プライバシーマーク(Pマーク)とは?企業が取得するメリットと申請方法・注意点

プライバシーマーク(Pマーク)とは?企業が取得するメリットと申請方法・注意点
2022.02.25更新(2019.03.29公開)

近年、企業による個人情報漏えい事故が多発しており、企業のみならず一般消費者の間でも個人情報保護への意識が高まっています。情報漏えいの原因はいくつか挙げられますが、関係者による情報の持ち出しなど内部不正問題が指摘されたケースもあり、企業にとって情報管理体制の整備は欠かせません。
このような社会的背景を踏まえ、個人情報の取り扱いが適切であることを証明するプライバシーマーク(Pマーク)を取得し、社会的な信用を高めようとする企業が増えてきました。

この記事では、そもそもプライバシーマーク(Pマーク)の概要について、企業が取得するメリットや申請方法・注意点などとともにご説明します。

目次

個人情報漏えいの原因

個人情報漏えいの原因

個人情報が毎年どれだけ漏えいしていて、経済的にどのような影響が出ているかご存じでしょうか。情報漏えいの原因とともに、具体的な数字を見ていきます。

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の調査によると、2018年度に発生した漏えいのインシデント件数は、443件でした。

2018年 個人情報漏えいインシデント 概要データ【速報】
漏えい人数 561万3,797人
インシデント件数 443件
想定損害賠償総額 2,684億5,743万円

上記表の想定損害賠償額の計算については、「事前調査(漏洩事件の調査など)」、「分析(漏洩情報の種類や原因など)」、「算出式作成(入力項目の決定や入力値定量化など)」「検証(実際の返礼結果と算定式の結果を比較)」の4プロセスから成り立ち、数値化されています。

443件のうち、おもな漏えい原因とその内訳は、以下のグラフのようになっています。

おもな漏えい原因とその内訳グラフ

この内訳からもわかるように、インシデントの多くは紛失や誤操作、不正アクセスなど、人的ミスや外部からの攻撃によって発生しています。

参考:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「2018年 情報セキュリティインシデントに関する調査報告書」

個人情報漏えいが企業に与える影響

個人情報漏えいが企業に与える影響

情報漏えいが発生した場合、流出した個人情報の人数に関わらず、企業が負うダメージは大きいといえます。情報漏えいが企業に与える影響としては、以下のようなものが考えられます。

顧客への賠償金支払いによる損失

個人情報が漏えいすると、顧客へ支払う見舞金や賠償金が発生します。
大企業の事例を見ると、見舞金は1人あたり500円~1000円程度が大半です。少額に感じるかもしれませんが、1人あたり500円であっても、500円を1万人に支払うと500万円、10万人に支払うと5,000万円となり、決して少ない金額とはいえないことがわかります。

訴訟による社会的信用の低下

情報漏えいによって多数の顧客に被害がおよんだ場合、集団訴訟にまで発展する可能性も否定できません。訴訟費用や賠償金の支払いが発生するだけでなく、企業の社会的信用にも大きなダメージを与えてしまいます。

経営状態の悪化

情報漏えいによって社会的信用が低下すると、顧客離れが起きるだけでなく新規顧客開拓も難しくなり、経営状態が悪化するおそれがあります。

プライバシーマーク(Pマーク)とは何か

プライバシーマーク(Pマーク)とは何か

プライバシーマーク(Pマーク)制度とは、日本工業規格による「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合している事業者を評価する制度です。
特に、個人情報に関して適切な保護措置を行える事業者に対して「プライバシーマーク」を付与し、事業においてその使用を認めています。

Pマーク制度設立の背景・目的

近年、インターネットを筆頭とする情報技術(IT)の普及にともない、個人情報保護をはじめとする情報漏えい対策が求められるようになりました。
速やかに施行でき、かつ実効性をともなった個人情報保護施策が必要となったことで、財団法人日本情報処理開発協会(現:一般財団法人日本情報経済社会推進協会)において、通産省(現:経済産業省)の指導で、プライバシーマーク(Pマーク)制度が創設されました。運用の開始は、1998年4月1日からとなっています。

