個人情報保護に特化した認証マークとして知られるプライバシーマーク(Pマーク)。自社が適切な個人情報保護措置を講じていることを対外的にアピールするためのツールとして、さまざまな企業に活用されています。ただ、「プライバシーマークの具体的な制度内容が把握できていない」、「プライバシーマークを取得する意味やメリットがあるのかわからない」、「自社にプライバシーマークが必要なのかわからない」といった悩みをお持ちの方も多いと思います。そこで今回の記事では、プライバシーマークや同制度の概要を簡単に説明した上で、取得の必要性やメリットについて解説し、プライバシーマーク取得方法や取得までのプロセスなども紹介します。また、同じくセキュリティ認証として有名なISMSとの違いについても説明するので、プライバシーマークとISMS認証のどちらを取得すべきか悩んでいる方々にも参考にしていただけると幸いです。
①申請~申請受理
②現地審査日調整~文書審査
③現地審査~審査会
④プライバシーマーク付与契約
①環境整備
②体制構築
③運用
④審査
プライバシーマーク(Pマーク)の概要
プライバシーマーク(Pマーク)とは?
プライバシーマーク(Pマーク)とは、簡単に言うと、適切な個人情報保護措置を講じていることが審査で認められた企業に対して付与される認証マークのことです。具体的には、企業はJIS規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に基づいて適切に個人情報を扱っていることが第三者による客観的な評価で認められると、プライバシーマークを取得することができます。そして、「審査に合格した企業へプライバシーマークを付与する」というこの認定制度は、「プライバシーマーク制度」と呼ばれています。
個人情報保護マネジメントシステム(PMS)とは?
プライバシーマークを取得するためには、個人情報を安全に管理するための仕組み・体制を作らなくてはなりません。この仕組み・体制にあたるのが、「個人情報保護マネジメントシステム」です。個人情報保護マネジメントシステムは「Personal Information Protection Management Systems」の日本語訳で、略して「PMS」とも呼ばれます。
PMSは、JIS Q 15001が規定する要求事項に基づいて構築していく必要がありますが、JIS Q 15001および個人情報保護法に対応したPMSの考え方や具体的な対応などは、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(最新版は2022年4月28日に改訂された1.0.3版)という文書に記載されています。したがってプライバシーマークの取得を目指す企業は、この指針に基づいてPMSを構築・運用していくことになります。
なお、PMSの基本的な仕組みは「計画(Plan)」「実施(Do)」「点検・評価(Check)」「改善(Act)」から成る「PDCAサイクル」(詳しくは後述)によって確立していきます。プライバシーマーク取得企業には、PMSの運用と改善を毎年繰り返し行うことで、個人情報の保護レベルをさらに上げていく努力をすることが求められます。
PMSの確立とPDCAサイクル
PMSの確立・運用は以下のようなP、D、C、Aの流れ(PDCAサイクル)で行います。
①個人情報保護方針を策定する。
②(P)個人情報保護方針に基づきPMSを推進するための社内体制を整え、作業計画を立てる。
③(D)作業計画を実施する(「個人情報」の特定、リスク分析と対策、規程などの作成とその運用、従業員の教育など)。
④(C)運用状況を点検・評価する。
⑤(A)見えてきた課題を改善する。代表者はPMS全体を見直す。
プライバシーマークの必要性とメリット
では、どんな企業がプライバシーマークの取得を求められるのでしょうか?また、取得によってどのようなメリットが得られるのでしょうか?個人情報保護の重要性や、個人情報漏洩による影響と併せて見ていきましょう。
個人情報保護の重要性
そもそも、個人情報の漏洩などが生じないように適切な保護・管理措置を講じなければならないことは、個人情報保護法で定められています(※)。法律で決められている以上、個人情報を守るための対策は確実に行わなければなりません。
※「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」(第二節第二十三条)
また、サイバー攻撃や社内でのミスなどが原因で個人情報の漏洩事故(インシデント)が起きてしまうと、後述するように、事業経営に大きな影響が及ぶ恐れがあります。したがって、漏洩を防ぐための個人情報保護措置をしっかり講じておくことは、経営戦略という観点でも重要だと言えます。
個人情報漏洩による影響
では、個人情報の漏洩により、企業は具体的にどのような影響を受ける恐れがあるのでしょうか?
