プライバシーマーク更新について
プライバシーマーク(以下、Pマーク)は、更新手続きが必要です。Pマークを一度取得すれば永遠に使い続けられるものではありません。有効期間内に更新の手続きをとることによって、有効期間が延長される仕組みになっています。
この有効期間は2年間で、更新の手続きとして審査機関による更新審査を受けることになります。
すなわち、Pマークを持っている会社は、2年に1回、更新審査を受けなければPマークを使い続けることはできません。
ここではPマークの更新における流れや、更新に向けたスケジュール例などをご紹介したいと思います。また、弊社では、貴社の業務に沿って運用可能なPマークの取得支援と運用後のサポートを行っております。Pマーク取得をお考えの方や運用でお困りの方はお気軽にご相談ください。
Pマーク更新において何をしなければいけないのか?
まず、自社のPマークの有効期間を確認しましょう。
更新審査は有効期間の満了日の8ヶ月前~4か月前までに申請をしなければいけません。
例えば、有効期間が2020年12月1日までであれば、申請は2020年4月1日~2020年8月1日までに行う必要があります。有効期間は、Pマーク登録証に記載されています。
更新審査では、前回の審査から会社内でしっかりと個人情報保護の体制が維持・運用されていたのかを見られます。そのため、直近2年分の記録類を用意しておくことが必要となります。
この記録類がないと、審査の際に必ずPマークの運用が出来ていないことを指摘されます。そのため審査までの間に、なぜ記録が取られていなかったのか、今後どうしたら継続的に運用をすることが出来るのかという点について、社内で是正(見直し)を行う必要があります。
用意しておく記録類
Pマーク上の自社ルールを示した文書のほか、以下のものが挙げられます。
- 個人情報を特定した台帳
- リスクの分析表
- 法令等の管理台帳(適用法令について洗い出し、定期的にアップデートした記録)
- 個人情報の取扱いに関する同意書(採用選考時の同意書など)
- 開示等の請求に関する記録
- 事務所への入退室や来客に関する記録
- 委託先の管理に使用した記録
- 日常の運用チェックの記録(クリアデスクの確認など)
- 文書類の改訂履歴などの記録
- 教育に関する記録
- 内部監査に関する記録
- 事故に関する記録
※これらの記録のフォーマットも用意をしておく必要があります。フォーマットを決めておき、必ず記録の作成に使うことにより、継続的にこれらの活動が実施されていたことの証明を行いやすくなるからです。
また、以前の審査から個人情報保護管理者や申請担当者などが変わっている場合は、審査機関に変更報告書を提出しなければいけません。
その他、会社の登記事項や定款変更などがあった場合には、登記事項証明書の写しや定款等の写しを用意する必要があります。代表者または役員の変更・所在地の変更や、組織変更などがあった場合、登記のみの容易でよいか、定款の準備も必要か、チェックして進めましょう。
Pマーク更新時に教材の提出は必要ない
ところで、Pマークのコンサルティングを行っていると、「教育の記録」としてどんな書面を提出すべきか、よくご質問があります。教育の記録として何を提出すべきか、他の記録と比べ、わかりにくさを感じられるようです。
例えば、新規取得や更新を控えるお客様から「Pマークの申請では従業員教育で利用した資料の提出が求められるので、資料のデータをください」といったお問い合わせをいただくのです。
このように、教育の記録として、教材の提出が必要と考えられがちな傾向にあるようですが、教材を印刷して提出するのはあくまで任意であり、必須ではありません。
内容は以下の「4項目」を網羅していることが提出資料から理解可能であれば問題ありません。
例えば、受講案内・プログラムなどで、以下の内容を網羅していることがわかれば教材までは必須ではないのです。
- 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
- 個人情報保護マネジメントシステムに適合することの重要性
- 利点個人情報保護マネジメントシステムに適合するための役割
- 責任個人情報保護マネジメントシステムに違反した際に予想される結果
教材は、紙・eラーニングの従業員教育の双方が利用できます。紙ベースの教材によらず、eラーニングの従業員教育を行うことについては、特に問題はありません。いずれの場合でも、研修教材の提出までは必要ありません。
