プライバシーマークの審査とは?審査の流れや注意点などをまとめて解説

この記事は約10分で読めます。
2020.01.23

プライバシーマーク(以下、Pマーク)の審査については、審査の流れを把握すると、見通しを立てやすくなるので、まずは審査の流れを基礎知識として整理しておくと役に立ちます。 

次に審査機関も重要なポイントです。多くの審査機関があることに加え、審査機関により、審査の質やかかる期間が若干異なるなど、審査機関選びもPマーク取得の上で課題となります。 

ここでは審査と審査機関について解説しますので、審査機関選びや、社内での手順検討の参考にしていただけますと幸いです。 

訪問回数無制限! 取得100%!

貴社で「運用できる」Pマーク取得コンサルティング

Pマークの審査について

Pマークを取得するには、社内で個人情報保護マネジメントシステムに関する取り組みを行った後に、マネジメントシステムに関連する書面を審査機関に提出、審査機関による審査を書面審査と現地審査で受けて、合格する必要があります。 

しかし初めての審査となると、手続きや必要書類に加えて、「どのような流れで行われるのか?」が不明な場合があるかと思います。本ページでは、審査における手続きや必要書類、おおまかな手続きの概要と流れをご説明します。 

メール相談し放題! 柔軟・多彩なサポート内容!

月5,000円~のISMS/Pマーク運用支援はこちら

Pマークの審査について

Pマークの審査は、審査機関に書面を提出するところから始まります。 

審査機関は全部で20ほどあります。各事業者の事業内容によっては、特定の審査機関のみが対応し、申請要件を設けている場合があります。

保健・医療・福祉分野の事業者の場合

MEDIS(医療情報システム開発センター)

MEDISは、保険・医療・福祉分野の事業者がPマークの審査を受ける際に申請先となります
MEDISの会員になっている事業者の場合のみを審査の対象としています。

情報サービス関連の事業者の場合

JUAS(日本情報システム・ユーザー協会)

一般社団法人日本情報システムユーザ協会は、審査の質が高いことで知られています。 
申請を受け付けてもらうには、入会金3万円、年会費1万円(※正会員Cの場合)を支払い、正会員になる必要があります。​ 
なお、JUAS会員区分にはA~Cまでの3種類の正会員区分がありますが、Pマーク審査のためだけに会員になるならば、正会員CでOKです。

JISA(情報サービス産業協会)

IT事業者など、情報サービス関連の事業を行っていることが申請要件です。 
こちらも、正会員だけが審査を受けることができますが、年会費は、規模により段階別に設定され(基本会費10段階と付加会費15段階)、入会金は年会費の半額に設定されています。 
​審査を機に会員になることも可能です。

地方に本社がある事業者の場合

地方に本社がある事業者は、以下の機関を利用できます。

北海道:DPJC(北海道プライバシーマーク審査センター)
東北:TPJC(東北プライバシーマーク審査センター)
中部:中産連(中部産業連盟Pマーク審査センター)
関西:KIIS(関西情報センター)
中国、四国:PMACS(中四国プライバシーマーク審査センター)
九州:KPJC(九州プライバシーマーク審査センター)

これらの各機関は、JIPDECより地域ごとに指定されたPマークの審査機関です。

上記に当てはまらない場合

すでにご紹介した認定審査機関での審査要件に当てはまらない場合は、Pマークの大元の組織であるJIPDEC(日本情報経済社会推進協会)の審査を受けることができます。 

大元の組織だけに、対応できる審査員の数が多く、従って審査自体の応対は早く行われます。 
ただし、大元であるために、対応に柔軟性が欠ける場合があります。​ 

Pマーク審査で不合格になる場合

審査で不合格になることは基本的にはありません。
しかし、不合格になる特殊な一例としては以下のものがあります。

  • 審査費用の支払いが遅れた場合
  • 虚偽の事実があった場合
  • 個人情報保護マネジメントシステム(PMS)の構築・運用ができていない場合

不合格になりますと、審査が打ち切りとなります
それだけでなく、「プライバシーマーク制度における欠格事項及び判断基準」(JIPDEC)によると、場合によっては限られた期間(3ヶ月~1年の間)において申請不可となることもあります。 

