審査サイクル
プライバシーマークの有効期間は2年間であり、マークを維持するには2年毎に更新し続ける必要があります。
ただし、有効期限の8ヶ月前から4か月前の4か月が更新申請期間と定められていて、その期間中に更新申請する必要があるのでご注意ください。
※1 審査はありません。 ※2 有効期限8ヵ月~4ヵ月前の期間に更新審査の審査が必要です。
例)有効期限 2018年12月31の場合 → 2018年5月1日から2018年8月31日の間に申請
プライバシーマーク(Pマーク)取得支援コンサルティング
プライバシーマーク取得支援コンサルティング
プライバシーマーク(Pマーク)は個人情報に対して適切な保護措置を講ずる体制を整備している組織に「一般財団法人日本情報経済社会推進協会(JIPDEC)」より審査を経て付与されるマークです。
当社のプライバシーマーク取得支援コンサルティングでは、プライバシーマークの取得を通じて、貴社の個人情報保護体制の強化をお手伝いします。
主な用語の解説
JIS Q 15001
個人情報を適切に保護するための要求事項が定められたJIS規格であり、個人情報保護法よりも厳しい内容となっています。
プライバシーマークを取得するため審査基準は、このJIS Q 15001に沿って定められていて、JIS規格であるために不定期にバージョンアップします。
PMS(個人情報保護マネジメントシステム)
PMS(個人情報保護マネジメントシステム)とは「Personal Information Protection Management Systems」の頭文字を取った表現で、個人情報保護のための仕組みを意味します。
個人情報を守るためのルールや物理的な対策の集まりとご理解ください。JIS Q 15001には、このPMSの構築と運用の要求が記載されています。
個人情報の例
社内で扱う個人情報にはさまざまな種類があります。保護すべき主な個人情報をご紹介いたします。
-
採用時の応募者情報
履歴書 等
-
従業員情報
給与情報、マイナンバー 等
-
顧客情報
契約情報、購買履歴 等
-
供給者情報
協力業者情報 等
-
その他
- 従業者の家族の情報
- 監視カメラの映像、入退室記録
- 委託業務の中で預かる個人情報(例:配送リスト)
- 顧客が保有するアクセス可能な個人情報(例:客先常駐時にアクセスできる情報)
- 製品、サービスに含まれる個人情報(例:写真販売サービス、出版社) 等
※参考※ マイナンバー制度について
プライバシーマーク取得に当たっての注意点
「個人情報保護法よりもJIS Q 15001の要求のほうが厳しい」
プライバシーマーク付与登録のための要求事項規格はJIS Q 15001ですので、PMSがそれに適合している必要があります。そのため、個人情報保護法を遵守しているだけではプライバシーマークを取得できません。
例
個人情報保護法
- 取得時の通知事項が少なく、利用目的に対する同意がオプトアウトでもよい
- 第三者提供のオプトアウトの例外がある
- 死者の個人情報は対象外
JIS Q 15001
- 取得時の通知事項が多く、利用目的に対する同意はオプトインが原則
- 第三者提供は原則オプトイン
- 場合によっては死者の個人情報も保護対象とすることを推奨 等
プライバシーマーク取得にあたっての前提
プライバシーマークの取得にあたり、プライバシーマークの有効期間が2年であることと、プライバシーマークの付与が法人単位なので対象範囲が全事業、全組織、全従業者、全拠点に及ぶことをあらかじめご理解ください。
-
前例Ⅰ 有効期間
2年間(2年に一回審査)
-
前例Ⅱ 対象範囲
-
- 全事業
- 全組織
- 全従業員 等
-
- 全拠点
- 法人単位でのマーク付与
-
原則として対象範囲を限定、拡大できませんが、学校法人や医療法人は例外があります。
プライバシーマーク付与登録までの主な工程
プライバシーマークの初回取得までの所要時間は、約6ヶ月~となります。ただし、着手時の環境によっては短縮が可能です。また、審査申請(下表の⑧)から現地審査(下表の⑩)までの期間は、審査機関の選択によって大きく変動します。
審査申請は、JIPDEC及びJIPDECに認定された外部機関に依頼します。
JIPDECに指定された外部審査機関の一覧はこちらをご覧ください。
【審査フェイズ】審査機関
プライバシーマークの審査機関は一定の範囲で選択することができます。業種によって受審可能な審査機関が変わりますのでご注意ください。
※ 業種によって受審可能な審査機関は異なります。
| 1 | 入会費・年会費の有無 | 審査機関によって有無、料金が異なります |
| 2 | スピード | 審査申請から現地審査までの時間等が異なります |
| 3 | 審査員の質 | 審査機関によって審査員の指摘のバラつき度合が異なります |
主に必要な役割
個人情報保護管理者、内部監査責任者の他にも特定個人情報事務取扱担当者や苦情相談窓口担当者などが明確になっている必要があります。
-
個人情報保護管理者
