Pマーク(プライバシーマーク)とは?構築方法・取得の流れ・ISMSとの違いまで徹底解説|サイバーセキュリティ.com

Pマーク(プライバシーマーク)とは?構築方法・取得の流れ・ISMSとの違いまで徹底解説



Webサイトに氏名や電話番号を入力して予約を取ったり、クレジットカードの番号を入力してネットショッピングを楽しむことが一般化しています。

このように、個人情報をインターネット上でやり取りすることが当たり前となっている現状があり、個人情報の保護が強く求められるようになりました。

このような背景から生まれたのが、「プライバシーマーク制度」です。

プライバシーマーク制度に基づき付与される「Pマーク(プライバシーマーク)」とは何か、メリットや取得方法まで詳しく解説します。

Pマーク(プライバシーマーク制度)とは

一般財団法人日本情報経済社会推進協会

 

Pマーク(プライバシーマーク)は、個人情報保護法を遵守するための仕組みを、組織・企業内で構築・運用していることをマークで示す制度のことです。

Pマーク(プライバシーマーク)

審査機関による審査に合格し、認定された組織・企業にPマーク(プライバシーマーク)のロゴが付与されます。

Pマーク(プライバシーマーク)「たいせつにしますプライバシー」/一般財団法人日本情報経済社会推進協会

Pマーク制度の審査基準

プライバシーマーク制度の審査基準は明確です。日本産業規格「JIS Q 15001 個人情報保護マネジメントシステム:PMS」が遵守できているかどうかが問われます。

JIS Q 15001の詳細については後述しますが、JIS Q 15001とは、個人情報保護マネジメントシステム(Personal information protection Management Systems:PMS)の構築と運用についての規定です。

JIS Q 15001は、これまでも数回にわたり改定されていますが、そのうち大きな転換点となったのが、2006年の改定です。情報漏えい事故が多発し、個人情報保護の重要性が高まったことが背景となり、「個人情報保護マネジメントシステム-要求事項」(JIS Q 15001:2006)として改正。プライバシーマーク制度が大きく注目されるきっかけになりました。

Pマーク(プライバシーマーク)を取得するメリット

Pマーク(プライバシーマーク)制度の狙いや目的は何でしょうか。組織・企業でPマークを取得するメリットも踏まえて説明します。

Pマーク(プライバシーマーク)制度のねらい

プライバシーマーク制度では、組織・企業において、個人情報を取り扱う仕組みを構築し、適切に運用しているかを評価します。

プライバシーマーク制度の大きな目的は次の3つです。

  • 消費者の目にも見えるマークという形態を用い、個人情報の保護に対する消費者自身の意識を向上する。
  • 企業や組織に対し、個人情報の適切な取り扱いを推進することを促す。
  • 個人情報保護への意識の高まりに応えた企業や組織に対し、社会的な信用を得るためのインセンティブを与える。

Pマーク(プライバシーマーク)を取得するメリット

企業や組織にとって、Pマークを取得するメリットは、自主的に個人情報の管理体制を確立・運用していることを、取引先や消費者に示せることです。

2022年9月16日時点で、プライバシーマーク付与事業者数は、1万7,154事業者に上っており、Pマークを取得する企業が急増しています。

理由のひとつとして、Pマークを取得済みの企業が、案件を発注する予定の取引先企業にもPマークの取得を求めるケースが増えていることが挙げられます。Pマークを取得すること自体にメリットがあるというよりは、ないことで顧客から切られてしまうことがあるというのが現状です。

Pマークを保有していることで、営業しやすくなったり受注率を上げることができます。組織や企業にとって、Pマーク取得の一番のメリットは、ビジネスチャンスの拡大にあると言っても過言ではありません。

Pマーク(プライバシーマーク)の取得方法

Pマーク(プライバシーマーク)を取得するまでの流れを説明します。

Pマーク(プライバシーマーク)を取得するときは、「PMS(個人情報保護マネジメントシステム)の構築と運用」・「申請と審査」・「認定」の各手順を踏みます。

Pマークの審査を申し込んでから、Pマーク使用開始までの期間は、約6ヵ月です。

PMSの構築や運用の期間まで含めると、構築からPマーク交付までの期間は、7ヶ月から12ヶ月が目安です。

PMS構築

Pマークの審査対象となる、PMS(個人情報保護マネジメントシステム)を構築します。

調査・分析

組織・企業内に保存されている個人情報を洗い出します。対象は組織・企業内のすべての部署です。洗い出した情報を、個人情報管理表に記録します。

次に、それら個人情報の入手・利用・保管・廃棄の各工程で発生しうるセキュリティリスクを分析します。

規程作成

プライバシーマーク取得の審査基準「JIS Q 15001(個人情報保護マネジメントシステム)」は、各組織に対し、個人情報保護に関する内部規程を作成するよう求めています。

