ビジネスの課題・お悩み ここで解決!

プライバシーマーク(Pマーク)取得のメリットと申請方法、注意点や支援サービスの活用方法

プライバシーマーク(Pマーク)取得のメリットと申請方法、注意点や支援サービスの活用方法
2019.03.29

近年、企業による個人情報漏えい事故が多発しており、企業のみならず一般消費者の間でも個人情報保護への意識が高まっています。情報漏えいの原因はいくつか挙げられますが、関係者による情報の持ち出しなど内部不正問題が指摘されたケースもあり、企業にとって情報管理体制の整備は欠かせません。
このような社会的背景を踏まえ、個人情報の取り扱いが適切であることを証明するプライバシーマーク(Pマーク)を取得し、社会的な信用を高めようとする企業が増えてきました。

個人情報漏えいの原因

内部不正の発生原因

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の調査によると、2017年度に発生した漏えいのインシデント件数は386件という集計結果となっています。

2017年 個人情報漏えいインシデント 概要データ【速報】
漏えい人数 519万8,142人
インシデント件数 386件
想定損害賠償総額 1,914億2,742万円
一件あたりの漏えい人数 1万4,894人
一件あたり平均想定損害賠償額 5億4,850万円
一人あたり平均想定損害賠償額 2万3,601円

※JNSA「2017年情報セキュリティインシデントに関する調査報告書」をもとに作成

また、漏えい原因として多かったのは、「誤操作」「紛失・置忘れ」「不正アクセス」「管理ミス」「不正な情報持ち出し」でした。情報取り扱い時のミスや紛失などの人的要因が上位に入っています。

2017年情報セキュリティインシデントに関する調査報告書
※JNSA「2017年情報セキュリティインシデントに関する調査報告書」をもとに作成

個人情報漏えいが企業に与える影響

個人情報漏えいが企業に与える影響

情報漏えいが発生した場合、流出した個人情報の人数に関わらず、企業が負うダメージは大きいといえます。

顧客への賠償金支払いによる損失

個人情報が漏えいすると、顧客へ支払う見舞金や賠償金が発生します。
大企業の事例をみると、見舞金は1人あたり500円~1000円程度が大半です。少額に感じるかもしれませんが、1人あたり500円であっても、500円を1万人に支払うと500万円、10万人に支払うと5,000万円となり、決して少ない金額とはいえないことがわかります。

訴訟による社会的信用の低下

集団訴訟となる可能性も否定できません。訴訟に係る費用や賠償金の支払いが発生するだけでなく、企業の社会的信用に大きなダメージを与えてしまいます。

経営状態の悪化

情報漏えいによって社会的信用が低下すると、顧客離れが起きるだけでなく新規顧客開拓も難しくなり、経営状態が悪化するおそれがあります。

プライバシーマーク(Pマーク)とは何か

プライバシーマーク(Pマーク)とは何か

プライバシーマーク(Pマーク)制度とは、日本工業規格による「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合している事業者を評価する制度です。特に個人情報に関して適切な保護措置を行える体制が整えられている事業者に対し「プライバシーマーク」を付与し、事業においてその使用を認めています。

Pマーク設立の背景・目的

近年において、インターネットを筆頭とする情報技術(IT)が公私ともに一般化することにともない、個人情報をはじめとする情報漏えい対策が求められるようになりました。
速やかに施行でき、かつ実効性をともなった個人情報保護施策が必要となったことで、(財)日本情報処理開発協会(現:一般財団法人日本情報経済社会推進協会)において、通産省(現:経済産業省)の指導でプライバシーマーク制度が創設されました。運用の開始は、平成10年4月1日からとなっています。

プライバシーマーク(Pマーク)取得のメリット

プライバシーマーク(Pマーク)とは、個人情報を適切に管理する体制が整備されていることを証明するマークのことです。プライバシーマークを取得することで、さまざまなメリットが得られます。

社内体制の整備

プライバシーマークを取得したい場合、「一般財団法人日本情報経済社会推進協会(JIPDEC)」その他の審査機関に申請し、プライバシーマーク付与適格審査を受けます。審査基準をクリアする必要があるため、ハード面・ソフト面含めて社内体制を整備するきっかけにもなるでしょう。