- 代表者に代わりPMSの運営を管理する
- 審査の際に主に受け答えをする
-
内部監査責任者
- 内部監査の計画をたて、実施する
- 代表者に内部監査結果を報告する
次の方は内部監査責任者になれません
①代表者
②個人情報保護管理者
③監査役
推進体制の例
プライバシーマーク付与登録後の活動
プライバシーマーク更新のためには、構築したPMSを見直し、運用し改善し続ける必要があります。
審査と審査の間の活動
更新審査までには、主に下図のような活動が待っています。
プライバシーマーク取得までの主な費用
費用は大きく①審査費用②設備投資③外部からの支援の費用に分けることができ、①のみが必須です。
| ① | 審査費用 | 必須 |
| ② | コンプライアンスとセキュリティのための設備投資 等 | 状況と目的による |
| ③ | 外部からの支援費用 (コンサルティング費用) |
費用1− 審査費用
一般財団法人日本情報経済社会推進協会(JIPDEC)ホームページを参照ください
参考:審査機関の入会費、年会費
審査機関の中には、受審の前提として①入会費 ②年会費が発生するケースがあります。
1. 入会費
審査機関によって3万円程度から発生しますが、JIPDECのように入会費が不要の審査機関もあります。
2. 年会費
審査機関によって1万円程度から発生します。入会費と同様に、JIPDEC等発生しない審査機関もあります。
なお、受審側の売上
金額によって年会費が変動する審査機関もありますので、ご注意ください。売上額が大きいと数十万円に及ぶこともあります。
費用2− セキュリティレベルを上げるための投資
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減や適切なリスクマネジメントの実現と審査通過可否は別問題とお考えください。
費用3− 外部からの支援費用(コンサルティング費用)
弊社の場合、支援の料金は主に次のような観点に基づいて決定しております。
金額を決める主な要素
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマ (既に事故が発生しており、その再発防止等)があるのか |
| 2 | 期間 | 極端に短期間、極端に長期間 |
| 3 | 対象組織規模 事業内容 |
聞き取り調査にどの程度の時間を要するか |
| 4 | 他認証の有無 文書量 |
既存文書の読込にどの程度の時間を要するか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか 等 |
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00
帝国データバンクネットコミュニケーションなら
帝国データバンクネットコミュニケーションのプライバシーマーク取得支援は、
次の3つの強みを主としてお客様の事業発展に貢献します。
信頼とノウハウ
2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。
ワンストップ
プライバシーマークとISO27001を中心に、各種認証取得コンサルティングが可能。
専門性の高いコンサルタントが、プライバシーマークに限らず、他の認証取得もワンストップにてコンサルティングが可能です。
発展性
認証取得だけではなく、さまざまな事業発展コンサルティングが可能です。取得を通じて、業務改善コンサルティングでお客様の事業発展を支えています。
お客様のご要望や規模に応じて支援内容をカスタマイズ
お客様のご要望や事業規模などで、認証取得を目指す速度やシステムの内容が異なってまいります。 基本となる5つのプランをカスタマイズして、お客様に最適なコンサルティングプランをご提案致します。
-
なるべく苦労なく取得
プライバシーマーク取得の審査では、お客様の主体性が問われるので、過度の代行支援は危険です。お客様の主体性を保ちつつ、可能な限りご負担を軽減するよう支援いたします。
-
なるべく早く取得
プライバシーマークの取得が案件受注の条件であるなど取得を急ぎたい方に向けたプランです。コンサルタントと協力して迅速な取得を目指します。
-
マークを維持/更新
プライバシーマークを取得した後も、マークを維持するには2年に一度、有効期限があります。有効期限が迫って慌てる前に、コンサルタントが更新審査のアドバイスをいたします。
-
業務改善の相談
プライバシーマーク取得のための作業とともに、業務の改善や効率化を行いたいというお客様に向けてのマネジメント・コンサルティングサービスです。業務の中での問題点のご相談にも対応します。
-
スマート化/実効性強化
構築した個人情報保護マネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、情報保護手順・基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティング内容の基本パターンとカスタマイズ
