Pマーク取得・維持のポイントとは?押さえておきたい点を解説

この記事は約8分で読めます。

世間一般的にもポピュラーな存在になりつつあるPマーク。 
企業としては、個人情報保護のレベルの高さをアピールしたいと考えている企業も多いと思います。 

しかし、実際にPマークを取得するためには、何をすればいいのかを理解はあまりできていないのが実情ではないでしょうか。 

「どんな手順を踏めばよいのかわからない」 
「取得・維持において何が重要かわからない」 

今回はそんな方のために、Pマークの取得方法をテーマに、その手順や注意点、申請の流れまでを解説していきたいと思います。 

また、プライバシーマーク認証取得をご検討中の方に、プライバシーマークの検討段階から審査当日に至るまでの一連のTodoリストを用意いたしました。 

​ぜひこちらもあわせてご活用ください。

Pマーク取得時のポイント 

Pマークは正式名称をプライバシーマークといいます。 

Pマークを取得するためには、社内で取得、利用している個人情報の洗い出しとリスク分析を行う必要があります。 

  • 規程と記録様式を確認する「文書審査
  • 実際に運用しているかを記録などで確認する「現地審査

上記が行われ、指摘を是正することで認定に至ります。 この期間は3ヶ月程です。

個人情報の取り扱い

個人情報を特定していく上で、 

「どういった内容なのか」 
「どういった利用目的なのか」 
「どこに保管している情報なのか」 

など、様々な内容を明確にして、個人情報の取り扱いの流れがわかるようにする必要があります。 

個人情報保護に関する法令

個人情報保護に関する法令は多岐にわたります。 

単に「JISQ15001だけに適合すればいい」というわけではありません。 自社の地域・業種に関わる法令ガイドライン等も考慮し、運用に適合させて行く必要があります。 

また法令は時代に合わせて変化していきます。 
定期的に不足点が無いか見直す必要があるでしょう。 

個人情報を取り扱う上でのリスク

個人情報を取り扱う上でのリスクを認識、分析していく際には必ず個人情報の取得から廃棄までの取り扱う一連の流れの中で発生しうるリスクを認識・分析する必要があります

個人情報の取得

個人情報を本人から直接取得する際には、JISQ15001内で決められた内容を事前に本人に告知し、本人から明示的な同意をもらう必要があります

個人情報を取り扱う上での安全管理措置

個人情報を取り扱う上での安全管理措置については、リスク分析の際に管理策として取り決めた対策をベースとする必要があります。 

​管理策の参考としては、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等を活用されるのがよいかと思います。

内部監査

Pマーク上求められる内部監査は単に要求事項の内容を満たすためだけでは意味がありません。 
「Pマークを取得するため」というよりも「社内のリスクが実現していない」ことを確認するためにも必要です。 

Pマーク取得後の運用時のポイント 

また、Pマークは当然「取得できればそれでOK」というわけではありません
大事なのは「継続して運用・実践していくこと」が大前提です。 取得後も、安全性を担保できるように適切に継続運用できるように努めましょう。 

それぞれポイントをまとめたので、ぜひ参考にしてみてください。 

個人情報の洗い出し 

個人情報の洗い出しをする時は、どんな分け方で洗い出すかを決めておきましょう。
例えば、以下のような方法があげられます。

  • ​業務別に洗い出す
  • ​業務・従業員・採用者に分ける

あくまで個人情報の取り扱い状況を把握するためなので、必ずしも網羅的に実施する必要はありませんが、事前に決めておくとスムーズです。 

個人情報については、こちらの記事でも解説していますので、 あわせて参考にしてみてください。

法規制一覧 

法規制一覧については、細かい内容まで網羅的に把握しなくてもよいでしょう。 

もちろん「じゃあ雑でいいや!」というわけではありません。 法令違反」という重大な問題となるリスクをおかさないように、法規制の把握ができていればよいということです。 