インシデントにより発生し得る企業への影響
・社会的な信⽤の失墜:顧客や取引先からの信用を失ったり、企業ブランドのイメージが低下したりする恐れがあります。
・経済的な損失:再発防止策への投資、漏洩した本人への補償、業務停止による営業機会の損失、信用回復のための投資など、インシデントが発生するとさまざまなコストがかかることが予想されます。
・事業継続へのダメージ:株価の下落、取引の減少、経営状況の悪化など、事業の存続を左右するような悪影響が生じる場合があります。
プライバシーマークを取得すべき企業とは?
プライバシーマークは、個人情報保護法をはじめとする法律への適合性(※)はもちろんのこと、自主的に強固な個人情報保護マネジメントシステム(PMS)を確立・運用していることをアピールするためのツールとして活用可能です。したがって、以下のいずれかに該当する企業にはプライバシーマークの取得を検討することをお勧めします。
・個人情報を取り扱うビジネスを展開している(人材派遣業など)
・個人を特定できる情報を扱っている(Eコマース業など)
※プライバシーマーク制度において、付与審査の基準に組み込まれている法律:
– 個人情報保護法(正式には「個人情報の保護に関する法律」)
– 個人情報保護法に関するガイドライン
– 地方自治体による個人情報関連の条例
– 業界団体の個人情報関連のガイドライン など
プライバシーマーク取得企業の数
2023年3月22日時点で、プライバシーマークの取得企業数は17,425社です。なお、取得企業はこちらのJIPDECのページで検索することができます。
プライバシーマーク取得のメリット
プライバシーマークを取得していると、個人情報の取り扱いに関して一定のレベルを有していることを証明できます。このため、対外的なイメージ・信頼アップや他社との差別化などのメリットが期待できます。そのほかには、以下のようなメリットがあります。
<対外的メリット>
・顧客や取引先からの信頼が向上する
・他社との差別化を図れる
・取引条件をクリアできる
・法律の適合性を確認できる
<内部的メリット>
・個人情報取り扱いにおける従業員の意識やモラルが向上する
・個人情報の取り扱いにおけるセキュリティ面でのリスク対策ができる
・業務効率が向上する
プライバシーマーク取得のデメリット
逆に、以下のようなデメリットも考えられます。
・業務負荷が増大する
・コストが増大する(審査費用、コンサル費用など)
・マニュアルや文書が増える
プライバシーマークの表示について
審査に合格すると付与されるプライバシーマーク(ロゴ)は、店頭、契約約款、説明書、宣伝・広告用資料、封筒、便箋、名刺、ホームページなどに表示することが可能です。これにより、個人情報を適切に保護できているということをわかりやすく外部へアピールできます。
プライバシーマーク制度の概要
冒頭でも少し触れた通り、プライバシーマーク制度は、企業が個人情報の取り扱いを適切に行う体制等を整備していることを評価し、その証としてプライバシーマークの使用を認めるという制度です。この制度について、もう少し詳しく見ていきましょう。
付与の対象と単位
まず、プライバシーマーク付与の対象となるのは、「国内に活動拠点を持つ事業者」です。そして付与は法人単位で行われるため、「事業部のみ」や「特定のサービスのみ」での取得はできません。
プライバシーマーク制度の運営機関
プライバシーマーク制度は、以下の3種の機関によって運営されています。
①プライバシーマーク付与機関(付与機関):審査機関の指定や申請の審査などを担当する機関で、JIPDEC(一般財団法人 日本情報経済社会推進協会)が務めています。
②プライバシーマーク指定審査機関(審査機関):プライバシーマーク制度委員会の審議を経て審査機関として指定を受けた団体で、審査申請の受け付けや、申請内容の審査・調査等を担当します。
③プライバシーマーク指定研修機関(研修機関):プライバシーマーク制度委員会の審議を経て研修機関として指定を受けた団体で、審査員補を養成するための研修や、主任審査員、審査員、審査員補が資格を維持するためのフォローアップ研修を実施します。
プライバシーマークの有効期間
プライバシーマークの有効期間は2年間で、2年ごとに更新審査を受審する必要があります。なお更新申請は、有効期間が終了する8か月前から4か月前までの間に行わなければなりません。