企業がプライバシーマーク(Pマーク)を取得するメリット

プライバシーマーク(Pマーク)とは、個人情報に対する管理体制が整備されていることを証明するマークのことです。プライバシーマークを取得することで、企業としては次のようにさまざまなメリットが得られます。

社内体制の整備

プライバシーマークを取得するには、「一般財団法人日本情報経済社会推進協会(JIPDEC)」その他の審査機関に申請し、プライバシーマーク付与適格審査を受けなければなりません。取得には一定の審査基準をクリアする必要があるため、ハード面・ソフト面含めて社内体制を整備するきっかけにもなるでしょう。

内部不正の防止

プライバシーマークの取得を全社的に周知することで、従業員の意識向上も期待できます。また、個人情報を取り扱う手順や管理方法をルール化し、違反した場合の罰則を定めることで、内部不正の防止対策にもなります。

社会的信用の獲得

プライバシーマークは、会社案内やWebサイトに表示することによって、ただ単に「法律に準拠して正しく個人情報を扱っている」だけではなく、取引先などに個人情報保護に関するマネジメントを高いレベルで確立・運用できている事業者であることを視覚的にもアピールできるという側面もあります。

プライバシーマーク(Pマーク)の申請方法

個人情報漏えいが企業に与える影響

事業者がプライバシーマーク(Pマーク)を取得するには、どのような手順が必要なのでしょうか。ここでは、プライバシーマーク(Pマーク)の申請から合格までの、詳しい手順についてご紹介します。

1.申請資格

プライバシーマークを取得するには、先述のとおり「プライバシーマーク付与適格性審査」を受けなければなりません。プライバシーマーク付与適格性審査の申請を行うには、以下の資格が必要です。

  • 法人であること(医療法人、学校法人の場合は一部例外あり)
  • そのうえで、先に述べた「個人情報保護マネジメントシステム-要求事項(JIS Q 15001)」に基づき、個人情報保護マネジメントシステム(PMS)を制定していること
  • 個人情報保護マネジメントシステム(PMS)に基づいて、正しい個人情報の取り扱える体制が整備されており、それに沿って個人情報が適切に取り扱われていること
  • 申請する事業者に、正社員か役員(監査役以外)の従業員が2人以上いること
  • プライバシーマーク制度における欠格事項に該当していない、またはプライバシーマーク付与適格性がない事業者と判断されていないこと

2.申請の手順

上記の申請資格を満たしていることを確認したら、申請の準備に入ります。

準備

具体的に必要となる準備は、以下のとおりです。

  • 社内で管理している個人情報を洗い出し、内容を分析する
  • 個人情報取り扱いに関する社内規定を作成し、規定にしたがって運用する
  • 何週間か運用したうえで、点検・監査を行う
  • 場合によっては、社内規定の見直しを実施する

申請

上記の取り組みを実施し、それに関する記録があれば申請が可能です。
準備が済んだら、必要書類をそろえて申請先に審査の申し込みをします。申請先は、以下の2箇所です。

  • 一般財団法人 日本情報経済社会推進協会(略称:JIPDEC)
  • Pマーク付与認定指定機関

Pマーク付与認定指定期間とは、JIPDECが認定・審査を委託している民間事業者です。地域・業種によって指定期間が定められているため、申請する際はよく確認しましょう。

現地審査

書類審査が済んだら、実際に規定通りの運用がされているか、個人情報保護に関する認識や管理体制などの確認を行う「現地審査」が行われます。プライバシーマーク審査員(※)が実地にて確認をします。

