ISO9001とは簡単にいうとどんなもの?
こんにちは。ISOプロの岡です。
Pマーク(プライバシーマーク)は、個人情報の保護体制に対する第三者認証制度であり、取得することで企業の信頼性を高め、事業規模の拡大につながります。
しかし、Pマークの取得は専門的な知識と経験を必要とします。本記事では、Pマークとは何か、取得企業が得られるメリット、把握すべきデメリット、そして取得に必要な準備について詳しく解説します。
Pマーク(プライバシーマーク)とは
Pマークとは何か?について解説していきます。
個人情報の保護体制に対する第三者認証制度
Pマーク(プライバシーマーク)制度とは、日本産業規格の JIS Q 15001(個人情報保護マネジメントシステム―要求事項)に適合し、個人情報の適切な保護措置を講ずる体制を整備している事業者に対して、その旨を示すマークとして「Pマーク」を付与し、事業活動に関してPマークの使用を認める制度のことです。
Pマークを取得することでさまざまなメリットがあるため、多くの企業で取得されており、約16000社以上で取得されています。
Pマーク取得企業の調べ方
JIPDEC のサイトで検索することで、Pマーク取得企業かどうかを調べることが出来ます。
具体的にはプライバシーマーク付与事業者検索から検索が可能です。
また取得企業のホームページや会社案内のパンフレットなどに掲載されていることもあります。
Pマーク取得企業が得られる4つのメリット
Pマーク取得企業のメリットについて解説します。
取引先や顧客への信用度アップ
Pマークを取得しているということは、企業が個人情報の適切な管理と保護に関して一定の基準を満たしていることを「第三者によって認証」されているということを表しています。
そのため、取引先や顧客へ個人情報を適切に扱っていることを示すことが出来るため、信用度アップにつながります。
社内環境改善
Pマークでは、従業員のセキュリティに対する意識が低下し、セキュリティインシデントが発生しやすくなる状況を防ぐために、すべての「従業者」に対して、最低でも年1回教育を行う必要があります。
具体的には、JIS Q 15001で以下の内容について教育を行うことが求められています。
- 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
- 個人情報保護マネジメントシステムに適合することの重要性及び利点
- 個人情報保護マネジメントシステムに適合するための役割及び責任
- 個人情報保護マネジメントシステムに違反した際に予想される結果
このように、定期的な教育によって、個人情報保護に対する意識を高め、従業員の情報リテラシーが向上するといったメリットがあります。
事業規模の拡大
官公庁の入札条件として、Pマークの取得が入っていることが多くなっています。そのため、Pマークを取得することによって、入札に参加できる範囲が増えます。
また、先述した通り、Pマークを取得しているということは、企業が個人情報の適切な管理と保護に関して一定の基準を満たしていることを「第三者によって認証」されているということを表しています。
それによって、Pマーク未取得の企業よりも個人情報の管理という点で信頼性が高まるためビジネスチャンスが増えるといったメリットもあります。
Pマーク取得企業が把握すべき3つのデメリット
Pマークを取得した企業にとって、事前に理解しておきたいデメリットについて解説します。
従業員の負担増加
JIS Q 15001の要求事項を満たした個人情報保護マネジメントシステム(PMS)を構築するには時間と労力が必要です。
また、Pマークを維持するにはシステムを運用し続ける必要があり、これにも労力がかかります。
具体的には、マニュアルの作成・更新や個人情報保護マネジメントシステムを正しく運用しているかどうか記録を残す必要があったりと通常業務以外の業務が増えます。
またPマークを継続するためには2年ごとに更新審査(約1日かけて実施)が必要であり、審査中は「個人情報管理責任者」は拘束されることになります。
このように、従業員の負担が増加するといったデメリットがあります。
Pマークの取得には時間と手間がかかる
Pマークを取得するには時間と手間がかかります。
具体的には以下のことが必要になります。
- JIS Q 15001の要求事項に従ってルールを作る
- Pマーク制度に沿ってJIPDECの指定機関に申請(審査依頼)
- 2回の審査を経て合格することでPマークを取得
