個人情報保護体制を対外的に証明できるプライバシーマークとは

この記事は約6分で読めます。

国内ではプライバシーマーク(以下、Pマーク)の知名度が高く、取得すれば個人情報保護が適切にできる会社だと幅広くアピールできます。

ここではPマークに興味がある方のために、そもそもPマークとは何か、また取得するメリットと注意点のような概略をお伝えします。さらにPマークを取得する流れも解説しているので、取得を検討中の方もぜひご覧ください。

Pマークとは

Pマークとは、個人情報を適切に保護する体制が整備されていると証明する第三者機関(自社でも顧客でもない独立機関)による規格制度です。Pマークを取得できるのは国内に活動拠点のある事業者で、原則、法人単位で取得します。つまりPマークを取得するには、組織全体の包括的な体制を整備する必要があります。

詳しい要件は国内規格の「JIS Q 15001」で定義されており、一般財団法人の日本情報経済社会推進協会(JIPDEC)が認定した事業者のみがPマークを取得できます。
JIS Q 15001では「個人情報保護マネジメントシステム(PMS)」、個人情報を保護する全社的な体制を整備し、継続的に運用、改善を行う仕組みを規定しています。PMSによる個人情報の適切な取り扱いができるかの審査を経て、適合事業者と認定されるとPマークを取得できます

Pマークの現在

Pマーク制度ができた1998年当時は、Pマーク取得は一般消費者向けに個人情報をきちんと扱うことをアピールする意味合いを強く帯びていました。その後2005年に個人情報保護法が施行されることになり、Pマーク制度は法律の上位規範としての立ち位置になりました。

しかし、2017年には小規模事業者も含め、個人情報を扱うすべての事業者が個人情報保護法の適用対象となりました。Pマークが一般の人々に個人情報保護を印象づける力は以前ほど強くなくなってきています。
現在Pマークの有用な使い道の一つに、企業間取引における信頼性の証明があげられます。

たとえば官公庁の入札では、Pマークや国際規格の「ISO27001」の認証取得が必須の案件があります。個人情報保護の法整備が進み、Pマークはどちらかというと消費者の購買判斷の基準から、企業取引の要件として重視されるケースが多くなっています。

Pマーク取得のメリット

Pマーク取得のメリットは、個人情報をきちんと扱える体制を社内に確立できるだけでなく、取得による対外的な証明になることです。Pマークにより対外的に得られる主なメリットを3つ紹介します。

委託契約がスムーズ

個人情報を取り扱う業務を外部に委託する企業も多くあります。しかし、委託先による個人情報の漏洩事案が後を絶ちません。JIS Q 15001では「委託先の監督」についての規定があり、Pマークの取得事業者は委託先のセキュリティ管理体制が大丈夫なのか定期的なチェックが必要です。

しかし、自社が既にPマークを取得していればどうでしょうか。すでにPMSの構築と運用ができており、依頼企業は体制チェックや監督の手間を省けるため、委託契約もスムーズに進められます

官公庁の入札案件に参加しやすくなる

官公庁の入札案件の条件として、Pマークの取得が必要とされることが多くなっています。国内の個人情報保護に関する意識の広まりにより、公的機関も個人情報漏洩の事案発生リスクを回避したいようです。

もし公的機関の案件に参入を検討しているのであれば、入札条件となることが多いPマークの取得を前向きに考えてみてはいかがでしょうか。

個人情報取り扱いの信頼性を外部に示せる

Pマークはもともと一般消費者向けにアピールする規格だったため、認知度が高く、個人情報保護を重視している企業だと外部にアピールできます。個人情報保護法が制定されて久しいですが、やはり、Pマークは一定の信頼性の証明になります。

一般の利用者はもちろん、近年は企業間の取引においてPマーク取得の有無に関心が持たれるようになっています。Pマークは個人情報の漏洩リスクが少ないと証明できるため、安全な取引を望む企業からの受注増加など、取引拡大の機会を狙えるツールの一つといえるでしょう。