個人情報保護方針や個人情報保護基本規程、詳細規程などを文書化します。

内部規程が完成したら、関係者に周知して意見を収集します。文書に対する意見の反映が完了したら、社内承認の手続きをします。

教育

社内承認を経て、正式に社内ルールとなったPMS(個人情報保護マネジメントシステム)をすべての従業員に周知します。

運用

構築したPMS(個人情報保護マネジメントシステム)を、実際の業務で運用します。

運用開始

PMS(個人情報保護マネジメントシステム)に関する教育を経て、全従業員に周知したら、通常業務にて運用します。規程で定めたことをすべて実行することが原則です。

内部監査

監査責任者が複数の監査人を指定して内部監査を行います。

内部監査では、自組織のPMS(個人情報保護マネジメントシステム)がJIS Q 15001に適合しているか、また、構築したPMSが規程どおり運用されているかを確認します。

監査結果は監査報告書にまとめます。

見直し

内部監査で見つかった不適合事項を修正します。

また、組織の代表者に意見を求める、マネジメントレビューを行います。代表者に対し、PMS(個人情報保護マネジメントシステム)構築のために実施してきたことなどの情報を加えつつ内部監査結果を報告します。

申請

プライバシーマークの申請時には多くの申請書類が必要です。

個人情報保護方針、個人情報保護管理台帳、リスク分析表、委託先一覧表、運用の確認結果、是正・予防処置報告書、代表者の見直し記録などです。

書類が不足していると受理してもらえないため、注意しましょう。

申請書類を揃えたら、申請料を添えて法人単位で申請します。

書類審査

申請書類が受理されたら、書類審査が開始します。

書類審査では、事業規模や申請資格の有無、書類の不備について確認されます。

現地審査

書類審査を終えると、現地審査に進みます。

現地審査では、事業者の代表に対し、事業内容や経営方針、個人情報の取り扱いについてインタビューが行われる他、PMSの運用状況や個人情報を実際に取り扱う場面での実施状況の確認、総括が行われます。

改善報告

審査で指摘事項があった場合は、指摘に対応した上で、改善の証拠を付した改善報告書を作成し、3ヶ月以内に提出します。

認定付与適格決定

審査員が指摘事項すべてについて対応が完了したことを確認すると、審査会が、審査対象組織をJIS Q 15001に適合したプライバシーマーク取得事業者として認定します。

Pマーク使用開始

プライバシーマーク付与契約書とプライバシーマーク付与登録料請求書等の書類が届きます。書類への記入や、プライバシーマーク付与登録料の振込が完了すると、プライバシーマーク登録証とプライバシーマーク画像データが届きます。

Pマーク(プライバシーマーク)の有効期限

取得したプライバシーマークは、無期限に使用できるわけではありません。Pマークには、2年間という有効期間が定められています。

Pマークを使い続けるためには、2年ごとに更新審査を受ける必要があります。

更新審査でも、初回の審査と同様に、文書審査と現地審査とが行われるため、審査の流れは新規取得時と大きく異なりません。

新規取得時の審査と更新審査とで異なる点は、次のとおりです。

  • 前回申請時から変更があった場合は、登記事項証明書・定款・変更報告書を提出
  • 新規に開始した事業・個人情報の取り扱いに変化があった事業・取りやめた事業の報告
  • 前回審査時以降の個人情報保護体制の運用記録(2年分)

Pマーク(プライバシーマーク)取得時の注意点

Pマーク(プライバシーマーク)取得を検討するときに、知っておきたい注意点を説明します。

現地審査後に時間を要する

審査を終えてからPマーク使用開始までに時間を要する点に注意しましょう。審査会を開催し、付与適格を決定する期間が必要なため、審査終了から実際にマークを使用できるまで約2.5ヶ月要します。

PMSの構築・運用が必須

Pマークの審査は、PMSの構築が完了し、運用・管理が行われている期間にしか受けることができません。そのため、PMSの構築や運用の期間まで含めると、構築からPマーク交付まで7ヶ月から12ヶ月必要です。

新規取得より更新が難しい

Pマークは、新規取得時の審査に対応するより、PMSを維持してPマーク付与事業者として更新し続ける方が難しいと言われています。運用し続けられるよう、自社の事業や時代の流れに沿ったPMSを構築することが重要です。

JIS Q 15001(個人情報保護マネジメントシステム:PMS)とは

プライバシーマーク制度の審査は、日本産業規格「JIS Q 15001 個人情報保護マネジメントシステム:PMS」に基づいた審査基準で行われます。

PMS(個人情報保護マネジメントシステム)とは

JIS Q 15001で規定しているのが、個人情報保護マネジメントシステム(Personal information protection Management Systems:PMS)の構築と運用についてです。

