Pマークとは? 取得の流れやメリットを紹介
大企業による個人情報流出のニュースが取り沙汰される等、厳正な個人情報管理が求められる中、第三者認証である「Pマーク」が注目されている。個人情報保護やセキュリティ強化への取り組みの1つとして、Pマークの取得を考える担当者もいるのではないだろうか。
今回は、Pマーク制度の概要や取得するメリット、Pマークを取得するまでの流れを紹介する。Pマークの目的や運用についての知識を身につけた上で、取得を検討してほしい。
目次
●Pマークとは
●Pマークを取得するメリット
●Pマークを取得するまでの流れ
●まとめ
Pマークとは
Pマークは「プライバシーマーク」の略称で、個人情報保護を適切に行っていると認定された企業に付与される登録商標だ。まずは、Pマーク制度の概要と、Pマークを取得する企業が増加している背景を見ていこう。
Pマーク制度の概要
Pマーク(プライバシーマーク)制度は一般財団法人日本情報経済社会推進協会(JIPDEC)が1998年から運営している制度で、企業が個人情報を適切に取り扱っているか否かを、第三者が評価することで認定を行っている。認定された企業にはPマークの使用が認められ、店頭やホームページ、広告用資料、従業員の名刺等に掲載することが可能だ。Pマーク付与の有効期間は2年間で、以降は2年ごとに更新を行う。
取得費用には申請料、審査料、付与登録料が必要となり、企業の規模や新規・更新のいずれかによって金額が異なる。
Pマークの仕組み
Pマークの取得審査では、日本産業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」(以下、「JIS Q 15001」)をベースにした審査基準によって運用を評価する。「JIS Q 15001」は個人情報保護法とガイドライン、地方公共団体の条例や業界団体のガイドライン等にも適合しているため、法律への整合性はもちろんのこと、より高いレベルの個人情報の保護管理体制を確立・運用していることを、対外的に示せる制度として活用されている。
Pマークを取得する企業が増加している背景
2005年4月1日に全面施行された「個人情報保護法」は、個人情報等を事業のために反復継続して利用する者(個人情報取扱事業者)に対し、情報の取り扱い方法を定めた法律だ。ただし、「個人情報の取扱い件数が過去6カ月以内のいずれの日においても5,000を超えない者」は「個人情報取扱事業者」から適用除外となっていた。
2017年に個人情報保護法が改正・全面施行されたことによってこの項目が削除され、個人情報を扱う全ての企業に個人情報の保護を適切に行うことが求められるようになった。それにより、個人情報保護法への対応に加えて、「Pマーク」等のセキュリティー分野における第三者認証の取得が加速したと考えられている。
Pマークを取得するメリット
Pマークを取得することで、企業にはどのようなメリットがあるのだろうか。ここでは、Pマークを取得するメリットを紹介する。
企業の信頼性やイメージアップが図れる
Pマークを利用すると、クライアントに対し、個人情報の取り扱いに対する一定レベルの取り組み、個人情報管理に対する品質の裏付けを、マークでわかりやすくアピールできる。Pマークの取得は法律に適合した個人情報保護の運営を行っているという証明になるため、企業の信頼が上がり、クライアントからの信頼の獲得に繋がると言えるだろう。企業のイメージアップが図れると、競合や入札時の強みになる可能性もある。
従業員の情報保護意識が向上する
Pマークは企業の個人情報を取り扱う仕組みとその運用が適正であることを評価するものであるため、個人情報管理体制の強化、従業員の意識向上が欠かせない。マーク取得の過程で社内規定等を整備したり、事故の予防・発生時のリスク提言を行ったりすることで、個人情報の取り扱い体制を整備した企業であるという従業員の自覚や責任感の高まりに繋がるだろう。
Pマークを取得するまでの流れ
Pマークの付与は法人単位で行われるが、取得するためにはどのような準備や書類が必要となるのだろうか。ここでは、企業がPマークを取得するまでの流れを説明する。
個人情報マネジメントシステム(PMS)の構築
Pマークの付与適格性審査では、「JIS Q 15001」に基づいた個人情報マネジメントシステム(PMS)が構築され、継続的に運用されているかをチェックする。そのため、まずは自社のPMSを構築することが必要だ。
「JIS Q 15001:2017 個人情報保護マネジメントシステムー要求事項」の規格冊子には紙冊子版とPDF版とがあり、日本規格協会のホームページで購入、または日本工業標準調査会のデータベース検索で閲覧が可能だ。JIPDECが作成した「個人情報保護マネジメントシステム導入・実践ガイドブック」では規定分の解釈や具体的な審査基準などが条文ごとに解説されている。これらを参考にしながらPMSを構築すると良いだろう。
個人情報マネジメントシステム(PMS)の運用
個人情報マネジメントシステム(PMS)が構築できたら、申請前に以下のPDCAサイクルを含むPMSを1回以上実施し、運用した記録を申請書類に記入する必要がある。
①Plan(計画):個人情報保護方針の策定、個人情報の洗い出し、リスク対策の検討、内部規定の整備等
②Do(実施):個人情報の目的内利用、リスク対策の実施、委託先の監督、全従業員への教育等
③Check(点検・評価):運用の確認、内部監査の実施、代表者による見直し等
④Act(改善):不適合に対する是正処置、継続的改善等
審査機関への申請
Pマーク付与適格性審査の申請先審査機関は、以下の判断基準に基づき、業種や本社の所在地によって異なる。詳細はJIPDECのホームページを確認しよう。
①保健・医療・福祉分野の事業者
②業界団体の審査機関の会員となっているか
③本社の登記上の所在地がどの地域となっているか
※①~③に該当しない場合はJIPDECに申請する
申請先審査機関の「プライバシーマーク付与適格性審査に関する約款」を確認の上、申請書類一式を揃えて提出する。必要な申請書類は審査機関によって異なるが、各審査機関のホームページからダウンロードが可能だ。
審査
Pマーク付与適格性審査では、形式審査、文書審査、現地審査を行う。各審査の詳細は以下の通り。審査において指摘事項が発生した場合、改善対応を行う必要がある。
・形式審査:申請資格・書類記載内容の不備の有無、業種や規模
・文書審査:PMS文書の審査基準の適合状況、内部規定を遵守するための具体的な手順・手段などの策定状況
・現地審査:現地におけるヒアリング、記録等の確認、現場の視察
審査後は、審査の結果に基づき、外部有識者を交えた審査会にてPマーク付与適格性の有無が決定されることとなる。申請企業には、審査結果の通知文書が送付される。
付与契約、マーク使用開始
審査に合格し付与適格決定の通知を受けたら、JIPDECと「プライバシーマーク付与契約」を締結することで登録証とマークデータが提供される。契約期間はマークの有効期間と同様2年間で、さまざまな事業活動においてPマークの使用が可能だ。付与契約締結後、プライバシーマーク制度のホームページ等で企業名が公表される。
参考:JIPDEC「プライバシーマーク制度」
まとめ
個人情報の保護意識が高まっている昨今、クライアントや施設利用者の個人情報を保護することは、全ての企業に求められる姿勢だと言える。個人情報の適切な管理・運用を継続して行い外部からの信頼を獲得できるよう、Pマークの取得を検討してみてはいかがだろうか。