全条文を書いて把握しておくという大変なことをする必要はありませんが、違反しないように注意することが必要です。 

リスク分析

リスク分析をして、現在の安全管理対策を記載しましょう。 
全てのリスクに敏感になるわけではなく、今の状態をもとに 

「どんなリスクがあるか」 
「どう対策することができるか」 

を検討することが必要です。 
リスク分析についてはこちらの記事でも解説しています。ぜひ参考にしてみてください。 

委託先評価 

Pマークのガイドラインには「委託先選定基準」という言葉があります。 

「委託先選定基準」とは個人情報を委託する会社(個人)を選定する基準のことです。 委託する個人情報の内容、業務内容によってリスクが大きく異なります。 そのため一律で基準を定めるのではなく、まず「最低限これは必須」という評価基準を作って評価。 

そして委託先・委託内容などによって、+αで評価基準を追加していく方法が良いでしょう。 

ただし、細かく分けすぎると評価が大変になってしまい、あまりにも評価基準を厳しくしすぎると、時間的コストや金額的コストも大きくなってしまいます。 ゆるすぎず、厳しすぎない適度な評価基準にしましょう。 

詳細はこちらの記事でも解説しています。 併せて参考にしてみてください。

教育

Pマークの規格であるJIS Q 15001:2017では、以下の内容を従業員に認識させるため、教育をおこなうことが求められています。

  • 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
  • 個人情報保護マネジメントシステムに適合することの重要性及び利点
  • 個人情報保護マネジメントシステムに適合するための役割及び責任
  • 個人情報保護マネジメントシステムに違反した際に予想される結果

​この規格要求の4つを満たす必要があります。 

従業員のセキュリティに対する意識が低下し、セキュリティインシデントが起きやすい状況になることを防ぐためです。
教育するペースは全員にいっぺんに教育しなければいけないというわけではなく、1か月に10人など、計画的に実施すれば問題ありません。 

​また、教育内容についても、作りこみすぎず、一度にすべて教えようとせず、複数回に分けて少しずつ、そしてわかりやすく伝える方がよいでしょう

内部監査

JIS Q 15001の要求事項では、

  • Pマークに準拠した社内ルールが策定されているか
  • 上記の社内ルールが現場できちんと運用されているか

上記2点を、内部監査で確認します。 

また、内部監査も「要求事項にあるから」というよりも、自社がPマークで求められている「やるべきこと」がしっかりできているかを確認するのが主な目的です。 

内部監査も教育と同様に1か月に1部署のような形で、リスク分析で把握した安全管理対策の内容をもとにチェックしましょう。​ 

マネジメントレビュー 

マネジメントレビューは、「内部監査」などの結果から、経営管理の実績を振り返り、問題点が無いか確認することです。 

定期的にマネジメントレビューを行うことにより、コンプライアンスの遵守がしやすくなります。 
レビューには時間がかかるため、経営層のトップのスケジュールを早くから確保しておきましょう。 対面以外の方法でも問題ありません。 

大切なのはトップへの報告(インプット)と、トップから意思決定(アウトプット)をもらうことです。 このやり取りが正常化することにより、経営管理がよりよいものへとなります。

まとめ

Pマークについてのポイントを紹介しました。 

Pマークの認証を取得するの事は非常に大きな意味を持ちますが、取得できたから大丈夫というわけではありません。それ以上に普段からの業務において、「個人情報の取り扱いに注意を払えているか」「リスクは存在しないか」という見直しに役立ちます。 

Pマーク取得のみに固執せず、普段の業務からこの規格を生かせるような経営管理を目指しましょう。 

また、こちらの資料ではPマーク認証を取得する際、始めの検討段階から審査当日に至るまでの間に実施が求められることを21項目のTodoリストにしました。 Pマーク認証取得を効率的かつ抜け漏れなく行うことができます。 

無料でダウンロードできるので、ぜひお役立てください。 

認証取得を目指すPマーク
タイトルとURLをコピーしました