(※)…プライバシーマーク付与適格性の審査を実施するために必要な知識及び技能を有していると認められJIPDECに登録されている審査員

合格通知

書類審査および現地審査の結果に基づき、Pマークの付与に関する合否が決まります。結果については、郵送で通知されます。

手続き・登録料の支払い

合格したら、事業者側ではPマーク付与契約の手続きと、登録料の支払いを行います。プライバシーマーク登録証、およびプライバシーマークの電子データを受領すると、正式にPマークの使用が可能となります。

3.必要書類

プライバシーマーク取得申請には、以下の書類が必要です。

  1. プライバシーマーク付与適格性審査申請チェック表(電子データではなく紙での提出が必要です)
  2. プライバシーマーク付与適格性審査申請書(代表者印が必要となります)
  3. 会社概要
  4. 個人情報を取り扱う業務に関する概要
  5. 全事業所の所在地と、それらの業務内容
  6. 個人情報保護体制について
  7. PMS(個人情報保護マネジメントシステム)に関する文書(内部規定・様式)の一覧・すべての文書
  8. 個人情報保護マネジメントシステム-要求事項(JIS Q 15001)との対応表
  9. 全従業者に対し実施した教育の実施状況に関するサマリー
  10. 全部門に対し実施した監査の実施状況に関するサマリー
  11. 事業者の代表者によって実施した見直しに関するサマリー
  12. 登記事項証明書(「履歴事項全部証明書」もしくは「現在事項全部証明書」)など、申請事業者が実在することを証明できる公的書類の原本
  13. 定款やそれに準ずる規定類
  14. 事業者の企業紹介パンフレットなど
  15. 個人情報管理台帳や、リスク分析結果の見本(各1ページをコピー。必須ではなく任意提出)
プライバシーマーク取得申請必要書類

必要書類をPDFにまとめていますので、ダウンロードして活用してください。

PDFダウンロードはこちら

4.合格までのスケジュール

申請から合格までのスケジュールの目安は、JIPDECによるプライバシーマーク公式サイトにおけるモデルケースの場合で、以下のようになっています。

  • 申請から申請受理まで…約2週間
  • 書類審査と現地調査日の調整および申請料の入金確認…最短で約1.5か月
  • 現地審査と指摘事項の改善および審査会…最短で約1か月+指摘事項改善にかかった期間
  • Pマーク付与契約と登録完了…2~3週間

申請実施から登録完了まで、もっともスムーズに進んだ場合でも、Pマーク付与までに「最短3.5~4か月」はかかると考えておきましょう。また、指摘事項の改善が必要となった場合は、それにかかる期間もプラスされます。申請までの準備にも期間を要するため、期間の余裕を持って計画を立てることが大切です。

なお、審査機関によっては上記以上に期間を要する場合もあるため、急いで取得を考えている場合は専門家へ相談するなど対策を考えることをおすすめします。

5.申請費用

申請費用としては、以下の3種類が必要です(いずれも税込)。

申請料:5万2,382円
審査料:約12万円~約100万円
付与登録料:約5万円~約20万円

審査料・付与登録料に関しては、事業者の規模と新規・更新のどちらに該当するかなど、条件によって大幅に異なります。費用の詳細は、下記公式ページにてご確認ください。

プライバシーマーク(R)制度について詳しくはこちら

プライバシーマーク(Pマーク)取得後の注意点

Pマークを取得するとさまざまなメリットが得られますが、運用するにあたって注意点もあります。

有効期限について

Pマークには2年間の有効期限があり、期限が切れるまでに更新を行う必要があります。更新手続きを行える期間は「有効期間が満了する8か月前~4か月前の日まで」となっているため、それまでに更新申請書類を提出しなければなりません。
なお、更新申請を行う際には、基本的に前回プライバシーマークの付与を受けた審査機関に書類を提出することとなっています。

従業員教育について

Pマークを取得しているということは、企業全体が個人情報の取り扱いについて、高い意識を持っているという証明だといえます。Pマークを取得すれば、顧客や取引先企業からは高い評価を受けることが想定されます。しかし、Pマーク取得後に重大な情報漏えいが起こる可能性も決してゼロではありません。