ところで、Pマークの審査では、きちんとPマークに準拠しているか?という部分のみが審査の対象になりますので、企業の売り上げや業務内容が審査に影響することもありません
欠格事由に該当する業務内容を行っているなど、組織の属性によりPマーク取得がNGの場合、申請の段階でその旨が通知されますので、審査後に不合格といった形にはなりません。 

しかし、構築した個人情報マネジメントシステムが、Pマークのルールに則していない場合、不適合という形で、対応を求められることがあります。
不適合は是正が可能であることを前提としているので、実際に不適合が出た場合でも、指摘された内容について期限内に対応を終えれば問題ありません。 

弊社では、定額制ISMS/Pマーク運用ご支援サービスを行っております。メール相談し放題、多彩なサポート内容、貴社でしっかり「運用できる」ISMSやPマークの取得をお約束いたします。まずはお気軽に無料でご相談ください。

メール相談し放題!取りっ放しからの脱却!
ISMS/Pマークの定額制運用サポート
月々5,000円からご利用可能です

Pマーク申請から審査終了までの流れ

申請は、個人情報保護マネジメントシステム(PMS)に関する全社的なPDCAを回していること、すなわち、ルールの遵守と継続的改善を行っていることが大前提です。 

これらの事実を裏付ける文書や記録類がないまま申請をすることは、要求されたマネジメントシステムが存在しないことを意味するため、不可能です。
十分な文書・記録を提出することが審査の前提条件です。 

Pマークの審査は大きく分けて以下の4つから構成されています。

Pマーク取得 検討段階から審査当日までの手順21項目はこちら

申請の流れ

申請は書類の準備から始まります
準備する書類・申込方法など、申請受理までの必要事項は以下の表の通りです。
申請書そのものも分量が多いですが、さらにPMS文書類を一式印刷の上添付することになりますので、コピー用紙を多く用意する必要があります。 

申請受理まで1か月かかりますが、この際には欠格事項の審査や、訂正事項の有無など、書面の形式的な審査を並行して行っています。
受理されると、本格的にPMS文書類などの内容の書面審査が始まります。 

必要書類
  • 申請書(記入済み)PMS文書類登記事項証明書
申し込み方法
  • 各審査機関から申請様式をダウンロードした後、申請書類を作成して、審査機関指定の資料提出方法(郵送や持ち込みなど)で申請します。
  • JUASに初めて申請する際には、入会手続きをすることが必須になります。
  • 申請料の入金が確認された後、申請書類に不備がないかの確認が行われます。
所要期間
  • 申請から申請受理までは約1カ月です。
  • 申請書類に不備があった際には、修正が必要になるので、1カ月を超えることもあります。
  • この時点ではまだ現地審査日は決定していません。
準備すべきもの
※申請書類一式を紙で提出する場合
  • 大量のコピー用紙(申請書類一式を印刷するため)。
    ※100枚以上は必要になります。ファイル(申請書類一式をバインディングするため)。

文書審査の流れ

申請の際に提出したPMS文書類がJIS Q15001に基づいたPマーク付与適格性審査基準に適合しているかの審査になります。
文書審査は、審査機関の方で行われますので、特に申請者側での対応は必要ありません。 

PMSの運用に必要な手順を確認し、必要な手順が文書で証明できない場合、あるいは、運用そのものが適格性審査基準を満たしていない場合は、指摘事項として取り扱われます。 

場所 審査機関にておこなわれます。
審査内容 PMSの運用に必要な手順等が内部規程に定められているかどうか
所要期間
  • 申請受理から文書審査終了までは約1.5カ月です。
  • 不適合に対して、指摘事項対応表を作成する。
  • 不適合が多い場合には、再文書審査をすることもあります。
審査結果報告 現地審査の3週間ほど前に結果を郵送で報告してきます。

現地審査の流れ

現地審査は以下の通りの期間と流れで行われます。
提出した文書を手元に置き、下の表にある出席者が対応することが基本です
従業員については、必要性がある場合に呼ばれる、ということがあるので、当日は時間は不定でいつでも呼ばれてよいように準備し、周囲にもその旨知らせておきましょう。 