内部不正の防止

プライバシーマークの取得を全社的に周知することで、従業員の意識向上も期待できます。また、個人情報を取り扱う手順や管理方法をルール化し、違反した場合の罰則を定めることで、内部不正の防止対策にもなります。

社会的信用の獲得

会社案内やWebサイトに表示できるプライバシーマークは、目に見えて確認できるため、消費者側の個人情報保護に対する意識を高められるともいえます。正しく個人情報を取り扱えることは、事業者の社会的信用にもつながると考えられるでしょう。

またプライバシーマークは、「法律に準拠して正しく個人情報を扱っていること」のアピールとなるだけではありません。個人情報保護に関するマネジメントをさらに高いレベルで確立・運用できている事業者であることを、視覚的に理解してもらえるというメリットがあります。

プライバシーマーク(Pマーク)の申請方法

プライバシーマーク(Pマーク)の申請方法

事業者がプライバシーマーク(Pマーク)を取得するには、どのような手順を踏むことが必要なのでしょうか。ここでは、プライバシーマーク(Pマーク)の申請から合格までの詳しく手順について、ご紹介します。

1.申請資格

プライバシーマークを取得するには、「プライバシーマーク付与適格性審査」を受けなければなりません。プライバシーマーク付与適格性審査の申請を行うには、以下の資格が必要となります。

  • 法人であること(医療法人、学校法人の場合は一部例外あり)
  • その上で、先に述べた「個人情報保護マネジメントシステム-要求事項(JIS Q 15001)」に基づき、個人情報保護マネジメントシステム(PMS)を制定していること
  • 個人情報保護マネジメントシステム(PMS)に基づいて、正しい個人情報の取扱いを行える体制が整備されており、それに沿って個人情報が適切に取扱われていること
  • 申請する事業者に、正社員か役員(監査役以外)の従業員が2人以上いること
  • プライバシーマーク制度における欠格事項に該当していない、またはプライバシーマーク付与適格性がない事業者と判断されていないこと

2.申請の手順

まず適切な準備を行い、申請資格を満たすことを確認します。具体的に必要となる準備は、以下のとおりです。

  • 社内で管理している個人情報を洗い出し、内容を分析する
  • 個人情報取り扱いに関する社内規定を作成し、規定にしたがって運用する
  • しばらく(何週間か)運用した上で、点検・監査を行う
  • 場合によっては、社内規定の見直しを実施する

上記の取り組みを実施し、それに関する記録を行うことで申請が可能です。
準備が済んだら、必要書類をそろえて申請先に審査の申し込みをします。申請先は2箇所あり、以下のとおりとなっています。

  • 一般財団法人 日本情報経済社会推進協会(略称:JIPDEC)
  • Pマーク付与認定指定機関

Pマーク付与認定指定期間とは、JIPDECが認定・審査を委託している民間事業者です。地域・業種によって指定期間が定められているため、申請する際はよく確認しましょう。

書類審査が済んだら、実際に規定通りの運用がされているか、個人情報保護に関する認識や管理体制などの確認を行う「現地審査」が行われます。
書類審査及び現地審査の結果に基づき、Pマークの付与に関する合否が決まります。結果については、郵送で通知されます。
合格したら、事業者側ではPマーク付与契約の手続きと登録料の支払いを行います。プライバシーマーク登録証およびプライバシーマークの電子データを受領すると、正式にPマークの使用が可能となります。

