プライバシーマークに関する用語の解説
プライバシーマークの取得に取り組むと、「JISQ15001」と「PMS」という言葉が頻繁に出てまいります。まずは、この2つの用語の意味からご説明いたします。
JISQ15001 | 個人情報保護を目的として、組織が個人情報を適切に管理するためのマネジメントシステムの要求事項が定められたJIS規格です。個人情報保護法で求められる要求事項とは異なります。プライバシーマークを取得するためには、JISQ15001に記載されている要求事項を遵守する必要があります。JISQ15001はバージョンアップすることがあります。前回は、個人情報保護法の改正に伴い、2017年12月20日に2017年版が公示されました。 |
PMS | 「Personal Information Protection Management Systems」の頭文字を取った表現で、個人情報保護のための仕組みを意味します。個人情報を守るためのルールや物理的な対策の集まりとご理解ください。JISQ15001には、このPMSの構築と運用の要求が記載されています。 |
プライバシーマーク取得のお取り組みの前に
プライバシーマーク付与登録のための要求事項規格であるJISQ15001が改正されたため、2006年版(旧版)適用での申請にはタイムリミットがあります。
プライバシーマークの新JIS申請と旧JIS申請の比較
プライバシーマークの申請には、新JIS申請と旧JIS申請があります。それぞれのメリットとデメリットを比較しました。
申請 | メリット | デメリット |
新JIS申請 |
- あらためて新JISに対応するという二度手間を省くことができる。
|
- 新JISによる審査開始直後は、審査員の見解がバラつき、余計な指摘(審査が落ち着いてくればなされないような指摘)がなされる可能性がある。
- 2018年8月1日まで申請できない。
|
旧JIS申請 |
- ある程度審査員の見解が固まっているので、審査傾向を読みやすく、余計な指摘も回避しやすい。
- 2018年8月よりも前に申請できる(早くプライバシーマークを取得することができる)
|
|
個人情報とは
旧JIS規格では、
①個人に関する情報であって
②当該情報に含まれる氏名、生年月日その他の記述などによって“特定の個人を識別できるもの”(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)
※JISQ15001:2006の「個人情報」の定義より
という定義がされていましたが、新JISではこの定義が廃止され、所謂「個人情報保護法」の定義に従うことになりました。
とは言え、個人情報保護法では対象外となる「死者の情報」なども、新JISではリスクに応じて保護の対象とすることを推奨していたりしますので、注意が必要です。
個人情報の例
社内で扱う個人情報にはさまざまな種類があります。保護すべき主な個人情報をご紹介いたします。
※参考※ マイナンバー制度について ⇒
詳しくはこちら
プライバシーマーク取得に当たっての注意点
「個人情報保護法よりもJISQ15001の要求のほうが厳しい」
プライバシーマーク付与登録のための要求事項規格はJISQ15001ですので、PMSがそれに適合している必要があります。そのため、個人情報保護法を遵守しているだけではプライバシーマークを取得できません。
プライバシーマーク取得にあたっての前提
プライバシーマークの取得にあたり、プライバシーマークの有効期間が2年であることと、プライバシーマークの付与が法人単位なので対象範囲が全事業、全組織、全従業者、全拠点に及ぶことをあらかじめご理解ください。
プライバシーマーク付与登録までの主な工程
はじめてプライバシーマークを取得する場合の工程と、プライバシーマーク取得に要するおおよその時間は、次の図のようになります。コンサルティングをご依頼いただいた方にはご要望に応じてご支援いたします。
審査申請は、JIPDEC及びJIPDECに認定された外部機関に依頼します。JIPDECに指定された外部審査機関の一覧はこちらをご覧ください。
管理者/責任者の選任とその役割
プライバシーマークを取得するにあたり、個人情報保護管理者や内部監査責任者を選任する必要があります。コンサルティングでは、このような担当者の養成も行っております。
プライバシーマーク付与登録後の活動
プライバシーマークを取得した後は、プライバシーマークの更新審査や従業者の教育、内部監査などさまざまな個人情報保護の取り組みを行います。
【審査サイクル】
プライバシーマークを取得した初年度から2年目で更新審査があります。
更新審査を受けるタイミングは、プライバシーマークの有効期限の8カ月前から4カ月前までの期間です。審査の受審時期を企業がある程度選べるようにするためです。
初めてプライバシーマークを取得した企業に多いのですが、有効期限ギリギリまで更新審査を受けられるように勘違いされ、期限が過ぎることがあるのでご注意ください。
【審査と審査の間の活動】
プライバシーマークを取得したら、更新審査が2年毎にありますが、審査の間に、毎年行うことがあります。それは、「従業者教育」「内部監査」「代表者による見直し」などです。
また、個人情報特定結果を見直したり、業務内容や組織体制などに変更があったり、委託先を変更したりしたときにも、それらの変化に応じた対応が必要になります。
プライバシーマーク取得までの主な費用
