プライバシーマーク取得の流れ

取引先からの要求はもちろん、昨今のテレワーク導入の流れによって個人情報を適切に取り扱うためにプライマシーマークの取得を検討する企業が増加しています。

「そもそもプライバシーマークって何?」
「何から始めたらいいの?」

とお困りの方も多いのではないでしょうか?

本記事では、プライバシーマークを取得するための手順や必要な書類をまとめました。
プライバシーマークの取得をご検討の方はぜひご参考ください。

ステップ(1) プライバシーマークを理解する

プライバシーマーク(Pマーク)とは、企業や事業者等の個人情報保護の体制や運用の状況が適切である事を、Pマークというロゴマークを用いて消費者の方へ分かりやすく示す制度です。
1998年から一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しています。

プライバシーマークを取得することによって

Pマークを取得する事によって以下の効果を得られやすくなります。

①営業上の外部要因に対応できる。
個人情報を取り扱う官公庁の入札に参加しやすくなります。

②従業者による個人情報漏洩の予防になる。
従業員が個人情報保護の必要性を認識し、意識が向上する事により、 管理基準を一定水準で維持できます。

③他社との差別化になる
昨今、プライバシーマークを取得している企業は安心して個人情報の提供ができるというイメージが定着してきつつあります。
そのため、取引先等の信頼度が高まり、さらに他社との差別化を図れます。

ステップ(2) プライバシーマーク申請に必要な書類を作る

プライバシーマークの審査で必要な書類は

① 文書類、② 記録類、③ 帳票類の3つの分類に分けられます。
それぞれ詳しく見ていきましょう!

① 文書類

自社の個人情報取り扱いのルールを文書化したものです。

個人情報保護マニュアル
個人情報保護マネジメントシステムを運用していく際のルールを定めたものです。

安全管理規定
安全管理措置を定めたものです。
入退室管理や、盗難の防止策、個人情報を移送や送信する際のリスクに対しての対策をまとめたものです。

個人情報保護方針
個人情報を守るために会社でどんなことをしていくかを示したものです。
載せないといけない項目が決まっていますので、それに沿って策定します。

個人情報の取り扱いについて
取得した個人情報をどのように使うのか確認する際の問い合わせ先などが載ったものです。
一般的には「個人情報保護方針」と一緒にWebに掲載されます。

文書や記録をまとめた台帳
「①文書類」「②記録類」「③帳票類」をまとめて台帳にしたものです。

② 記録類

運用がきちんと行われているかの証拠としてそれぞれ記したものがプライバシーマークにおける「記録」です。「記録」は以下の7つに分けられます。

個人情報をまとめた台帳
自社で取り扱っている個人情報を洗い出し特定し一覧にまとめたものです。

法令
自社の業務に関係のある法令、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定します。

リスク分析
「個人情報を取りまとめた台帳」で特定した個人情報を取り扱う上でのリスクを洗い出し、どういった対策を取るのかを決めて一覧にします。

委託
個人情報を委託している事業者を特定、評価します。

認識
従業者全員に個人情報保護についての教育を行います。実施する教育についての計画書と、実施した記録を作成します。

監査
自社の個人情報マネジメントシステムに不適合はないか、運用において問題がないかを監査します。
教育と同じく計画書と、実施した記録を作成します。
また、監査によって不適合が出た場合は「是正処置に関する記録」が必要になります。

マネジメントレビュー
代表者が全運用状況の報告を受け、確認して指示を出します。 

③ 帳票類

採用で発生する同意書や、従業員の同意書、そのほか従業員の入退室の記録や来訪者の記録などです。
個人情報に関しての苦情や事故があった場合の報告書等の用意が必要になります。

Pマーク総研は月額4万円で面倒な書類作成もすべて代行!
まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
らくらく1分お問い合わせフォーム

ステップ(3) 審査機関に申請する

申請条件

プライバシーマークを申請するためには以下の条件を満たしていることが必要になります。

1.「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づいた個人情報保護マネジメントシステム(PMS)を定めていること。
2.個人情報保護マネジメントシステム(PMS)に基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。
3.申請事業者の社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること(JIS Q 15001が規定する個人情報保護マネジメントシステム(PMS)を構築するためには、個人情報保護管理者、個人情報保護監査責任者の任を負うものが1名ずつ必要であるため)。
引用元:一般財団法人日本情報経済社会推進協会(JIPDEC)ホームページ

 
なんだか難しい印象を受けますが、簡単に要約すると、

1.プライバシーマークの要求事項に基づき、マニュアル、規程を作成していること
2.1で作成したマニュアル、規程を基に、全社でプライバシーマークの運用を実施していること
3.正社員あるいは役員が2名以上いること(監査役は除く)

ということです。
実際に1~3の条件を満たせているかどうかは、一度審査機関にお問い合わせいただくと確実です。

また、3つの条件を満たしていても、下記①②に該当する事業者は申請が出来ませんのでご注意ください。

①「プライバシーマーク制度における欠格事項及び判断基準」に定める下記の欠格事項に該当する事業者
詳細はこちらをクリック
②「風俗営業等の規制及び業務の適正化等に関する法律」(昭和23年7月10日法律第122号)第2条第5項に規定する「性風俗関連特殊営業」を営む事業者またはこれらに類似する営業を営む事業者