3.必要書類

プライバシーマーク取得申請には、以下の書類が必要となります。

  1. プライバシーマーク付与適格性審査申請チェック表(電子データではなく紙での提出が必要です)
  2. プライバシーマーク付与適格性審査申請書(代表者印が必要となります)
  3. 会社概要
  4. 個人情報を取扱う業務に関する概要
  5. 全事業所の所在地と、それらの業務内容
  6. 個人情報保護体制について
  7. PMS(個人情報保護マネジメントシステム)に関する文書(内部規程・様式)の一覧・すべての文書
  8. 個人情報保護マネジメントシステム-要求事項(JIS Q 15001)との対応表
  9. 全従業者に対し実施した教育の実施状況に関するサマリー
  10. 全部門に対し実施した監査の実施状況に関するサマリー
  11. 事業者の代表者によって実施した見直しに関するサマリー
  12. 登記事項証明書(「履歴事項全部証明書」もしくは「現在事項全部証明書」)など、申請事業者が実在することを証明できる公的書類の原本
  13. 定款やそれに準ずる規程類
  14. 事業者の企業紹介パンフレットなど
  15. 個人情報管理台帳や、リスク分析結果の見本(各1ページをコピー。必須ではなく任意提出)

4.合格までのスケジュール

申請から合格までのスケジュールの目安は、JIPDECによるプライバシーマーク公式サイトにおけるモデルケースで以下のとおりとなっています。

  • 申請から申請受理まで…約2週間
  • 書類審査と現地調査日の調整および申請料の入金確認…最短で約1.5か月
  • 現地審査と指摘事項の改善および審査会…最短で約1か月+指摘事項改善にかかった期間
  • Pマーク付与契約と登録完了…2~3週間

申請実施から登録完了まで、もっともスムーズに進んだ場合でもPマーク付与までには「最短3.5~4か月」はかかると考えておきましょう。また指摘事項の改善が必要となった場合は、それにかかる期間もプラスされます。また、申請までの準備にも期間を要するため、期間の余裕を持って計画を立てることが大切です。
なお、審査機関によっては上記の目安以上に期間を要する場合もあるため、急いで取得を考えている場合は専門家へ相談するなど対策を考えておきましょう。

プライバシーマーク(Pマーク)取得後の注意点

Pマークを取得するとさまざまなメリットが得られますが、運用するにあたっての注意点もあります。

有効期限について

Pマークには2年間の有効期限があり、期限が訪れれば更新を行う必要があります。更新手続きを行える期間は「有効期間が満了する8か月前~4か月前の日まで」となっており、それまでに更新申請書類を提出しなければなりませんので注意しましょう。また、更新申請を行う際には、基本的に前回プライバシーマークの付与を受けた審査機関に書類を提出することとなっています。

プライバシーマーク取得支援を受けるメリット

プライバシーマーク取得支援を受けるメリット

自社内で取得準備を行う場合、通常業務以外の手間が増え、担当者に負担がかかります。また、審査後に是正内容が指摘された場合の対処が必要です。最初から専門家によるアドバイスを受けて進めた方が、効率的に取得作業を進めることができます。

また、プライバシーマークは更新が必要です。規程が変わることがあるため(※1)、変更事項へ対応する必要があります。JIS規格変更(※2)などに伴う審査基準の変更には細かな点が多く、プライバシーマークを更新する際も、コンサルを受けることでスムーズに更新手続きが進められます。

※1 プライバシーマークの規程変更について

2017年5月30日に全面施行された個人情報保護法の改正をうけて、2017年12月に「個人情報保護マネジメントシステム―要求事項」(JIS Q 15001:2017)」が改正施行されました。これにより、審査項目の一部が追加・変更されています。
また、JIS規格改正に伴い、2018年8月から新審査基準での審査開始となりました。Pマーク取得事業者は、新しい規格へ対応する必要があります(移行期間あり)。

※2 2017年版 のJIS規格(新JIS)について

2006年版のJIS規格では、法令遵守を達成するうえで必要な体制づくり及びマネジメントシステムへの準拠が主でしたが、2017年版 のJIS規格ではマネジメントシステム規格としての位置づけを明確にし、用語の統一や対応策の追加がされています。

まとめ

業種や業態、個人情報の取扱件数に関わらず、個人情報を扱っている事業者はプライバシーマークを取得した方が社会的なメリットを享受できるでしょう。
ただし、Pマークは、個人情報に特化した規格に基づく認証です。「個人情報だけでなく、営業秘密や企業秘密など情報全体に関して、取り組みをしたい」とお考えの場合は、ISMS(ISO27001)情報セキュリティマネジメントシステムの取得を検討しても良いでしょう。