プライバシーマーク制度概要・取得方法のご案内

プライバシーマーク制度とは、一般財団法人日本情報経済社会推進協会（JIPDEC）が運営している個人情報に関するJIS規格（JISQ15001：2017）に適合した個人情報マネジメントシステム（PMS)を整備し、個人情報の取扱いを適切に行っている会社を評価・選定し、その証としてプライバシーマークの使用を許諾する制度をいいます。

プライバシーマークを取得した場合、以下のメリットが得られます。

１　組織の個人情報保護体制を強化できる。

プライバシーマークを取得するためには、JIS規格に適合した遵守事項に基づく個人情報保護体制を構築しなければなりません。そしてJISで求められる個人情報保護体制は、法令で求められているものよりも厳しい内容であるため、より高いレベルでの個人情報保護体制を構築することができます。

２　顧客やステークホルダーに対して個人情報保護体制を構築していることをアピールできる。

プライバシーマークを取得した場合、プライバシーマーク事業者としてロゴを使用することが許されます。ウェブサイトやパンフレットなどにも使用できますので、個人情報保護体制を構築していることを第三者にアピールことができます。

また、取得していない事業者との差別化を図ることができ、ビジネスにおいても優位に立つことができます。

プライバシーマークの取得スケジュールは、以下のとおりです。

１　事業者の事業の方向性・利害関係者・ニーズを把握する

２　事業者の業務内容を把握し、業務フローを作成する

３　工程ごとに取り扱う個人情報を特定し、管理台帳を作成する

４　個人情報の流れを把握し、リスク分析を行う

５　物理的・技術的安全対策を行う

６　PMSの文書化を行う。

７　PMSの運用体制を作る

８　従業者教育を行う

９　PMSに基づく運用を行う

１０　PMSの運用確認・内部監査を行う

１１　PMSの是正・見直しを行う

１２　プライバシーマーク申請を行う

１３　PMS文書審査を受ける

１４　PMSの現地審査を受ける

１５　指摘事項に対する是正対応を行う

１６　プライバシーマークの交付を受ける

なお、プライバシーマークを取得するまでの期間ですが、策定・運用で約半年、審査で約半年で合計1年程度かかります。

事業者の事業の方向性・ニーズ・利害関係者を把握します。

事業の方向性とは、自社が行っている事業及び将来行う予定である事業などを把握することを言います。

利害関係者とは、消費者・取引先・従業者・協力会社・スポンサー等など自社の事業に関わる人たちのことを言います。

ニーズとは、利害関係者が自分の会社に対して求めているものを言います。

PMSを構築する際には、自分の会社が進む方向性や周囲にどのようなことを求められているかを事前に把握し、それを加味して構築する必要があります。

事業者が行う事業の業務内容を把握します。

業務内容を把握し、フローを作成していきます。業務フローは、工程をより工程をより細かく把握するようにします。

工程の行う過程で発生する個人情報にどのようなものがあるかを確認します。 これを個人情報の特定といいます。

各部門の個人情報を特定したら、個人情報の取り扱い等について個人情報台帳という表にまとめます。 表の項目としては、以下のものがあります。

• 個人情報の名称
• 個人情報の取り扱い目的
• データの形態
• 委託、第三者提供の有無
• 個人情報の保管場所
• 個人情報の保管期間

なお、個人情報管理台帳は、プライバシーマーク取得後も、更新しなければなりません。

個人情報管理台帳の作成が終わったら、個人情報のリスク分析を行います。

リスク分析は、個人情報の取扱いの流れを把握し、それぞれの場面でどのようなリスクがあるのか検証します。

リスク分析では、主に以下のフェーズでどのようなリスクがあるかを把握します。

1. 個人情報等の取得時
2. 個人情報等の利用時
3. 個人情報等の移送時
4. 個人情報等の委託時
5. 個人情報等の廃棄時

把握していないリスクがある場合、個人情報の漏えい事故の危険性が高まりますので、どのようなリスクがあるのかをよく分析しましょう。

把握したリスク対策をPMSの文書化で生かしていきます。

リスク分析で把握したリスクに対して、自社で安全対策を講じていきます。
また従業者に対する安全対策への意識付けも同時に行います。