期間としては、ルール作成に1か月~5か月かかり、申請から合格までには2か月~4カ月かかります。
個人情報漏洩による報告義務が発生
Pマークを取得したからと言って、セキュリティインシデントを完全に防げるということではありません。実際、Pマークを取得した企業のうち約5%が毎年、セキュリティインシデントが発生したことをJIPDECに報告しています。
Pマークを取得した企業が何らかのセキュリティインシデントを発生させた場合、JIPDECに報告義務が生じます。
セキュリティインシデントの内容によっては、Pマーク取り消しになることがあり、それによって「信頼性が低下する」といったリスクがあります。
Pマーク取得に必要な準備
Pマーク取得のために必要な書類や対策など準備しておくと役立つものについて説明します。
申請に必要な書類
Pマークの取得には以下の書類が必要になります。
- プライバシーマーク付与適格性審査申請チェック表
- プライバシーマーク付与適格性審査申請書 ※代表者印の捺印必須
- 事業者概要
- 個人情報を取扱う業務の概要
- すべての事業所の所在地及び業務内容
- 個人情報保護体制
- 個人情報保護マネジメントシステム文書の一覧
- JIS Q 15001との対応表
- 教育実施サマリー
- 内部監査実施サマリー
- マネジメントレビュー実施サマリー
- 登記事項証明書等申請事業者の実在を証す公的文書の原本 ※申請日前3か月以内の発行文書。写し不可
- 定款、その他これに準ずる規程類の写し
- 最新の個人情報保護マネジメントシステム文書一式の写し
- 個人情報を特定した台帳「個人情報管理台帳」の運用記録(様式ではない)の冒頭1ページの写し
- 「リスク分析結果」の写し
上記以外にも任意で提出する書類もあるため、抜け漏れが無いように確認することが大事になります。
必要書類についてさらに詳しい情報を知りたい方は下記の記事を参照してください。
>>参照記事:”1.申請書類の作成” 一般財団法人日本情報経済社会推進協会(外部リンク)
申請時にかかる費用
取得には費用が掛かり、事業規模に応じて変わります。小規模であれば約31万円、大規模であれば約125万円かかります。
詳しい料金については下記ページを参照してください。
>>参照記事:”費用”一般財団法人日本情報経済社会推進協会(外部リンク)
取得に必要な対策
Pマークを取得するためには、十分なセキュリティ対策を行っている必要があります。
具体的には、鍵付きロッカーやパソコンのワイヤーロックを使用するなどの「物理的なセキュリティ」対策から、ファイアウォールやWEBサイトのSSL化といった「システム面でのセキュリティ」対策を行っておく必要があります。
そのため、物理面、システム面問わずしっかりとセキュリティ対策をできているか確認しておく必要があります。
取得後の運用と管理
Pマークは取得後の運用も重要です。
ここでは取得後のポイントをいくつかご紹介します。
個人情報の洗い出しルールを決めておく
事前にルールを決めておくことで個人情報の取り扱い状況をスムーズに把握することが可能になります。
法規制の一覧表を作っておく
法規制を把握し、法令違反という重大なリスクを避けるために、法規制の一覧表を作っておくことでリスクをある程度減らすことが可能になります。
リスク分析表を作成する
リスク分析表とは、想定されるリスクとその対策をリスト化したものです。
リスク分析表を作成しておくことで、リスク低減に役立ちます。
定期的に教育をする
時間が経つにつれて、従業員のセキュリティへの意識が低下していく場合があります。
この問題に対処し、セキュリティインシデントが発生するリスクを抑えるためにも定期的に教育をしましょう。
以上が、Pマーク取得のために必要な準備とその後の運用のポイントです。
Pマークの取得は、企業が個人情報保護に対する国際的な基準を満たしていることを証明する重要な手段であり、取得と維持は企業の信頼性と競争力を高める効果が期待できます。しかし、取得と維持にはコストがかかるため、Pマークは継続的に維持することや管理についても重要です。
まとめ
ここまで解説したように、Pマークを取得することによって、取引先や個人への信用獲得や入札、取引を有利に進めることが出来るようになるといったメリットがあります。
しかし、Pマークを取得するためには専門的な知識や経験が求められます。
そのため、もしPマーク取得を検討しているが知識やノウハウが自社にないというのであればコンサルティング会社などを活用することも一つの手です。