Pマークの注意点

Pマークの取得後はさまざまな対応が必要になります。継続的な運用や取得の維持、事案発生時の対応といったものです。主な注意点として以下の3つがあげられます。

業務が煩雑になることもある

Pマークを取得するということは、PMSを日常業務に組み込み、運用したエビデンスを残す必要があります。年に1回の内部監査の実施や、パートやアルバイトも含めたすべての従業員の教育も必要です。つまり、従来の業務に加え、個人情報保護に関する取り組みに手を割く必要が生じます。

高度な個人情報保護ができるという付加価値、また事故リスク低減のため、少々の業務効率の低下を許容せねばならないでしょう。国内の規範には個人情報保護法もあり、より高度なPMS運用を必要とする意義づけや組織的な合意形成が必要となるかもしれません。

更新対応が必要

Pマークの有効期限は2年間で、2年ごとの更新審査に合格しないと返上しなくてはなりません。更新審査や申請においては運用記録の用意が必要で、普段のPMS実施の状況が問われます。取得当初のルール遵守の意識が薄れ、書類や体制が整わない場合は大変です。

さらに更新審査でも新規取得時と同様の審査があり対応が必要となるので注意しましょう。

情報漏洩を起こした場合の報告義務

Pマークの取得事業者が事故を起こしたら、JIPDECに(改正法施行後は個人情報委員会にも)報告が必要です。

Pマーク付与に関する規約により、Pマークの取得事業者が個人情報漏洩などの事案を発生させた場合、当該事業者からJIPDEC(Pマーク制度の運用団体)への事故報告書の提出が義務づけられています。その後、欠格レベル(0~10)の判定や、外部識者を交えた委員会の審議により、「注意」「勧告」「Pマーク付与の一時停止」「Pマーク付与の取消」の措置を決定し結果が通知されます。

PMSをしっかり運用していても、過失による事故が起きることがあります。
ヒヤリ・ハットの報告と対策実施、またはフールプルーフなど、重大な事案発生を未然に防ぐ仕組みづくりと体制が確立できるとベターです。

Pマークの取得にあたって

Pマークを取得するためには、JIS Q 15001に定める要件に適合していると認められなくてはなりません。規格要件には「個人情報保護マネジメントシステム(PMS)」の構築のほか、運用改善も含みます。またPマークの審査申請には、PMSを運用した記録と内部規程類の提出が必要です。したがって、申請前にあらかじめPMSにおける一連のPDCAサイクル、つまり計画の作成(P)、実施(D)、点検・評価(C)、改善(A)を少なくとも1回行ったという実績を作らなくてはなりません。

Pマークの審査から取得までの流れ

一般的に、Pマークの認定審査から取得するまでの流れは次のようになります。

  1. 書類審査
  2. 現地審査
  3. 合否通知

書類審査ではPMS文書(内部規定類)がJIS Q 15001に基づく審査基準に適合するか確認されます。書類審査はおおむね1.5か月で結果が判明しますが、もし文書審査で不備が指摘された場合、現地審査の開始までに改善が必要です。

現地審査では、実際にPMSの体制の整備と運用がなされているか評価されます。現地審査はほぼ1日がかりとなり、主に以下の3つで構成されています。

  • トップインタビュー
  • 運用状況の確認
  • 現場での実施状況の確認

審査では事業の代表者への質問のほか、運用状況確認のための管理者と監査責任者へのヒアリングPMS文書や運用記録類の確認が行われます。審査員は実態確認のため、個人情報を扱っている現場に行き、社内ルール通りに実施されているかチェックします。

審査終了後に結果が通知され、適格性ありと認定されればPマーク付与契約の運びとなります。

まとめ

Pマークとは、個人情報の適切な取り扱いができることを証明するものです。社会的な信頼を得られるだけでなく、取引拡大、コンプライアンスリスクの回避といった事業上のメリットもあります。円滑な事業運営の一つのツールとして、Pマークの取得を検討されてみるのはいかがでしょうか。

認証取得を目指すPマーク
タイトルとURLをコピーしました