信頼とノウハウのISO認証取得コンサルティング
プライバシーマーク(Pマーク)は個人情報に対して適切な保護措置を講ずる体制を整備している組織に「一般財団法人日本情報経済社会推進協会(JIPDEC)」より審査を経て付与されるマークです。当社のプライバシーマーク取得支援コンサルティングでは、プライバシーマークの取得を通じて、貴社の個人情報保護体制の強化をお手伝いします。
プライバシーマークの取得に取り組むと、「JISQ15001」と「PMS」という言葉が頻繁に出てまいります。まずは、この2つの用語の意味からご説明いたします。
| JISQ15001 | 個人情報保護を目的として、組織が個人情報を適切に管理するためのマネジメントシステムの要求事項が定められたJIS規格です。個人情報保護法で求められる要求事項とは異なります。プライバシーマークを取得するためには、JISQ15001に記載されている要求事項を遵守する必要があります。JISQ15001はバージョンアップすることがあります。前回は、個人情報保護法の改正に伴い、2017年12月20日に2017年版が公示されました。 |
|---|---|
| PMS | 「Personal Information Protection Management Systems」の頭文字を取った表現で、個人情報保護のための仕組みを意味します。個人情報を守るためのルールや物理的な対策の集まりとご理解ください。JISQ15001には、このPMSの構築と運用の要求が記載されています。 |
プライバシーマーク付与登録のための要求事項規格であるJISQ15001が改正されたため、2006年版(旧版)適用での申請にはタイムリミットがあります。
プライバシーマークの申請には、新JIS申請と旧JIS申請があります。それぞれのメリットとデメリットを比較しました。
| 申請 | メリット | デメリット |
|---|---|---|
| 新JIS申請 |
|
|
| 旧JIS申請 |
|
|
旧JIS規格では、
①個人に関する情報であって
②当該情報に含まれる氏名、生年月日その他の記述などによって“特定の個人を識別できるもの”(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)
という定義がされていましたが、新JISではこの定義が廃止され、所謂「個人情報保護法」の定義に従うことになりました。
とは言え、個人情報保護法では対象外となる「死者の情報」なども、新JISではリスクに応じて保護の対象とすることを推奨していたりしますので、注意が必要です。
プライバシーマーク付与登録のための要求事項規格はJISQ15001ですので、PMSがそれに適合している必要があります。そのため、個人情報保護法を遵守しているだけではプライバシーマークを取得できません。
プライバシーマークの取得にあたり、プライバシーマークの有効期間が2年であることと、プライバシーマークの付与が法人単位なので対象範囲が全事業、全組織、全従業者、全拠点に及ぶことをあらかじめご理解ください。
はじめてプライバシーマークを取得する場合の工程と、プライバシーマーク取得に要するおおよその時間は、次の図のようになります。コンサルティングをご依頼いただいた方にはご要望に応じてご支援いたします。
審査申請は、JIPDEC及びJIPDECに認定された外部機関に依頼します。JIPDECに指定された外部審査機関の一覧はこちらをご覧ください。
プライバシーマークを取得するにあたり、個人情報保護管理者や内部監査責任者を選任する必要があります。コンサルティングでは、このような担当者の養成も行っております。
プライバシーマークを取得した初年度から2年目で更新審査があります。
更新審査を受けるタイミングは、プライバシーマークの有効期限の8カ月前から4カ月前までの期間です。審査の受審時期を企業がある程度選べるようにするためです。
初めてプライバシーマークを取得した企業に多いのですが、有効期限ギリギリまで更新審査を受けられるように勘違いされ、期限が過ぎることがあるのでご注意ください。
プライバシーマークを取得したら、更新審査が2年毎にありますが、審査の間に、毎年行うことがあります。それは、「従業者教育」「内部監査」「代表者による見直し」などです。
また、個人情報特定結果を見直したり、業務内容や組織体制などに変更があったり、委託先を変更したりしたときにも、それらの変化に応じた対応が必要になります。
プライバシーマークを取得するまでには、主に次の3種類の費用がかかります。審査費用は必須でかかります。また、セキュリティレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。
| 1 | 審査費用 | 必須 |
| 2 | コンプライアンスとセキュリティのための設備投資等 | 状況と目的による |
| 3 | 外部からの支援費用 (コンサルティング費用等) |
一般財団法人日本情報経済社会推進協会(JIPDEC)ホームページを参照ください
審査機関の中には、受審の前提として①入会費 ②年会費 が発生するケースがあります。
①入会費
審査機関によって3万円程度から発生しますが、JIPDECのように入会費が不要の審査機関もあります。
②年会費
審査機関によって1万円程度から発生します。入会費と同様に、JIPDEC等発生しない審査機関もあります。なお、受審側の売上
金額によって年会費が変動する審査機関もありますので、ご注意ください。売上額が大きいと数十万円に及ぶこともあります。
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。ただし、コンプライアンスのために費用が発生する場合が稀にあります。
プライバシーマーク取得コンサルティングの費用は、主に次のような要素によって決まります。
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマ (既に事故が発生しており、その再発防止等)があるのか |
| 2 | 期間 | 極端に短期間、極端に長期間であるか |
| 3 | 対象組織規模 事業内容 | 聞き取り調査にどの程度の時間を要するか |
| 4 | 他認証の有無 文書量 | 既存文書の読込にどの程度の時間を要するか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか等 |
帝国データバンクネットコミュニケーションの認証取得コンサルティングは、次の3つの強みを主としてお客様の事業発展に貢献します。
2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。