全体の流れ
所要期間 文書審査終了から現地審査終了まで約1カ月になります。
当日の流れ
場所
  • 基本的に本社にておこなわれます。
  • 本社が管理業務しか行っていない場合には、他の拠点にておこなうこともあります。
所要時間 会社の規模によりますが、目安として8時間程度になります。
審査内容 PMSの体制が整備され、運用されているかの審査になります。
以下の3つから構成されています。

  1. トップインタビュー
    トップマネジメントに対してインタビューがあります。
    ※質問の一例です。
    • 業務内容、従業員数
    • Pマーク取得のきっかけ
    • PMSにおいて力を入れた点
  2. 2運用状況の確認
    各担当者にヒアリングや記録類の確認をします。
    ※質問の一例です。
    • 従業者教育はどのようにおこなっていますか。
    • リスクアセスメントの内容を見せてください。
    • 内部監査はどのようにおこなっていますか。
  3. 3現場での実施状況の確認
    執務室等において定めたルール通り実施されているかの確認をします。
    ※質問の一例です。
    • 最終退室の際には、施錠等のチェックを行っていますか。
    • バックアップは定期的に実施していますか。
    • ウイルス対策はできていますか。
準備すべきもの PMSにおける各文書や記録類が手元にあるといいです。
申請の際に紙でお渡ししているので、必ずしも全て紙である必要はありません。
出席すべき人物 当日に対応が必須になる人物は以下の通りです。

  • トップマネジメント
  • 個人情報保護管理者
  • 個人情報保護監査責任者

また、従業員に関しては都度対応が必要になります。
※従業員の方に関しては、関連する確認の時だけ審査場所(会議室など)にご参加いただいたり、オフィス内を審査員の方がチェックする際に、多少質問を受けたりする対応になります。

審査終了後の流れ

現地審査終了後には指摘事項対応があります。指摘事項がなくなるまで対応が必要です
対応が完了した後、審査会を経て、Pマーク付与契約へと移っていきます。 

指摘事項対応
対応方法

企業側で、不適合に対して、指摘事項対応表を作成します。対応表には、指摘事項と、具体的にどの様に是正措置を施したのか、記述します。 
審査側では、指摘事項対応と審査料が確認された後、審査会に移ります。
所要期間 指摘事項対応は、審査員からの指摘が0になるまで繰り返し行うことが必要になりますので、すべての対応を終えるのには、決まった時間はありません。
ただし、指摘事項文書が発行されるので、その日から3か月以内に対応、書面で是正措置を提出することが必要です。

Pマーク審査における注意点

現地審査に同席できる人員には制限があり、Pマーク制度上の「従業者」となります。
組織内部の職員である必要がありますので、コンサルタントや業務委託の方は同席することができません。
また、指摘事項対応の書面の提出期限は徒過すると審査が打ち切られることもあるので、守るようにしましょう。 

弊社では、定額制ISMS/Pマーク運用ご支援サービスを行っております。メール相談し放題、多彩なサポート内容、貴社でしっかり「運用できる」ISMSやPマークの取得をお約束いたします。まずはお気軽に無料でご相談ください。

メール相談し放題!取りっ放しからの脱却!
ISMS/Pマークの定額制運用サポート
月々5,000円からご利用可能です

まとめ

以上、Pマークの審査期間と審査の流れについてお伝えしました。
お伝えした通り、審査の流れは決まっていて、審査対象である社内でのマネジメントシステムに関する文書化の対応が十分であり、ルールを守るように運用しておけば審査それ自体は決してハードルが高いものではありません。 

しかし、文書化の対応が初めてである・慣れていない、という場合には審査に思わぬ支障が生じる場合もあるので、コンサルティングサービスなどを上手に利用することがコツになるでしょう。 

また、これからPマークの取得をお考えの方に向けて、検討段階から審査当日までの一連の手順を21項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。

Pマーク取得をご検討中の皆様
取得に向けたTodoリストを無料でお渡ししています。
思い立ってから審査当日までの21項目はこちら
認証取得を目指すPマーク
タイトルとURLをコピーしました