| 主な項目 | 基本パターン | 変更・追加パターン |
|---|---|---|
| 個人情報の特定 |
個人情報特定手順の説明 サンプル文書の提供と特定結果の確認 |
個人情報特定の代行 |
| リスク分析 |
リスク分析の手順説明 サンプル文書の提供とリスク分析結果 の確認 |
リスク分析の代行 |
| 規定作成 |
サンプル規定の提供、読み合わせ 規定の修正結果のレビュー |
聞き取り結果をふまえた原案作成 |
| 教育 | 教育資料の作成 | 研修の実施 研修実施記録の作成 |
| 内部監査 |
内部監査結果の確認 改善策の提案 |
内部監査の立ち会い・代行 内部監査記録の作成 |
| マネジメントレビュー (代表者による見直し) |
レビュー結果の確認 | マネジメントレビューの立ち会いと 記録の作成 |
| 審査申請 | 申請書類の内容確認 | 申請書添付書類の作成 |
| 審査 | 模擬審査の実施、審査傾向の案内 審査での指摘事項の対応策提案 |
? |
ご支援の実績
-
広告代理業
-
不動産業
-
ネットショップ運営
-
運送業
-
マーケティングリサーチ
-
製造業
その他、次のような業界で、プライバシーマーク取得支援の実績がございます。
-
- ソフトウェア開発
- 人材派遣業
- 排給水管工事業
- 印刷業
- 旅行業
-
- システム開発
- 出版業
- 土木工事業
- 入力代行サービス
-
- 飲食店経営
- 建設業
- アミューズメント施設運営
- イベント運営
-
- 物流アウトソーシング業
- 電気通信工事
- 医薬品・医薬部外品製造販売
- ビルメンテナンス
プライバシーマーク取得支援の主な項目
プライバシーマーク取得支援では、主に次のような項目について支援を提供します。
-
- プロジェクト概要説明現状調査
- 個人情報特定
- リスク分析
-
- 安全管理措置等の実施
- 規程類整備
- 従業者教育
-
- 内部監査
- マネジメントレビュー
- 審査申請
-
- 文書審査指摘事項対応模擬審査
- 審査指摘事項改善報告
プライバシーマーク取得支援開始までの流れ
1 お問い合わせ
プライバシーマーク取得をお考えの方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。
2 概算見積りご案内
必要に応じて概算見積りをお作り致します。
3 訪問してのご説明
お客様のところに訪問し、プライバシーマーク取得の流れやコンサルティングの内容についての概要をご説明致します。
4 本見積りご案内
ヒアリングの内容により、お客様に最適なコンサルティング・プランのご提案と本見積りを作成致します。
ご提出後、再度訪問にてお客様独自のプランをご説明いたします。
5 お申込み
コンサルティングのプランやお見積りの内容にご納得頂けましたらお申込みください。
6 ご契約
ご契約時には、契約書類や秘密保持契約の取り交わしを行います。
7 開始前打ち合わせ
コンサルティング開始前に、コンサルティングの流れや日程調整、従業員の方々への説明などの事前打ち合わせをさせて頂きます。
8 コンサルティング開始
お客様の個人情報保護のための社内体制を整え、プライバシーマーク取得に向けてコンサルティングを開始します。
よくあるご質問Q&A
Q. プライバシーマークとは?
プライバシーマーク(Pマーク)とは、個人情報について適切な保護措置を講ずる体制を整備していると判断された組織に対して、「一般財団法人日本情報経済社会推進協会(通称JIPDEC)」より付与されるマークの事をいいます。
Q. プライバシーマークの有効期間はどれぐらいですか?
初回登録から2年間です。さらに、更新するたびに更新日から2年延長されます。
Q. プライバシーマークを取得するためには、どの程度の人員数が必要ですか?
