1.プライバシーマークとは？

(1)プライバシーマーク制度と目的について

①プライバシーマークとは

プライバシーマークとは個人情報保護における第三者認証制度です。「個人情報保護マネジメントシステム （Personal Information Protection Management Systems」とも言われ、日本産業規格(JIS)の1つ、JIS Q 15001シリーズを基にしたマネジメントシステムとなっています。

このマネジメントシステムが組織において適切に運用されていることを第三者機関が審査し、審査に通過した事業者に付与される証がプライバシーマークです。

②プライバシーマーク制度の目的

プライバシーマーク制度では、次の2点を目的としていることが認定機関であるJIPDECにおいて明確にされています。

• ・消費者の目に見えるプライバシーマークを示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
• ・適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること

③プライバシーマークの使用について

審査を通過し、プライバシーマークが付与されると、様々な方法で活用することができます。ホームページや名刺、店頭などに掲示することで顧客や取引先に個人情報保護に取り組んでいる企業であることをアピールできます。

マークの使用方法には「プライバシーマーク使用規約」というルールがあり、登録番号とセットで表示する必要があることなど、定められています。そのため、無断で使用することは禁じられています。

⑵JIPDEC（一般財団法人日本情報経済社会推進協会）

プライバシーマークについて、JIPDEC（一般財団法人日本情報経済社会推進協会）という組織が制度の運用をしています。JIPDEC（一般財団法人日本情報経済社会推進協会）は審査機関として審査を行うこともありますが、各業界や地方にある19個(2023年現在)の審査機関を監督したり、プライバシーマークそのものを発行する権限を持っている組織でもあります。

⑶JISQ15001：2017とPMS（個人情報保護マネジメントシステム）との違いについて

①JISQ15001：2017とは

JISQ15001：2017とは日本産業規格(JIS)の1つであり、日本の国家標準として、個人情報保護のマネジメントシステムを定めたものです。
定期的に見直しや更新が行われており、現在は2017年に制定された内容となっているため、末尾に「2017」との記載があります。

②PMS（個人情報保護マネジメントシステム）とは

PMS（個人情報保護マネジメントシステム）とは「事業者が業務上取り扱う個人情報を安全で適切に管理するための仕組み」そのものを指しています。

JISQ15001：2017は「規格」
PMS（個人情報保護マネジメントシステム）は「仕組み」です。

2.プライバシーマークの付与機関と審査機関の違い

(1)プライバシーマーク付与機関の役割

プライバシーマーク付与機関は、指定審査機関が規約に従って、事業者の審査を行っているか管理する役割、また、審査を通過した事業者にプライバシーマークを付与する役割を担っています。

(2)プライバシーマーク指定審査機関の役割

プライバシーマーク指定審査機関は、事業者が個人情報保護法を遵守し、適切な個人情報の管理を行っているかどうかを審査し、その結果に基づいてプライバシーマークの付与を認める役割を担っています。

3.プライバシーマーク取得のメリット

プライバシーマークを取得すると、社内・社外に対してのメリットがあります。

(1)顧客からの信頼獲得
名刺やホームページを通じて、対外的にプライバシーマーク取得をアピールすることで、顧客を含む消費者からの信頼性が向上します。

事業への好影響を期待できるでしょう。

(2)取引先からの信用獲得
取引先との取引条件や、官公庁の入札条件の中には、プライバシーマークの取得が条件になっている場合があり、プライバシーマークを取得していると競争優位につながります。

(3)社内の個人情報に対する意識の向上
プライバシーマークは、取得するためにルールを定めたり、従業者に対して個人情報保護に関する教育を実施したり、様々な対策を講じることが求められます。

そういった活動から、会社組織の内部でも、個人情報保護に対する意識が高まります。

4.プライバシーマーク取得にかかる費用

プライバシーマークを取得する際は、審査費用がかかります。また、コンサルティングサービスを利用する場合は、その費用も必要になります。

(1)審査を受けるためにかかる費用

①申請料　
どの規模・業種の事業者でも金額は一律で変わりません。申請書類を提出した後に審査機関から請求され、支払い完了後に審査日程の確定など次の工程に話が進みます。

②審査料
事業者は大規模、中規模、小規模の3つに区分され、それぞれで金額が変わります。登記された資本金の額または出資の総額、従業者数、業種によって規模が決まります。現地審査後に審査機関から請求されます。

③付与登録料
審査料と同様に規模によって金額が異なります。審査通過後のプライバシーマーク発行のための手数料のようなものです。この請求のみ、審査機関ではなく付与機関であるJIPDECから請求されます。

⑵新規取得の場合

引用元：費用｜申請手続き |プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）

⑶更新の場合

引用元：費用｜申請手続き |プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）

⑷事業者規模での判断

引用元：事業者規模の区分｜申請手続き |プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）

⑸外部のコンサルタントに依頼する場合

プライバシーマーク取得のコンサルティング費用の相場は50万～100万円程度で、コンサルティング会社によって異なります。

自社リソースのみでPマークの仕組みを理解し、構築・運用していくなら、審査費用だけで取得することは可能です。

しかし、プライバシーマークの担当者は通常業務と業務を兼任されていることが多く、残業・休日出勤しながらプライバシーマークの勉強をしたり、マニュアルの作成をしたりと大きな負担を抱えながら時間をかけて取得を進めることが多々あります。

コンサルティング会社のサポートを上手く利用して取得・運用することがおすすめです。

5.プライバシーマークの取得方法

⑴取得までのスケジュール

取得までのスケジュールは、最短半年です。

もちろん、スピード優先で構築するのではなく、規程の整備や妥当性を優先すればその分スピードは落ちます。

また、審査機関の混雑具合も影響するため、審査機関選定はスケジュールを考慮する際の検討材料になります。

⑵申請前の準備と運用

申請前にはPDCAサイクルを一度回す必要があります。

規程・文書を整備した上でその手順に従って、記録を作成します。

事業者の組織の属性にもよりますが、従業員からの書類回収、HPの改修、教育の実施など、外的要因が絡む運用が遅れがちです。

⑶申請の際に用意する書類

申請書類の大まかな項目は統一されていますが、各審査機関によって様式や申請方法は異なります。

近年では、電子申請に対応した審査機関もございます。

各審査機関のＨＰ等に作成事例も用意されていますので参考に作成してください。

6.プライバシーマーク取得企業の成功事例紹介

(1)成功事例1: 株式会社ナサホーム様

ガバナンス強化を目的としたプライバシーマークの取得を目指していましたが、管理部門のリソースだけでは足りず、弊社に依頼をいただきました。

プライバシーマーク取得にかかる負担を大幅に軽減できたことでサービスにご満足いただきました。

また、プライバシーマーク取得により、個人情報を守るため「何をどこまでやればいいか」が明確になり、リスク管理の基準を把握することができるといった効果を感じていただいております。

(2)成功事例2: 株式会社いつも様

上場を機にさらなるガバナンスの強化のため、ISMSとPマークの積極的な運用を目的として、ご依頼いただきました。

コンサルティング内容をお客様向けにカスタマイズしたことで、ガバナンス強化を推進することができました。

全部門のヒアリングを行い、情報セキュリティの紐づけとドキュメントを精査したことで、フレームを最適化することができました。

7.まとめ

プライバシーマーク取得に向けて、何をすればよいのか、イメージしにくい部分もあると思います。
プライバシーマーク取得のメリットを事例とともに紹介しました。

取得だけでなく運用においてもお困りごとは様々出てくるかと思います。まずは気軽にご相談ください。