プライバシーマークを取得するまでには、主に次の3種類の費用がかかります。審査費用は必須でかかります。また、セキュリティレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。
1 | 審査費用 | 必須 |
2 | コンプライアンスとセキュリティのための設備投資等 | 状況と目的による |
3 | 外部からの支援費用 (コンサルティング費用等) | |
費用1:審査費用
参考:審査機関の入会費、年会費
審査機関の中には、受審の前提として①入会費 ②年会費 が発生するケースがあります。
①入会費
審査機関によって3万円程度から発生しますが、JIPDECのように入会費が不要の審査機関もあります。
②年会費
審査機関によって1万円程度から発生します。入会費と同様に、JIPDEC等発生しない審査機関もあります。なお、受審側の売上
金額によって年会費が変動する審査機関もありますので、ご注意ください。売上額が大きいと数十万円に及ぶこともあります。
費用2:コンプライアンスとセキュリティのための設備投資
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。ただし、コンプライアンスのために費用が発生する場合が稀にあります。

費用3:外部からの支援費用(コンサルティング費用)
プライバシーマーク取得コンサルティングの費用は、主に次のような要素によって決まります。
【金額を決める主な要素】
1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマ (既に事故が発生しており、その再発防止等)があるのか |
2 | 期間 | 極端に短期間、極端に長期間であるか |
3 | 対象組織規模 事業内容 | 聞き取り調査にどの程度の時間を要するか |
4 | 他認証の有無 文書量 | 既存文書の読込にどの程度の時間を要するか |
5 | 支援範囲 | どの工程を支援するか |
6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか等 |
帝国データバンクネット
コミュニケーションなら

帝国データバンクネットコミュニケーションの認証取得コンサルティングは、次の3つの強みを主としてお客様の事業発展に貢献します。
信頼とノウハウ
2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。
ワンストップ
プライバシーマークとISO27001を中心に、各種認証取得コンサルティングが可能。専門性の高いコンサルタントが、プライバシーマークに限らず、他の認証取得もワンストップにてコンサルティングが可能です。
発展性
認証取得だけではなく、さまざまな事業発展コンサルティングが可能です。取得を通じて、業務改善コンサルティングでお客様の事業発展を支えています。
お客様のご要望や規模に応じてプランをカスタマイズ
なるべく苦労なく取得
プライバシーマーク取得の審査では、お客様の主体性が問われるので、過度の代行支援は危険です。お客様の主体性を保ちつつ、可能な限りご負担を軽減するよう支援いたします。
なるべく早く取得
プライバシーマークの取得が案件受注の条件であるなど取得を急ぎたい方に向けたプランです。コンサルタントと協力して迅速な取得を目指します。
マークを維持・更新
プライバシーマークを取得した後も、マークを維持するには2年に一度、有効期限があります。有効期限が迫って慌てる前に、コンサルタントが更新審査のアドバイスをいたします。
業務改善の相談
プライバシーマーク取得のための作業とともに、業務の改善や効率化を行いたいというお客様に向けてのマネジメント・コンサルティングサービスです。業務の中での問題点のご相談にも対応します。
スマート化・実効性強化
構築した個人情報保護マネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、情報保護手順・基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティング内容の基本パターンとカスタマイズ
主な項目 | 基本パターン | 変更・追加パターン |
個人情報の特定 | 個人情報特定手順の説明 サンプル文書の提供と特定結果の確認 | 個人情報特定の代行 |
リスク分析 | リスク分析の手順説明 サンプル文書の提供とリスク分析結果の確認 | リスク分析の代行 |
規定作成 | サンプル規定の提供、読み合わせ 規定の修正結果のレビュー | 聞き取り結果をふまえた原案作成 |
教育 | 教育資料の作成 | 研修の実施 研修実施記録の作成 |
内部監査 | 内部監査結果の確認 改善策の提案 | 内部監査の立ち会い・代行 内部監査記録の作成 |
マネジメントレビュー (代表者による見直し) | レビュー結果の確認 | マネジメントレビューの立ち会いと記録の作成 |
審査申請 | 申請書類の内容確認 | 申請書添付書類の作成 |
審査 | 模擬審査の実施、審査傾向の案内 審査での指摘事項の対応 | – |
よくあるご質問
プライバシーマーク(Pマーク)とは、個人情報について適切な保護措置を講ずる体制を整備していると判断された組織に対して、「一般財団法人日本情報経済社会推進協会(通称JIPDEC)」より付与されるマークの事をいいます。
