
合計 314,288 628,573 1,257,144

参考:一般財団法人日本情報経済社会推進協会(JIPDEC)|プライバシーマーク制度(費用)

更新の場合

種別(単位:円) 小規模 中規模 大規模
申請料 52,382 52,382 52,382
審査料 125,714 314,286 680,952
付与登録料 52,382 104,762 209,524
合計 230,478 471,430 942,858

参考:一般財団法人日本情報経済社会推進協会(JIPDEC)|プライバシーマーク制度(費用)

新規取得、更新いずれの場合も、プライバシーマーク取得、更新のためコンサルティングを外部企業に依頼する場合は更に費用がかかります。

まとめ

プライバシーマークの取得により、審査に合格するまでの過程で情報セキュリティ対策を行う体制を整備できるだけでなく、消費者や取引先企業に自社の個人情報保護体制をアピールすることが可能です。個人情報の利用範囲がますます拡大し、今後さらに企業での活用も活発化していくでしょう。一方で企業による個人情報漏えい事故や外部からのサイバー攻撃をはじめとした情報セキュリティリスクの高まりから、プライバシーマークに代表されるセキュリティ認証取得や個人情報保護の体制整備の必要性はこれからも高まっていくと考えられます。

社内の規定作成や内部監査、審査機関の文書、現地審査までに必要な準備や料金など、プライバシーマーク取得にかかるコストや工数と得られるメリットを照らし合わせた上で、プライバシーマークの取得を検討してみてはいかがでしょうか。

TWITTERツイッター