提出先

申請条件を満たしていることを確認出来たら、次はステップ(2)で作成した書類を審査機関に直接持参、又は郵送で提出しましょう。

保健・医療・福祉分野や特定の審査機関の会員となっている事業者以外の方は一般財団法人日本情報経済社会推進協会(JIPDEC)に提出します。

書類の送付先はJIPDECのホームページでご確認ください。
→一般財団法人日本情報経済社会推進協会(JIPDEC)ホームページ

ステップ(4) 審査機関に現地審査に来てもらう

ステップ(3)で提出した書類の文書審査が終了すると、次は現地審査があります。
現地審査では、審査機関から審査員が派遣され、個人情報保護マネジメントシステム(PMS)の通りに体制が整備され、運用されているか等について確認されます。

※個人情報保護マネジメントシステム(PMS)とは
個人情報を保護する体制をつくり、実行するだけではなく、継続的に改善していく仕組みを「個人情報保護マネジメントシステム」といいます。

現地審査当日の流れ

現地審査は大まかに以下の流れで行われます。

① トップインタビュー
② PMS運用状況の確認
③ 現場での実施状況の確認
④ 総括

それぞれ詳しく見ていきましょう!

① トップインタビュー
事業者の代表へのインタビュー(トップインタビュー)ではおおよそ以下のようなことを聞かれます。
・事業内容、経営方針等について
・個人情報に関する事故の有無
・申請動機や個人情報保護の目的
・個人情報保護方針について
・個人情報保護のための人的資源(体制)について
・マネジメントレビュー
・PMSの継続的な改善について

② PMS運用状況の確認
申請担当者や個人情報保護管理者、個人情報監査責任者等に対して、実際のPMS運用状況が確認されます。
事業の内容を詳細にヒアリングし、個人情報を取り扱う業務ごとに個人情報の特定やリスクアセスメント、リスク対策および安全管理措置等の状況を確認されます。
また、従業者の教育や内部監査等のPMS運用状況確認されます。

③ 現場での実施状況の確認
個人情報を取扱っている現場で、実際に行われている安全管理措置の実施状況を確認されます。

④ 総括
審査員からPMS運用において改善が必要であると判断された事項(指摘事項)などについて、説明を受けます。

審査費用の支払い

現地審査が終了すると、審査料と現地審査にかかる交通費、(審査員の)宿泊費の請求書が送付されるため、それに従い支払いを完了させましょう。
なお、この請求に対する支払いがされていない間、審査をストップされてしまう可能性があるため、支払いはすみやかに行いましょう。

ステップ(5) 指摘改善作業をする

指摘改善作業はプライバシーマークの現地審査を受けた後に必ず発生する作業です。
現地審査の際に、

・規定通りのルールが現場で適用されているか
・個人情報の取り扱いが適切に行われているか

を確認され、適切でないと判断された場合にその部分をルール通りに改善するというものです。

ここで重要なのが、指摘が出た=プライバシーマークが取れない、というわけではありません。
最初の指摘に関しては3か月以内に改善対応結果を提出し、さらに再指摘を受けた場合は1か月以内に改善対応結果を提出すればよいのです。

指摘改善はプライバシーマークの審査を受けた際には必須の作業です。
指摘が出ないように審査を受けることは不可能です。
そのため指摘が出ないように完璧な審査を受けようとするのではなく、指摘改善をスムーズに行い、早く審査員に改善を認めてもらう方が負担の少ないプライバシーマーク運用に繋がります。

指摘改善作業の流れ

それでは指摘改善の具体的な流れをご説明します。

① 審査機関から届く書類を開いて「指摘事項」を確認する

現地審査の数日後、審査機関から「プライバシーマーク付与申請審査の指摘事項について」という書類が届きます。こちらに記載されているものを「指摘事項」と言います。

「指摘事項」には指摘ごとに「~すること」と書かれている部分があります。
これが審査員の求めている改善してほしい部分です。

② 要求通りに改善してエビデンスを提出する

審査機関の要求通りに改善をして、その際に修正した書類を「エビデンス」として提出します。
次に、「指摘事項対応表」というテンプレートに「a)不適合になった原因」、「b)是正処置」、「c)エビデンス」を記載します。

a)不適合になった原因
指摘事項の「しかし」と書かれた以降から「~していない」と書かれている部分がなぜできなかったのか原因を書きます。

b)是正処置
実際に行った改善を書きます。

c)エビデンス
是正処置の際に修正した書類の名称を記載します。
指摘作業でマニュアルの修正があった場合は改訂したマニュアルを提出します。
また、マニュアルが改訂されると文書一覧の改定日も修正しなくてはいけないので、文書一覧の提出も必要になります。
ホームページを修整した際はホームページのハードコピーがエビデンスになります。

以上の流れで指摘改善を行い、審査機関によって指摘事項が改善されたと判断されると晴れてプライバシーマーク取得となります。

まとめ

それではここでおさらいをしましょう!
プライバシーマークを取得するためには、

① プライバシーマークについて調べる
② プライバシーマーク申請に必要な書類を作る
③ 審査機関に申請する
④ 審査機関に現地審査に来てもらう
⑤ 指摘改善作業をする

というステップが必要になります。

このように細かい手順と専門的な知識が必要なため、プライバシーマークの担当になった方には非常に大きな負担がかかってしまいます。
そのため無理に自社で取得しようとするのではなく、専門のコンサルティング会社の利用を検討してみるのも良いでしょう。

Pマーク総研では、月額4万円ですべての作業を代行しております。
まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
らくらく1分お問い合わせフォーム

プライバシーマーク基礎知識一覧

プライバシーマーク用語集