Pマークの取得を表面的なアピールにしないためには、従業員全体に対して、個人情報保護に関する教育を定期的に実施することが大事です。

先述のとおり、情報漏えいの多くは、人的ミスや不正アクセスが原因で発生しています。日々の社内教育によって従業員全員の意識が向上し、内部の人的ミスや外部からの不正攻撃を予防することで、企業としての信頼度はよりアップするでしょう。

なお、個人情報保護に関する教育だけではなく、不正アクセスの防止策やシステムのセキュリティ強化など、セキュリティ教育を充実させることも大事です。

プライバシーマーク取得支援を受けるメリット

プライバシーマーク取得支援を受けるメリット

ここまでご説明したとおり、プライバシーマーク(Pマーク)を取得するにはそれ相応の準備が必要です。特に、必要な書類に関しては数が多く、普段の業務をしながら書類の準備・作成から申請まで行うとなると、現実的に難しい場合もあるかもしれません。

そのようなときは、ALSOKのプライバシーマーク取得支援を受けてみてはいかがでしょうか。プライバシーマーク取得支援には、以下のようなメリットがあります。

取得時・取得後いずれもサポートが充実

ALSOKのプライバシーマーク取得支援では、取得時のサポートだけではなく、取得後の社内教育・内部監査などのフォローアップまで、プライバシーマークのプロフェッショナルが丁寧に行います。

現地審査シミュレーション

本番の審査の前には、ALSOK独自の「現地審査シミュレーション」もあるので、実際にどのような雰囲気で現地審査が進むのか体験できることも大きなメリットです。

ワンストップ対応

ALSOKのプライバシーマーク取得支援では、ワンストップ対応を掲げています。コンサルタントと営業担当者が連携して動くことで、セキュリティ強化に役立つ商品の導入などもスムーズに進むため、無駄な業務負担の軽減や人員削減につながります。

プロフェッショナルの知識と経験を活用

プライバシーマークの取得審査に合格するには、「構築・運用指針※」と「審査基準※」をクリアしなければなりません。これらの内容は細かく規定されていて、確認・判断には知識と経験が必要です。プロフェッショナルのサポートがあれば、社内の負担を大幅に減らすことができるでしょう。

リソースを考慮すると自社だけでは取得が難しい、取得済みではあるが更新の審査に対応できないなど、お困りの場合はプライバシーマーク取得支援をぜひ検討してみてください。

※構築・運用指針と新たな審査基準の適用について
2021年8月30日に、「構築・運用方針」およびプライバシーマークの付与適格性審査基準が改定されました。2022年4月1日以降の申請分は、改定された新指針・新基準に対応しているかどうかが審査されます。

以下が、2022年3月まで適用される現行の基準と、新基準との対照表です。

プライバシーマーク付与適格性審査基準についてこちら

プライバシーマーク付与適格性審査基準・新旧対照表についてこちら

上記の対照表を含め、詳しい情報は一般財団法人日本情報経済社会推進協会のページに記載されているので、ご確認ください。

プライバシ―マーク(R)制度についてはこちら

まとめ

業種や業態、個人情報の取扱件数に関わらず、個人情報を扱っている事業者はプライバシーマーク(Pマーク)を取得したほうが社会的なメリットを享受できるでしょう。

ただし、Pマークの取得には多くのリソースが必要なため、専門家のサポートを受けたいという場合は、ALSOKのプライバシーマーク取得支援をぜひご活用ください。

なお、Pマークは、個人情報に特化した規格に基づく認証です。「個人情報だけでなく、営業秘密や企業秘密など情報全体に関して、取り組みをしたい」とお考えの場合は、ISMS(ISO27001)情報セキュリティマネジメントシステムの取得を検討しても良いでしょう。