プライバシーマークとISO27001を中心に、各種認証取得コンサルティングが可能。専門性の高いコンサルタントが、プライバシーマークに限らず、他の認証取得もワンストップにてコンサルティングが可能です。
認証取得だけではなく、さまざまな事業発展コンサルティングが可能です。取得を通じて、業務改善コンサルティングでお客様の事業発展を支えています。
お客様のご要望や事業規模などで、認証取得を目指す速度や個人情報保護マネジメントシステムの内容が異なってまいります。
基本となる5つのプランをカスタマイズして、お客様に最適なコンサルティングプランをご提案致します。
プライバシーマーク取得の審査では、お客様の主体性が問われるので、過度の代行支援は危険です。お客様の主体性を保ちつつ、可能な限りご負担を軽減するよう支援いたします。
プライバシーマークの取得が案件受注の条件であるなど取得を急ぎたい方に向けたプランです。コンサルタントと協力して迅速な取得を目指します。
プライバシーマークを取得した後も、マークを維持するには2年に一度、有効期限があります。有効期限が迫って慌てる前に、コンサルタントが更新審査のアドバイスをいたします。
プライバシーマーク取得のための作業とともに、業務の改善や効率化を行いたいというお客様に向けてのマネジメント・コンサルティングサービスです。業務の中での問題点のご相談にも対応します。
構築した個人情報保護マネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、情報保護手順・基準の見直しを行い、お客様にとって最適なシステムを再構築します。
| 主な項目 | 基本パターン | 変更・追加パターン |
|---|---|---|
| 個人情報の特定 | 個人情報特定手順の説明 サンプル文書の提供と特定結果の確認 | 個人情報特定の代行 |
| リスク分析 | リスク分析の手順説明 サンプル文書の提供とリスク分析結果の確認 | リスク分析の代行 |
| 規定作成 | サンプル規定の提供、読み合わせ 規定の修正結果のレビュー | 聞き取り結果をふまえた原案作成 |
| 教育 | 教育資料の作成 | 研修の実施 研修実施記録の作成 |
| 内部監査 | 内部監査結果の確認 改善策の提案 | 内部監査の立ち会い・代行 内部監査記録の作成 |
| マネジメントレビュー (代表者による見直し) | レビュー結果の確認 | マネジメントレビューの立ち会いと記録の作成 |
| 審査申請 | 申請書類の内容確認 | 申請書添付書類の作成 |
| 審査 | 模擬審査の実施、審査傾向の案内 審査での指摘事項の対応 | – |
その他、次のような業界で、プライバシーマーク取得支援の実績がございます。
必要に応じて概算見積をお作り致します。
お客様のところに訪問し、プライバシーマーク取得の流れやコンサルティングの内容についての概要をご説明致します。
ヒアリングの内容により、お客様に最適なコンサルティング・プランのご提案と本見積を作成致します。ご提出後、再度訪問にてお客様独自のプランをご説明いたします。
コンサルティングのプランやお見積りの内容にご納得頂けましたらお申込みください。
ご契約時には、契約書類や秘密保持契約を行います。
コンサルティング開始前に、コンサルティングの流れや日程調整、従業員の方々への説明などの事前打ち合わせをさせて頂きます。
お客様の個人情報保護のための社内体制を整え、プライバシーマーク取得に向けてコンサルティングを開始します。
プライバシーマーク(Pマーク)とは、個人情報について適切な保護措置を講ずる体制を整備していると判断された組織に対して、「一般財団法人日本情報経済社会推進協会(通称JIPDEC)」より付与されるマークの事をいいます。
初回登録から2年間です。さらに、更新するたびに更新日から2年延長されます。
プライバシーマークを取得するために必要なメンバーは、個人情報保護管理者ならびに内部監査責任者の2名です。
プライバシーマークを取得するために必要な期間は、「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」「審査機関の選択」等の要素によって変動します。目安は6ヶ月~とお考えください。
プライバシーマークを取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。
プライバシーマーク取得後の主だったコンサルティング内容は、内部監査実施、従業者教育実施、代表者による見直しの実施支援などさまざまです。
ある程度のセキュリティ対策は必要ですが、ISOと比べると比較的明確に内容が決まっています。
制度上、欠格要件が決められています。プライバシーマーク認定取得後に事故を起こした場合でも、必ず認定がはく奪されるわけではありません。重大性に応じて評価され、その評価結果に従った措置が取られます。
マネジメントレビューとは、旧規格(JISQ15001:2006)で言うところの「事業者の代表者による見直し」です。トップマネジメント(代表者)に、PMS運用に関する情報(規格要求では最低限必要な情報が定められています)を提供(インプット)し、トップマネジメントから指示を仰ぐ(アウトプット)ことで、PMSの改善につなげるという目的があります。PDCAサイクルのA(アクト)を実現するための非常に重要な活動です。
トップマネジメントへのインタビュー、個人情報保護管理者や推進事務局へのインタビュー、各部門へのインタビュー、オフィスの物理的環境の確認(サイトツアー)などを行います。
大前提として、更新申請期限を迎える前に、審査機関にご相談ください。とはいえ、有効期限を過ぎてしまい、かつプライバシーマークが必要な場合は、申請のやり直しとなります。
プライバシーマーク取得の目的は、個人情報の適正な保護をすることであり、個人情報の漏えいなどによるリスクから企業を守ることも含まれます。帝国データバンクNCでは、プライバシーマーク本来の目的を大切にしながら、お客様のプライバシーマーク取得のご支援をしております。法令や各種ガイドラインの改正をタイムリーに反映しながら、個人情報保護のシステム構築をご支援いたします。
プライバシーマーク取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、プライバシーマークの維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、帝国データバンクNCにお任せください。
2000年創業以来、大小1,000件以上という認証取得コンサルティング業界の中でも数多くの実績を積んでまいりました。プライバシーマーク取得を通じて、日本全国のお客様の「次業(Next Stage)」づくりをお手伝いいたします。
プライバシーマーク取得をお考えの方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。