個人情報の流出事故が度々ニュースになる昨今、企業にとって個人情報の保護はとても大切な課題となっています。特に、在宅勤務が増える中、情報管理の重要性は更に高まっています。そこで本記事では、個人情報保護の認証マークであるPマーク(プライバシーマーク)の取得方法について、初めて検討する人にも分かりやすく解説します。
関連記事:Pマーク取得に向けて操作ログ管理をできるようにしたかった|Watchy導入事例
目次
そもそもPマークとは?
企業の個人情報の取り扱いが安全かどうか、一目で分かるようにするための認証マーク、それがPマークです。
銀行口座の暗証番号のように、企業の大切な情報をしっかりと守れる企業であることを示すための「お墨付き」といえます。このセクションでは、Pマークの基本的な内容から、取得するメリットまでをご説明します。
Pマーク(プライバシーマーク)の意味
Pマーク(プライバシーマーク)は、一般財団法人日本情報経済社会推進協会(JIPDEC)が発行する認証マークです。
企業が顧客の個人情報(名前、住所、メールアドレスなど)を安全に管理できる仕組みを持っているかどうかを確認し、認められた企業だけがもらえるマークのことを指します。
例えば、個人情報が書かれた書類を誰でも見られる場所に置いていないか、パソコンにパスワードをきちんと設定しているかなど、日々の情報管理の方法をチェックされます。
Pマークを取得する意味
Pマークを取得すると、企業にとって三つの大きなメリットがあります。
一つ目は、取引先からの信頼が高まることです。例えば、官公庁の仕事を請け負う際に、Pマークの取得が必要条件となるケースが増えています。
二つ目は、情報漏洩のリスクを減らせることです。なぜなら、情報を守るための具体的なルールを整備し、従業員全員で実践するようになるからです。
三つ目は、新しい取引先の開拓がしやすくなることです。実際の企業活動では、人材紹介会社が求職者の個人情報を適切に管理できる証しとして活用し、新規の取引につなげているケースがあります。
Pマーク取得の手順(申請直前まで)
Pマークの取得においては、家を建てるように設計図(方針)を作り、次に基礎工事(仕組みづくり)を行い、そして実際に生活を始める(運用)という流れで進めていきます。
ここからは、申請前に必要な準備について、順を追って説明していきます。
方針の作成
Pマーク取得のファーストステップは、企業として個人情報をどのように守るのかという方針を作成することです。どのような個人情報を、何のために集めるのか、どうやって安全に管理するのかといった基本的なルールを明文化します。
例えば「集めた個人情報は、約束した目的以外では使いません」「個人情報が漏れないよう、必要な対策をとります」といった内容を、誰にでも分かる言葉で書き表します。
PMS構築
PMSとは「個人情報保護マネジメントシステム」(Personal information protection Management Systems)の略称で、企業の中での個人情報を管理するシステムを指します。
システムといっても機械的なものではなく、例えば、「個人情報が書かれた書類は必ず鍵付きの引き出しにしまう」「パソコンには必ずパスワードを設定する」「退社時には机の上に個人情報を置きっぱなしにしない」といった、具体的な行動のルールの取り決めや仕組みのことです。
PMSの構築は、個人情報を適切に管理するための要求事項を定めた「JIS Q 15001」の規格を満たさなければなりません。
PDCAサイクル(Plan: 計画 Do: 実行 Check: 評価 Action: 改善)を通し、改善を繰り返すことも含めてシステムの範囲内となります。
PMSの運用
PMSが構築できた後は、実際に運用するフェーズになります。PDCAサイクルを回し、課題を発見し、改善するところまでが1セットです。
このとき、運用結果は記録に残しておかねばなりません。そのときの記録は、その後の文書審査で提出を求められますので、大切に保管しましょう。
内部監査
内部監査とは、企業の中で決めたルールが正しく守られているかを、自分たちでチェックする作業です。
例えば、「鍵付きの引き出しは確実に施錠されているか」「パスワードは定期的に変更されているか」「個人情報の研修は計画通り実施されているか」などを確認します。
そこで気付いた問題点は、すぐに改善することが大切です。この作業は、家の定期点検のようなものと考えると分かりやすいでしょう。
Pマーク取得の手順(取得申請)
いよいよPマークの取得申請を始める段階です。ここからは、申請から認証を受けるまでの流れを、段階を追って説明していきます。
取得のための計画を作成する
Pマークの取得には半年から1年ほどかかるため、計画的な準備が必要です。まず社内責任者を選定します。この役割には、企業全体の業務やシステムに精通し、組織内で影響力のある人物が適しています。
次に、「○月○日までに取得完了」という明確な目標を設定し、計画を立てます。例えば、最初の数カ月でルールを整備し、その後の運用開始や内部監査を実施するスケジュールを組むことが効果的です。
また、審査機関の選定とスケジュール確認も重要です。審査機関による手法の違いはありますが、発行されるPマークの効力やデザインに差はなく、費用も一律です。
早めの準備と連携により、取得プロセスをスムーズに進めることが可能です。
取得に必要な書類や記録を用意する
Pマーク取得には、いくつかの書類を準備する必要があります。具体的には、個人情報保護方針や社内のルールブック、従業員への教育記録などです。以下の主な書類についてまとめました。
