個人情報の扱いは非常にデリケートな問題です。そのため企業では、個人情報保護や情報セキュリティ分野への取り組みが求められています。
取り組みのひとつとして、プライバシーマーク(Pマーク)があります。このPマークの意味や概要を軸に、取得のメリットやデメリット、取得の流れを紹介します。
目次を閉じる
プライバシーマークとは?
プライバシーマークとは、一般財団法人日本情報経済社会推進協会が事業者に対し個人情報の取扱が適切に行えているかを審査し、合格の場合にプライバシーマークを付与をする認定制度になります。
Pマークとはプライバシーマーク付与された企業が以下のように表示を許された認定証明マークのことです。
Pマーク利用が許可されているところ
- 店頭
- 契約約款
- 説明書
- 宣伝・広告用資料
- 封筒
- 便箋
- 名刺
- ホームページ
Pマークの目的とは
プライバシーマークの付与は、法律の規定を包含するJIS Q 15001に基づいて第三者が客観的に評価する制度であることから、事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールする有効なツールとして活用できます。
メリット&デメリット
やはり高い予算を組んでプライバシーマークを取得する以上、インセンティブという曖昧なものではなく 費用対効果を具体的に明らかにしたいものです。pマークを取得した後のメリットとデメリットを明確にしてみましょう。自社のパターンはPマークを本当に取るほうがよいのか、考える材料になれば幸いです。
Pマークを取得するメリット
取得するすることで、次のようなメリットが考えられます。
- Pマークを取得した取引先とスムーズに契約が結べる
- 仕事の受注増加が見込める
- 官公庁の入札に参加可能
- パンフレット、Webサイト、名刺にPマークを入れて同業他社より優位性をアピールできる
- 一般消費者に個人情報を適切に取り扱っている企業(Webサイト)であることをアピールして信頼を得られる
- 社内の個人情報取扱への注意喚起・意識向上につながる
Pマークを取得するデメリット
- Pマークを使用を継続していく限り、PMS(個人情報保護マネジメントシステム)をずっと運用していく必要がある
- 従業員側から見ると余分な作業が発生
- 余分な作業が増え業務の生産性が落ちる可能性がある
- 1年に一回内部監査する必要がある
- 1年に一回従業者の個人情報保護教育を実施する必要がある(パート、アルバイト、派遣にも採用時に随時教育をする必要があります) ・個人情報漏えい事故が発生した場合JIPDECへ報告義務がある ・事故によってはPマーク取り消しもある
Pマーク取得まで
Pマークを取得するには一定の手順を踏まなければいけません。主な取得パターンとしては3種類あります。
(1)自社で申請手続きを行い取得
(2)審査機関によるセミナー受講後、審査を行い取得
(3)プライバシーマーク取得コンサルタント会社に依頼し取得
今回は(1)の取得パターンについて紹介します。
申請資格
Pマークの付与は個人宛ではなく法人単位となります。また以下のような要件を満たす必要があります。
「個人情報保護マネジメントシステム―要求事項」に準拠した個人情報保護マネジメントシステム(PMS)を定めていること。
PMSに基づき、個人情報の適切な取扱いが行われていること。
PMSが2006年版JISに対応していることを、事業者自らが点検済であること。
申請事業者の社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること。このことから、申請には最低2名が必要になります。
書類審査(必要書類、提出先)
(1)申請の準備ができたら書類を用意します。必要な書類は次の表のとおりです。
- プライバシーマーク付与適格性審査申請チェック表
- プライバシーマーク付与適格性審査申請書
- 会社概要
- 個人情報を取扱う業務の概要
- すべての事業所の所在地および業務内容
- 個人情報保護体制
- PMS文書の一覧と文書一式
- JIS Q 15001要求事項との対応表
- 教育実施サマリー
- 監査実施サマリー
- 事業者の代表者による見直し実施サマリー
- 登記事項証明書といった申請事業者の実在を証する公的書類
- 定款、その他これに準ずる規程類
- 会社パンフレット
- 個人情報管理台帳/リスク分析結果の記録された見本の、各1ページ分コピー
(2)提出先
審査を申し込むにはPマーク付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)か、 Pマーク付与認定指定機関(指定機関)に申請する2つの方法があります。
現地審査
文章(書類)による審査が終了した後、現地調査が実施されます。PMSのとおりに運用しているかや現場での個人情報保護についての認識や管理体制などについて確認がなされます。
具体的には、代表者や保護管理者や監査責任者に個人情報に関する事故の有無確認やリスク認識や個人情報扱いの方法などのヒアリングがされたり、個人情報保護方針の周知状況の確認、物理的・技術的安全管理措置などさまざまな点をチェックされたりします。
合否通知
書類審査と現地審査の結果に基づき、合否が決定されます。決定結果は、可否通知が郵送にて発送されます。
そして、付与契約のためにプライバシーマーク付与契約書の返送と付与登録料の振込を行い、「プライバシーマーク登録証」と「プライバシーマーク電子データ(CD-R)」が交付されれば、Pマークの使用が可能となります。
有効期限
プライバシーマーク付与の有効期間は、2年間とされています。ただし、更新の手続きによって、2年間の延長ができます。以降は、2年ごとに更新を行えます。 更新申請は、有効期間の終了する8か月前から4か月前までの間に行わなければなりません。
また、更新の際には必要書類の提出と別途費用が必要となります。
Pマークを取得するにあたって
Pマークを取得するには時間、事業所規模によりますが最低でも30万〜約120万の費用や申請書類の準備といったことに大変な労力がかかります。当然ですが自社でPマークを取る必要があるのかどうかしっかり検討する必要があります。
自社のブランディングやセールスポイント、個人情報取り扱いの社内体制の強化のためには取得後も継続的な運用・取り組みも重要となります。ぜひ取得だけの目的ではなく、ブランディング戦略や社内体制の見直しも合わせて考えていくことをおすすめします。
