ISO・プライバシーマーク・ISMSの認証取得・運用サポートコンサルティング ISO NEXT

Pマーク ISO27001 ISO9001 ISO14001 各種ISO ナレッジ 会社概要 tel.0120-068-268 お問合せ

Pマークのナレッジ KNOWLEDGE

CATEGORY

Pマーク取得に必要な条件とは?申請できない条件は?

Pマークを取得するための条件は、国内に活動拠点を有し、代表者を含む正社員が2名以上在籍している事業者であることです。そして、個人情報を適切に管理する体制を整え、PDCAサイクルを回していることです。また、Pマークを申請できないケースは、虚偽などで審査が打ち切られた事業者などが該当します。

1.Pマーク取得の条件とは?

Pマーク取得に係る条件としてはまず日本国内にて拠点を置く事業者であることです。

また例外的に、医療法人等例外的な条件が設けられているケースもあるため注意しましょう。
条件の詳細について、以下に解説していきます。

2.Pマークを申請できる事業者の条件

⑴国内に活動拠点をもつ事業者

前述でも述べましたが、Pマークの申請を行うための第一の必須条件は、事業者が国内に活動拠点を持つことです。
Pマーク制度が、日本法に基づく日本独自規格のためです。
外国会社や反社会等特定の派閥に該当する事業者は取得の対象とはなりません。

⑵代表者を含む従業員が2名以上

申請する際には、社会保険・労働保険加入の正社員または登記上の役員の従業者が【2名以上】必要です。
なぜかというと、Pマーク取得する際に必要となる個人情報マネジメントシステム(PMS=Personal Information Protection Management Systems)を構築する上で、役割体制として必須である個人情報保護管理者と個人情報保護監査責任者に対して1人ずつ必要であるからです。

これらの役割は一人で担当することは不可であり、別々の人がそれぞれ担当する必要があります。
また、個人情報保護監査責任者のポジションは代表者が兼任することはできません。
結論、社長を含む正社員が2名以上必要となります。

⑶個人情報保護マネジメントシステム(PMS)が構築されている

大前提として、Pマーク付与事業者は、個人情報の保護と管理に関する高い基準を満たすために、個人情報保護マネジメントシステム(PMS)を確立し、運用する必要があります。
そのため、Pマークを取得する前から、個人情報保護マネジメントシステム(PMS)を構築及び運用する必要があります。

プロのコンサルタントに相談する

3.Pマークを申請できない事業者の条件

⑴欠格事由

「欠格事由」とは資格認証を得る上で、事業者において欠格となる行動や事実のことを指します。

代表的な例としては、外国会社や反社会関係事業者、または風俗営業関係事業者等が欠格に該当するケースとなります。
また、それ以外にもPマークの理念に相反するような行動等が確認されている場合には欠格となりえます。

⑵申請不可期間

プライバシーマーク付与適格性審査審査の実施基準に示す次のいずれかの事由に該当する事業者は、当該事由ごとに定める期間について申請不可のため注意が必要です。

  • ・付与契約の解除を受けた事業者(付与の取消しを受けた場合を含む。):申請不可期間1年
  • ・申請若しくは審査に係る事項に虚偽があったことにより、審査の打ち切りがなされた事業者:申請不可期間1年
  • ・前号に定める事由以外により、審査機関により審査を打ち切られた事業者:申請不可期間3ヶ月
  • ・審査機関から、プライバシーマーク付与の適格性を有しない旨の決定を受けた事業者:申請不可期間3ヶ月
  • ・個人情報の外部への漏えい等の事故等が発生したことにより、付与機関からプライバシーマーク付与の一時停止がなされた事業者:一時停止が終了するまでの期間

引用:制度申請資格|申請・報告|一般財団法人日本情報経済社会推進協会(JIPDEC)

4.Pマーク付与の一部例外について

Pマーク付与に関する条件について述べてきましたが、ここではその内一部の例外事項について解説します。
ここで例外の対象となるのが【医療法人】及び【学校法人】です。
それぞれ以下のように条件が設定されています。

医療法人の場合

  • ・医療法人等を構成している病院組織であること
  • ・当該病院組織の運営の権限を与えられた病院長がいること
  • ・それらの病院組織は、地域別に分散していること

学校法人の場合

  • ・学校法人等を構成している学校であること
  • ・当該学校の運営の権限を与えられた学校長がいること
  • ・学校は学校種別が異なり、個人情報の取扱いにおいて独立的に運営されていること
  • ・Pマーク取得に必要な社内設備

5.Pマーク取得に必要な社内設備

⑴ウイルス対策ソフト

使用するPCがウイルスに感染すると内部情報が漏えい等の事態に陥る可能性があるため、PCへのウイルス対策ソフト導入運用によるマルウェア対策が必須です。
また、当然ながらウイルス対策ソフトにより完全にブロックできるものではないため、PC自体のOSアップデートの定期的な実施をする必要があります。

⑵シュレッダー

事業者においてまだまだ紙媒体による個人情報の取り扱いは存在すると思います。
そういった情報当然ながら廃棄する局面が訪れた際にシュレッダー等の廃棄処理を実施することになるため用意しておきましょう。
自社で実施せず、溶解処理業者依頼することでも可能です。

⑶施錠できるロッカー

紙媒体の情報に関して保管するための場所が必要です。当然個人情報であるため、無防備かつ無施錠な状態はご法度です。
施錠可能かつ中が見えない状態の格納場所が必要です。

6.Pマーク取得のメリット・デメリット

⑴取得のメリット

顧客取引がスムーズに進む

入札案件で取引先からPマークの取得を求められる場合があり、そのような場合はPマークを取得していないことで取引ができないケースがあります。
特に、上場企業や行政機関との取引において、個人情報の取り扱いについて信頼性を証明できるPマークの認証を受けていることによって、取引がスムーズに進みます。

企業価値が高まる

Pマークを取得すれば、自社のホームページ・営業資料・名刺などにロゴマークを掲載することができます。
個人情報の管理について第三者機関から認証を受けていることを証明することが可能となるので、企業価値が高まり、競合他社との差別化にも繋がります。

情報漏洩のリスクが低下する

Pマークを取得・維持する過程で、社内での個人情報管理にする教育や、以前まではルール化されていなかったセキュリティに関するマニュアル化が進んでいきます。
このような社員教育が進められることによって、社員一人ひとりが個人情報保護の意識が高まり、情報漏洩のリスクが低下することもメリットに挙げられます。

⑵取得のデメリット

取得・維持の工数がかかる

Pマークの取得には、かなりの工数が掛かるというデメリットがあります。
Pマーク担当者の負担だけではなく、従業員全員に一定の負担が掛かるため、外部のコンサルティング会社に依頼している企業も多くあります。

コストがかかる

Pマークの取得には審査費用、外部にコンサルを依頼する場合はコンサルティング費用などがかかります。
金額は、事業規模や業種によって異なります。
自社の取得に掛かる費用を見積もってもらった結果、想定していた費用より高かったということも少なくありません。

7.まとめ

Pマークを取得するための条件は、国内に活動拠点を有し、代表者を含む正社員が2名以上在籍している事業者であることです。
そして、個人情報を適切に管理する体制を整え、PDCAサイクルを回していることです。

また、ウイルス対策ソフト、シュレッダー、鍵つきロッカーが必要であることはお分かりいただけましたでしょうか。

プライバシーマーク取得について「制度が細かくて分からない」「準備してみたけどこれで合っているのだろうか」とお悩みの方は、是非一度ご相談ください。

プロのコンサルタントに相談する
監修者

このナレッジの監修者

結石 一樹 KEISHI KAZUKI

株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。