プライバシーマークの取得条件
プライバシーマークの申請資格
先ほども触れた通り、審査を申請できる事業者は、国内に活動拠点を持つ事業者に限られます。
プライバシーマーク審査を申請するための条件
プライバシーマーク審査を申請するためには、以下の3つの条件を満たしている必要があります。
・JIS Q 15001に基づいた「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に即して、個人情報保護マネジメントシステム(PMS)を定めていること。
・そのPMSに基づき、実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。
・PMSの運営体制として、社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること。
プライバシーマークの取得方法と費用
プライバシーマークを取得するためには、プライバシーマーク指定審査機関へ申請書類を提出し、各種審査を受けなければなりません。ここでは、申請から取得までの流れと申請料・審査料などの費用について見ていきましょう。
プライバシーマーク取得までの流れ
以下が、プライバシーマーク取得までの大まかな流れです。
①申請~申請受理
・申請:審査機関へ申請書類を提出し、申請料を支払います。
・形式審査:申請書類に不備がないかについて、審査機関による形式審査が行われます。
②現地審査日調整~文書審査
・日程調整:現地審査日の調整を行い、日程が決まると審査機関より通知が届きます。
・文書審査:申請書類のうち、PMSに関する文書(内部規程・様式)がプライバシーマークにおけるPMS構築・運用指針に適合しているかどうかについての審査が行われます。
③現地審査~審査会
・現地審査:PMSの通りに体制が整備され、運用されているか等についてを確認するための現地審査が行われます。その後、審査料を支払います。
・指摘事項の改善:審査機関から指摘された事項を改善し、改善報告書を作成・提出します。
・審査会:指摘事項改善の完了後、審査機関の審査会でプライバシーマーク付与可否の判定がなされます。
④プライバシーマーク付与契約
・付与契約:審査会により付与が決定されると、JIPDECから付与契約書と付与登録料の請求書が郵送されてきます。これに記入の上、返送し、付与登録料を支払います。
・プライバシーマーク付与登録:契約書の返送と付与登録料の入金が確認されると、プライバシーマーク付与登録が行われます。この後、JIPDECから登録証が届き、プライバシーマークの使用を開始できるようになります。
・更新:付与登録後、2年ごとに更新を行います。
プライバシーマークの取得費用
前述の通り、プライバシーマークを取得するためには、申請料、審査料、および付与登録料を支払う必要があります。以下の表のように、この費用は事業者規模や新規取得か更新かによって異なります。また、企業によっては追加でプライバシーマーク取得支援コンサルなどの費用がかかる場合も考えられます。
新規取得時 | 更新時 | |||||
事業者規模 | 小規模 | 中規模 | 大規模 | 小規模 | 中規模 | 大規模 |
申請料 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 | 52,382 |
審査料 | 209,524 | 471,429 | 995,238 | 125,714 | 314,286 | 680,952 |
付与登録料 | 52,382 | 104,762 | 209,524 | 52,382 | 104,762 | 209,524 |
(JIPDECの資料「プライバシーマーク付与に係る料金表」を参考に作成、価格はすべて消費税10%込み価格)
なお事業者規模の区分(小規模、中規模、大規模)の判定基準は業種によって異なります。事業者の区分について詳しくは、JIPDECのページをご覧ください。
プライバシーマークとISMSの違い
プライバシーマークと並んで有名なセキュリティ関連の認証として、「ISMS認証」というものがあります。よく混同されがちなプライバシーマークとISMSですが、両者にはどんな違いがあるのでしょうか?