物理的、技術的対策が決まった後に個人情報保護マネジメントシステム（PMS）で使用する文書を作成します。主に以下のような文書を作成します。

• 個人情報保護方針
• 個人情報保護マネジメントシステム規程
• 運用のための記録様式

事業者内部の状況だけでなく、顧客・取引先・利害関係人等のステークホルダーにどのようなニーズがあるのかも把握しながら、マネジメントシステムを構築します。

規程を作成したら、運用体制を構築します。プライバシーマークを運用するにあたり必要な役職は以下のとおりです。

１　個人情報保護管理者

個人情報保護管理者とは、代表者によって会社の内部の者から指名された人で、PMSの実施及び運用に関する責任及び権限を持つ人です。

２　個人情報保護監査責任者

個人情報保護監査責任者とは、代表者によって会社の内部の者から指名された人で、公平かつ客観的な立場にあり、監査の実施及び報告を行う責任及び権限を持つ人をいいます。

上記の２役職は、PMSを運用していく上で必須の役職になりますが、必要に応じて以下の役職を設ける場合があります。

・教育担当者

事業者内の教育について、計画や実施を担当する人です。

・お問い合わせ及び苦情担当者

顧客等からの問い合わせなどを担当する人です。

・安全管理責任者

システムや事業所の物理的安全対策を担当する人です。

個人情報保護マネジメントシステムの運用体制ができたら、従業者教育を進めていきます。

個人情報保護法、関連法令及び個人情報保護マネジメントシステムに関する知識がなければ、運用をすることができません。

プライバシーマーク取得には、教育は要件となっているため、必ず実施しなければなりません。

構築したマネジメントシステムを運用します。

マネジメントシステムを運用していくにつれて、問題点が浮き彫りになってきますので、その問題点を改善してより良いマネジメントシステムにしていきます。

個人情報保護マネジメントシステムを一定期間運用し、その状況を確認します。

１　運用確認

一定期間の運用確認を行います。

２　内部監査

運用確認の後、内部監査員による内部監査を行います。

運用確認状況・内部監査の報告を受けて、個人情報保護マネジメントシステムの見直しを行います。

個人情報保護マネジメントシステムの作成、運用、監査、見直しの一連の工程が終了した後に、いよいよプライバシーマーク取得の申請を行います。

プライバシーマークの申請先については、こちら（外部ページ）をご覧ください。

申請後、Pマークマネジメントシステム文書の文書審査を行います。（申請後約１か月後くらいに文書審査の結果が届きます。）

これは、JIS15001:2017の要求事項及び「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」と各社で作成したマネジメントシステム文書が適合しているかを確認する審査です。

PMSの文書審査のあと、審査員による事業所の現地審査が行われます。

現地審査では、代表者へのトップインタビュー、事業所内の安全対策や記録類の確認等が行われます。

遵守事項に即して運用されていない部分については、指摘事項として改善を求められます。

現地審査で受けた指摘事項については、指導文書が届いてから3か月以内に改善し、審査員に報告する必要があります。

指摘事項で指摘された改善対応が終われば、最終の審査を経て、正式にマークの使用許可が下ります。その後、契約手続に入ります。

プライバシ―マーク取得のための費用は、以下のとおりとなります。（単位：円　消費税込）

当事務所の、プライバシーマークコンサル報酬は、以下のとおりです。

プライバシーマークは、「取得すれば終わり」ではありません。

プライバシーマークの有効期限は2年間で、2年ごとの更新審査があります。

更新審査では、2年間の記録類の確認や、事業内容の再確認等が行われます。

当事務所では、プライバシーマークを取得したお客様に対して、プライバシーマークを維持するためのコンサルティングを行っております。

詳しくは、プライバシーマーク（Pマーク）維持コンサル業務のご案内をご覧ください。

2023年9月20日に新しいJIS（JISQ15001：2023）が発表されました。このサイトでも、今後最新情報をお伝えいたします。

詳しくは、Pマーク規格改定（JISQ15001：2023最新情報のページをご覧ください。

ページトップへ