教育の記録として、必要な記録とは、以下の教育研修のポイントを網羅した記録です。
- 年に1回はかならず教育をする。
- 全員が行えるように計画をたてる。
- 教育を実施する(上記「4項目」は必須)。
- 報告書をつくる。
年間受講計画・受講管理の記録・研修内容「4項目」を網羅している記録(研修案内・プログラムなどの研修内容通知など)・実施報告書は提出資料として必要です。従業員に実際に教育を施していたのか、必要な頻度で行われ、出欠をとられていたのかなど、教育の実効性を証明する文書は必ず用意しましょう。
Pマーク更新の流れ
更新の際も大まかな流れとしては、Pマーク取得の際に受ける審査とあまり変わりません。つまり、運用の記録等を取りまとめて審査機関に送り、審査を受けた上で指摘事項に対応するという流れになります。
- 更新申請書を審査機関のWebサイトからダウンロードして作成
- 更新申請書を審査機関に送付
- 文書審査
- 文書審査の指摘事項対応
- 現地審査
- 現地審査の指摘事項対応
- 更新されたPマーク発行
Pマーク更新審査について
更新審査は新規取得時の審査と以下の点が異なります。ポイントは、更新時には変更があった点と実施記録を網羅する書面を提出する必要がある、ということです。
申請書
- 前回申請時から変更があった場合の登記事項証明書、定款、変更報告書の提出(変更がなければ不要)
- 新規に開始した事業・個人情報の取扱いに変化があった事業・取りやめた事業の報告
用意する記録
- 前回審査時からの個人情報保護の体制の運用記録(2年分)
※上記、用意しておく記録類に挙げたもの。
また、弊社では貴社業務に沿った運用可能なPマーク取得コンサルティングサービスを行っております。Pマークの取得や運用でお困りの方はぜひお気軽にご相談ください。
Pマーク取得支援および運用サポートについて詳しくはこちら。
訪問回数無制限 取得100% 安心のPマーク取得コンサルはこちらPマーク更新時のスケジュール例の説明
ここでPマーク更新時のスケジュール例についてご紹介します。
期間はあくまで目安ですが、更新審査には申請期限があるので、そこから逆算してスケジュールを立てることになります。
- 有効期間を確認する。
- 有効期間の満了日の11か月~10か月前に更新に向けた実施計画を作成する。
教育計画書や監査計画書、その他年間で実施が必要な計画などを作成する。 - 10か月〜9か月前から各管理台帳などの改訂を実施する。
個人情報を特定した台帳やリスクを分析した台帳、法令等の管理台帳、文書の管理台帳、委託先の管理台帳を見直す。
同時期に教育など定期的に行わなければならない事項を実施する。 - 台帳の見直しや教育などが終わった段階で内部監査やマネジメントレビューを実施する。
- 6か月前に更新申請書を準備する。
- 5か月前をめどに申請書を送付する。
- 更新申請から約3か月の間、文書及び現地審査を受け、指摘事項対応を実施する。
- 指摘事項対応が終了後、付与機関と改めてPマーク付与に関する契約を締結する。
- Pマークの有効期間が2年延長される。
Pマーク更新チェックリスト
Pマークの更新は、スケジュールに沿って進めるとスムーズです。目安として、有効期限何か月前に何をすべきなのか、チェックリストにまとめましたので、ご参照ください。
| 11ヶ月前~10ヶ月前 | 実施計画の作成 |
|---|---|
| 10ヶ月前~9ヶ月前 | 各管理台帳の見直し、教育の実施 |
| 8ヶ月前~6ヶ月前 | 内部監査、マネジメントレビュー |
| 6ヶ月前 | 申請書準備 |
| 5ヶ月前 | 申請書送付 |
※期間はPマーク有効期限から起算
弊社では、Pマーク更新対応コンサルティングサービスを行っています。
要求事項と会社の事情等の両方のバランスをとり、貴社で「運用できる」認証取得を心がけ、年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
ご興味のある方はぜひお気軽にご相談ください。
まとめ
Pマークの更新は、新規取得時と同じところ・違うところがあります。
手続きの流れはおおむね同じです。違うところのポイントは、更新時には変更があった点と実施記録を網羅する書面を提出する必要がある、ということです。ここでご紹介したチェックリストなどを参考に、計画的に準備するようにしましょう。
更新時も社外のコンサルタントを活用すると、漏れなく準備を進めることができますので、ぜひ活用しましょう。