プライバシーマークとISMSの比較
プライバシーマークとISMSの最も大きな違いは、プライバシーマークが個人情報保護に特化した認証であるのに対し、ISMSは情報セキュリティ全般に関する認証であるという点です。
その他には、主に以下のような違いがあります。
Pマーク | ISMS認証 | |
規模 | 日本国内向けの認証制度 | 国際的な認証制度(規格) |
対象(認証単位) | 国内に活動拠点を持つ事業者(法人単位で付与) | 組織、サービス、事業、個人など自由 |
保護範囲(目的) | 個人情報保護に特化 | 情報セキュリティ全般の管理方法を定義 |
取得後の運用 | 2年ごとに更新審査を受ける必要がある | 毎年審査を受ける必要あり。更新審査は3年ごと |
プライバシーマークとISMSの詳しい違いや、どちらを取得すべきかの選び方などに関しては、こちらの記事をご覧ください:「Pマーク(PMS)とISMSの違い、取得のメリットとは」
プライバシーマーク取得までの4つのステップ
プライバシーマーク取得までの大まかなプロセスは、大きく以下の4つのステップに分けて考えることができます。
①環境整備
取得目的の設定
②体制構築
個人情報保護方針や規程の策定、リソース確保
個人情報の洗い出し
リスクアセスメント
③運用
セキュリティ教育
内部監査の実施
マネジメントレビュー
④審査
文書審査
現地審査
指摘事項対応
まとめ
まとめると、プライバシーマークについての重要なポイントは次の7点です。
①プライバシーマークとは、「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に基づいて適切に個人情報を扱っていることが第三者の客観的な評価によって認められた事業者へ付与される認証マークのこと。
②プライバシーマークを取得するためには、JIS Q 15001に則り、「個人情報保護マネジメントシステム(PMS)」という個人情報を安全に管理するための仕組みを構築・運用する必要がある。
③JIS Q 15001には個人情報保護法をはじめとする関連法の規定も含まれているため、プライバシーマークを取得することで自社の法律への適合性を確認できる。
④プライバシーマークを取得していると、自社が個人情報の取り扱いに関して一定のレベルに達していることを証明できるため、顧客からの信頼が高まるなどの対外的メリットが期待できる。
⑤社内におけるメリットとしては、個人情報の取り扱いに関する従業員の意識・モラルの向上や、セキュリティリスクの提言などが挙げられる。
⑥プライバシーマークは2年間有効で、2年ごとに更新審査の受審が必要。
⑦ISMSは情報セキュリティ全般に関する認証だが、プライバシーマークは個人情報保護に特化した認証。
上記を踏まえ、「強固な個人情報保護体制を構築したい」、「適切に個人情報を保護していることを対外的にアピールしたい」といった思いのある企業には、プライバシーマークの取得を検討してみることをお勧めします。
ただ、プライバシーマークを取得するためには、情報セキュリティの知識に加えて個人情報保護法などの法律に関する知識も必要になります。プライバシーマークを取得したいけれど上記のような専門知識を持つ人材が社内にいない、何から始めればいいかわからない、といった課題がある場合は、コンサルティングサービスを利用した方がスムーズかもしれません。
マキナレコードのプライバシーマーク取得支援コンサルティング
弊社マキナレコードでも、プライバシーマーク取得支援コンサルティングサービスを提供しています。環境整備や体制構築から審査対応に至るまで、プライバシーマーク取得までの全プロセスを通して専任のコンサルタントがサポートいたします。取得後の維持運用・更新の支援にも注力し、企業にしっかりとした個人情報保護体制を構築するためのお手伝いをいたします。
また、「プライバシーマークとISMSのどちらを取得すべきかわからない」など、認証の種類で迷っている・違いを明確にしたいといったお悩みがある場合は、コンサルタントがヒアリングをもとに最適な認証(※)を提案させていただきます。
(※)弊社で対応可能な認証:Pマーク、ISMS、PCI DSS(関連記事:「PCI DSSとは?要件や準拠までの流れをわかりやすく解説」)
認証取得支援コンサルティングサービスについて詳しくは、弊社のホームページをご覧ください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。