プライバシーマークを取得するために必要なメンバーは、個人情報保護管理者ならびに内部監査責任者の2名です。
Q. プライバシーマークを取得するのに、どれぐらいの期間が必要ですか?
プライバシーマークを取得するために必要な期間は、「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」「審査機関の選択」等の要素によって変動します。目安は6ヵ月~とお考えください。
Q. プライバシーマークを取得するために必要な費用は?
プライバシーマークを取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。
Q. プライバシーマーク取得後のコンサルティングにはどのようなものがありますか?
プライバシーマーク取得後の主だったコンサルティング内容は、内部監査実施、従業者教育実施、代表者による見直しの実施支援などさまざまです。
Q. プライバシーマーク取得のために、どの程度のセキュリティレベルが要求されますか?
ある程度のセキュリティ対策は必要ですが、ISOと比べると比較的明確に内容が決まっています。
Q. 事故を起こしてしまったら、プライバシーマークの取得が難しくなりますか?
制度上、欠格要件が決められています。プライバシーマーク認定取得後に事故を起こした場合でも、必ず認定がはく奪されるわけではありません。重大性に応じて評価され、その評価結果に従った措置が取られます。
Q. マネジメントレビューとは何ですか?
マネジメントレビューとは、旧規格(JIS Q 15001:2006)で言うところの「事業者の代表者による見直し」です。トップマネジメント(代表者)に、PMS運用に関する情報(規格要求では最低限必要な情報が定められています)を提供(インプット)し、トップマネジメントから指示を仰ぐ(アウトプット)ことで、PMSの改善につなげるという目的があります。PDCAサイクルのA(アクト)を実現するための非常に重要な活動です。
Q. プライバシーマークの現地審査は、どのようなことをするのですか?
トップマネジメントへのインタビュー、個人情報保護管理者や推進事務局へのインタビュー、各部門へのインタビュー、オフィスの物理的環境の確認(サイトツアー)などを行います。
Q. プライバシーマークの有効期限が切れてしまったら、どうしたらいいですか?
大前提として、更新申請期限を迎える前に、審査機関にご相談ください。とはいえ、有効期限を過ぎてしまい、かつプライバシーマークが必要な場合は、申請のやり直しとなります。
プライバシーマーク取得コンサルティングなら当社にお任せください
プライバシーマーク取得の目的は、個人情報の適正な保護をすることであり、個人情報の漏えいなどによるリスクから企業を守ることも含まれます。帝国データバンクNCでは、プライバシーマーク本来の目的を大切にしながら、お客様のプライバシーマーク取得のご支援をしております。法令や各種ガイドラインの改正をタイムリーに反映しながら、個人情報保護のシステム構築をご支援いたします。
プライバシーマーク取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、プライバシーマークの維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、帝国データバンクNCにお任せください。
2000年創業以来、大小1,000件以上という認証取得コンサルティング業界の中でも数多くの実績を積んでまいりました。プライバシーマーク取得を通じて、日本全国のお客様の「次業(Next Stage)」づくりをお手伝いいたします。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00