- 文書類:情報の取り扱い方法やセキュリティ対策などを定めたマニュアルや安全管理の規定、個人情報保護方針など
- 記録書類:個人情報管理台帳、関連する法令のリスト、想定されるリスクとその対策をまとめた分析表、内部監査記録、など
- 帳票類:従業員との個人情報保護に関する誓約書や、業務委託先との契約書など
大切なのは、これら全ての書類を自社の実態に合わせて作成することです。企業の規模が小さければ、シンプルな内容でも問題ありません。まずは必要な書類を洗い出し、自社に合った形で整備していくことから始めましょう。
申請し審査を受ける
書類を提出したら、審査機関による確認が始まります。
まず書類の内容が正しいかを確認され、その後、実際に企業を訪問して運用状況を見てもらいます。その際、審査員から「なぜこのようなルールにしたのか」「どのように従業員に周知しているのか」といった質問を受けることがあります。
どのような審査を受けるのかは、「Pマーク取得の審査内容」にて後述していますので、そちらをご覧ください。
認証書の発行
審査に合格すると、いよいよPマークの認証書が発行されます。
Pマークには2年ごとの更新があり、その際には再度審査を受ける必要があります。そのため、認証されたことで満足せずに、日々の個人情報保護の取り組みを継続することが大切です。
Pマーク取得の審査内容
では、具体的にどのような審査が行われるのでしょうか。このセクションでは、審査の内容について、順を追って説明していきます。
形式審査
形式審査は、提出書類に不備がないかを確認する最初の関門です。
必要な書類が全部そろっているか、書類の記入漏れはないか、押印すべきところにはきちんと押印されているかなどがチェックされます。
ここで不備が見つかった場合は、修正や追加の書類提出を求められることがあります。
文書審査
文書審査では、提出した書類の中身を細かくチェックされます。具体的には、企業の個人情報保護のルールが、必要な基準を満たしているかどうかが確認されます。
一例を挙げると、「個人情報の利用目的が明確に定められているか」「情報漏洩を防ぐための対策は十分か」「従業員への教育計画は適切か」などの点が審査されます。
現地審査
現地審査では、審査員が実際に企業を訪問し、個人情報保護のルールが正しく守られているかを確認します。
例えば、個人情報が書かれた書類が施錠された場所で保管されているか、パソコンにはパスワードが設定されているか、従業員が個人情報保護の重要性を理解しているかなどが確認されます。
Pマーク取得の費用
Pマークの取得する際、どの程度の費用が必要なのでしょうか。必要な費用について分かりやすく説明していきます。
新規に取得する場合
初めてPマークを取得する場合、申請料、審査料、登録料などの費用が必要です。具体的な金額は企業の規模によって異なりますが、中小企業の場合、全体で数十万円程度を見込んでおく必要があります。
また、準備段階で専門家に相談する場合は、別途コンサルティング費用が発生することもあります。
更新する場合
Pマークは2年ごとに更新が必要です。更新時の費用は新規取得時より安く設定されていますが、更新審査料や更新登録料が必要となります。
更新料についても、事業規模によって異なります。小規模事業であれば、20万程度、中小企業なら約50万円、大企業であれば100万円近くになることもあります。
また、費用に関しては審査期間によって異なるため、あらかじめ確認しておくことも重要です。
Pマークを取得しビジネスチャンスを拡大する
Pマークの取得は一見すると大変ですが、企業のセキュリティ強化やブランディングの面で大きなメリットを生む可能性があります。
たとえば、官公庁の入札案件に参加できるようになったり、大手企業との取引が開始できたりするなど、新しいビジネスチャンスが広がります。また、個人情報保護の取り組みを通じて、従業員の意識が高まり、企業全体の信頼性も向上するでしょう。
Pマーク取得は、確かに時間と手間のかかる取り組みです。しかし、それは企業の価値を高め、新たなビジネスチャンスを生み出すための重要な一歩となります。本記事を参考に、ぜひ前向きにPマーク取得への取り組みを始めてみてはいかがでしょうか。
低コストでセキュリティ対策を始めるなら
- 「セキュリティ対策が求められているが、予算が限られている」
- 「ひとり情シス状態で、管理負担が大きい」
こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。
予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。
弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。
ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。
まずは無料で資料をダウンロードしてお確かめください。
Watchy:https://watchy.biz/
運営会社:株式会社スタメン(東証グロース市場4019)
著者情報
Watchy 編集部
従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。
Watchyは、株式会社スタメンが運営する、情報セキュリティマネジメントシステム(ISMS)およびプライバシーマーク(Pマーク)を取得しているクラウドサービスです。東京証券取引所グロース市場上場。