Q. プライバシーマークの有効期間はどれぐらいですか?
初回登録から2年間です。さらに、更新するたびに更新日から2年延長されます。
プライバシーマークを取得するために必要なメンバーは、個人情報保護管理者ならびに内部監査責任者の2名です。
プライバシーマークを取得するために必要な期間は、「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」「審査機関の選択」等の要素によって変動します。目安は6ヶ月~とお考えください。
プライバシーマークを取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。
Q. プライバシーマーク取得後のコンサルティングにはどのようなものがありますか?
プライバシーマーク取得後の主だったコンサルティング内容は、内部監査実施、従業者教育実施、代表者による見直しの実施支援などさまざまです。
Q. プライバシーマーク取得のために、どの程度のセキュリティレベルが要求されますか?
ある程度のセキュリティ対策は必要ですが、ISOと比べると比較的明確に内容が決まっています。
Q. 事故を起こしてしまったら、プライバシーマークの取得が難しくなりますか?
制度上、欠格要件が決められています。プライバシーマーク認定取得後に事故を起こした場合でも、必ず認定がはく奪されるわけではありません。重大性に応じて評価され、その評価結果に従った措置が取られます。
Q. マネージメントレビューとは何ですか?
マネジメントレビューとは、旧規格(JISQ15001:2006)で言うところの「事業者の代表者による見直し」です。トップマネジメント(代表者)に、PMS運用に関する情報(規格要求では最低限必要な情報が定められています)を提供(インプット)し、トップマネジメントから指示を仰ぐ(アウトプット)ことで、PMSの改善につなげるという目的があります。PDCAサイクルのA(アクト)を実現するための非常に重要な活動です。
Q. プライバシーマークの現地審査は、どのようなことをするのですか?
トップマネジメントへのインタビュー、個人情報保護管理者や推進事務局へのインタビュー、各部門へのインタビュー、オフィスの物理的環境の確認(サイトツアー)などを行います。
Q. プライバシーマークの有効期限が切れてしまったら、どうしたらいいですか?
大前提として、更新申請期限を迎える前に、審査機関にご相談ください。とはいえ、有効期限を過ぎてしまい、かつプライバシーマークが必要な場合は、申請のやり直しとなります。
プライバシーマーク認証取得コンサルティングのよくあるご質問一覧はこちら
プライバシーマーク取得コンサルティングなら当社にお任せください
プライバシーマーク取得の目的は、個人情報の適正な保護をすることであり、個人情報の漏えいなどによるリスクから企業を守ることも含まれます。帝国データバンクNCでは、プライバシーマーク本来の目的を大切にしながら、お客様のプライバシーマーク取得のご支援をしております。法令や各種ガイドラインの改正をタイムリーに反映しながら、個人情報保護のシステム構築をご支援いたします。
プライバシーマーク取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、プライバシーマークの維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、帝国データバンクNCにお任せください。
2000年創業以来、大小1,000件以上という認証取得コンサルティング業界の中でも数多くの実績を積んでまいりました。プライバシーマーク取得を通じて、日本全国のお客様の「次業(Next Stage)」づくりをお手伝いいたします。
プライバシーマーク取得をお考えの方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。