PMSは、個人情報を管理するための仕組みです。個人情報を保護する体制の整備と実行、定期的な確認と継続的な改善を行うことを目的としています。

PMSの大きな特徴は、管理方法です。

PMSでは、ISO27001と同様の考え方を取り入れており、P(計画)・D(実施)・C(点検・評価)・A(改善)のサイクルを回すことを管理の原則としています。

JIS Q 15001の構成

JIS Q 15001(個人情報保護マネジメントシステム:PMS)の構成は次の通りです。

0 序文
0.1 概要 PMSの目的はリスクマネジメントプロセスを適用することによって個人情報の保護を維持であること。
0.2 他のマネジメントシステム規格との近接性
1 適用範囲 個人情報保護法に定める個人情報取扱事業者が対象となること。
2 引用規格 引用規格なし。
3 用語及び定義 PMSの規格で用いる主な用語と定義は、個人情報保護法によること。
4 組織の状況 組織の目的、組織の能力、外部及び内部の課題、利害関係者のニーズを理解し、PMSの適用範囲を決定しなければならないこと。
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 個人情報保護マネジメントシステムの適用範囲の決定
4.4 個人情報保護マネジメントシステム
5 リーダーシップ トップマネジメントは“組織のプロセスへのPMS要求事項の統合を確実にする”とあり、PMSに関するリーダーシップ及びコミットメントを実証しなければならないこと。
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割,責任及び権限
6 計画 PMSの活動をどのようにマネジメントシステムのプロセスに統合し、組織内に展開するかの決定を含む。
6.1 リスク及び機会に対処する活動
6.2 個人情報保護目的及びそれを達成するための計画策定
7 支援 組織は、PMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならないこと。
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
8 運用 必要なプロセスを計画し、実施し、かつ、管理しなければならないこと。
8.1 運用の計画及び管理
8.2 個人情報保護リスクアセスメント
8.3 個人情報保護リスク対応
9 パフォーマンス評価 内部監査とマネジメントレビュー(2006年版では“事業者の代表者による見直し”)について。
9.1 監視,測定,分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10 改善 不適合が発生した場合には、不適合をレビューし、また取った是正処置の有効性をレビューし、必要な場合に、PMSの変更を行うこと。またPMSの適切性、妥当性及び有効性を継続的に改善しなければならないこと。
10.1 不適合及び是正処置
10.2 継続的改善
附属書 A(規定)管理目的及び管理策 個人情報保護マネジメントシステムの運用を行うための管理目的及び管理策
附属書 B(参考)管理策に関する補足 表A.1の補足説明
附属書 C(参考)安全管理措置に関する管理目的及び管理策 附属書Aに記載の、「安全管理措置に関する管理目的及び管理策」の包括的なリスト
附属書 D(参考)新旧対応表 JIS Q 15001の新旧規格の目次対応表および用語対応表
参考文献

参考JIS Q 15001(個人情報保護マネジメントシステム:PMS)」

Pマーク(プライバシーマーク)とISMSの違い

一般財団法人日本情報経済社会推進協会

Pマーク(プライバシーマーク)と混同しやすい制度が、「情報セキュリティマネジメントシステム(ISMS)」です。

ISMSとは、「Information Security Management System:情報セキュリティマネジメントシステム」という意味です。

ISMSを構築することで、「情報セキュリティ(IS)」の3要素である、機密性・完全性・可用性を確保しつつ、さまざまな脅威から情報資産を維持することを目的としています。

PマークとISMSでは、準拠する規格・対象・更新方法など、次のような様々な点が異なります。

一番大きな違いは、国内規格に沿った認定であるPマークに対し、ISMSで準拠するのは国際規格である点です。

Pマーク(プライバシーマーク) 情報セキュリティマネジメントシステム(ISMS)
準拠すべき規格 国内規格

日本工業規格「JIS Q 15001(個人情報保護)」

国際規格

ISO/IEC 27001(JIS Q 27001)

保護対象 個人情報のみ 個人情報を含む情報資産すべて
要求事項 組織が保有している個人情報を確実に保護すること 情報セキュリティ(IS)の3要(機密性・完全性・可用性)を維持すること
文書作成の柔軟性 要求内容への対応手順や文書が厳格に定められている。 運用方法や文書作成に厳密な決まりがなく、組織・企業の判断で自由に文書を作成できる。
更新審査 2年ごとの更新審査 1年に1度の維持審査

3年に1度の更新審査

参照ISO27001(ISMS)とプライバシーマークの違い

まとめ

基本事項から、PMSの構築方法・取得の流れなど、Pマーク(プライバシーマーク)について、詳しく解説してきました。

個人情報をインターネット上でやり取りすることが当たり前となっている現状があり、各組織・企業にとっても、個人情報保護への対応は避けて通ることができなくなっています。プライバシーマーク制度に注目が集まるのも当然と言えます。

自社への信用を高める手法のひとつとして、Pマークの取得を検討すべきときが来ているようです。


SNSでもご購読できます。