【完全ガイド】プライバシーマークの取得方法・取得費用・その他認証制度・取得メリットとは? - 節税や実務に役立つ専門家が監修するハウツー - 税理士ドットコム

税理士の無料紹介サービス24時間受付

通話無料 0120537024

  1. 税理士ドットコム
  2. 会社設立
  3. 会社設立のハウツー
  4. 【完全ガイド】プライバシーマークの取得方法・取得費用・その他認証制度・取得メリットとは?

【完全ガイド】プライバシーマークの取得方法・取得費用・その他認証制度・取得メリットとは?

個人情報の扱いは非常にデリケートな問題です。毎年のように企業の個人情報の漏えいや紛失などのニュースを見かけますが、こういった事件や、マイナンバー制度の導入などを背景に、個人情報の取扱いや保護に対して、より関心が高まっている人が増えているでしょう。

そのため企業では、個人情報保護や情報セキュリティ分野への取り組みが求められています。その取り組みのひとつとして、「プライバシーマーク(Pマーク)」や「ISMS(ISO27001)」などの第三者認証取得が挙げられます。そこで、このページでは、「プライバシーマーク」の制度の仕組みやメリット・取得方法などについてご紹介していきたいと思います。

目次

プライバシーマーク制度とは

プライバシーマーク(Pマーク)制度とは、第三者(一般社団法人等)が「個人情報」を「基準」に沿って適切に取り扱っているかを評価し、個人情報を適切に取り扱うことのできる企業や団体(事業者)を審査し、認定する制度のことです。

この制度の認定基準は、日本工業規格(JIS)の「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」に基づいており、認定された付与事業者には、「個人情報」を適切に取り扱う事業者として、「プライバシーマーク(Pマーク)の使用」が認められています。

Pマーク制度の目的

Pマーク制度のHPに、以下のように制度の目的が書かれています。

  • 消費者の目に見えるPマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
  • 適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりに応え、事業者が対外的に社会的信用を得るためなどのインセンティブを与えること

企業は様々な情報を活用しながらサービスなどを展開すると同時に、その保護にも務めなければなりません。このPマークを取得すると、個人情報に関わることを適切に扱う知識を得ることができ、尚且つそれを周囲に示せるので、信頼を得ることなどにもつながるということになります。

例えば、ネット通販をした際に”あなたにおすすめの商品”などが表示されたり、お気に入りの服屋さんからのDMで新作の案内がきた。などの経験が少なからずあるのではないでしょうか?これは企業が私たちの「個人情報を保有」しているからできるサービスなのです。このようなことを個人情報の活用といいます。

つまり、個人情報を適切に活用し保護するための体制や環境を整え、それを第三者が適切であるか判断し、それをPマークという形で認定することで、従業員や消費者の意識を高めることなどを目的としています。

取得するメリット

まず、メリットとして挙げられるのが、Pマークを店頭に貼ったり、名刺やホームページ等にも使用できるので、対外的なイメージアップ効果が得られることです。

また、自治体等への応札条件(入札に参加するため条件)になっていたり、目的にもあるように「Pマークを取得している会社は信頼できる」という消費者に対する信用力が上がるなどがメリットとして挙げられます。

そして、消費者や従業員の個人情報保護に対する意識を改善して、人為的な情報漏えい事故(メールのご送信等)を防ぐ効果もあります。

取得するデメリット

取得する際には、デメリットも把握しておく必要があります。

Pマークは2年毎に更新しなければなりません。また、個人情報保護マネジメントシステム(PMS)を正しく運用している記録を残す必要があったり、内部監査や従業員への個人情報保護教育を実施する必要があるなど、必要な作業が増えることになり、他業務の生産性が落ちる可能性があります。

そして、Pマークを取得したからといって必ず情報漏えいが防げるわけではありません。取得後もPMSを日々取り組むことで、情報漏えいを防げるといえるのです。

そもそも個人情報って?

「個人情報保護法」という法律があり、それにより個人情報とは、以下のように定義されています。

この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

また、経済産業省のガイドラインでは、以下のように説明されています。

個人情報とは「氏名、性別、生年月日等」個人を識別する情報に限られず、「個人の身体、財産、職種、肩書等の属性」に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているかどうかを問わない。なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。また、「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない。※役員、従業員等に関する情報は個人情報。

このことから、個人情報保護法において個人情報とは、生存する個人に関する情報となっていますが、亡くなったの情報も保護される対象であるということがわかります。例えば、亡くなった方の財産に関する情報は、生存している相続人に相続されることになる財産の情報である。という側面があるので、個人情報になりうるということです。

なお、地方自治体の個人情報保護条例によって異なりますが「生存する」という部分がないこともあるようです。

個人情報保護法とは?

個人情報保護法という法律は、個人情報等を事業のために反復継続して利用する者(個人情報取扱事業者)に対して適用される法律です。

保護が必要な情報を「個人情報」「個人データ」「保有個人データ」の3つの概念に分けています。

これらの情報と個人の権利と利益を保護するために、個人情報を取扱う事業者(個人情報取扱事業者)に対して個人情報の取り扱い方法を定めた法律のことで、2005年4月1日に全面施行されました。

つまり事業者は、情報を活用すると同時に保護にも努めましょう。ということを目的にした法律です。

個人情報保護法の改正

近年では、事業活動のグローバル化や、情報通信技術の発展の急速な環境変化があり、パーソナルデータの利活用によるプライバシーの保護などをふまえ、「個人情報の適正な活用・流通の確保」「グローバル化への対応」「定義の明確化」等を目的として、2015年9月に個人情報保護法が改正されました。※全面施行は公布から2年以内とされています。

改正内容について

ここでは「プライバシーマーク制度」に深く係る改正内容について触れていきます。

個人情報取扱事業者とされる事業者は、「個人情報の取扱い件数が過去6ヶ月以内のいずれの日においても5,000を超えない者」は、その取り扱う個人情報の量、及び利用方法からみて、個人の権利利益を害するおそれが少ない者として、適用除外となる定めがありました。

しかし、今回の改正でこの項目が削除されました。今までは小規模取扱事業者は規制の対象外でしたが、全面施行後は、小さな会社でも個人情報取扱事業者となるので、万が一、個人情報漏えい・紛失をしてしまうと個人情報保護法違反となってしまいます。

これらのことから、個人情報を持つ事業者は個人情報保護法への対応に加えて、「Pマーク」や「ISMS」などの個人情報保護や情報セキュリティ分野の第三者認証取得への取り組みが今後はより一層必要となると考えられます。

マイナンバー制度との関係

マイナンバー制度が導入されたことにより、事業者は新たにマイナンバーという個人情報を取り扱うことになりました。これを漏えいさせると厳しい罰則(罰金・懲役)が科せられます。

Pマーク制度では、「個人情報保護法」「各省庁が作成した個人情報保護法」「地方自治体による個人情報関連の条例」などを認定基準に取り込んでいるので、マイナンバー法の一部をクリア(カバー)できるということがいえるでしょう。

しかし、マイナンバー制度にはマイナンバー法という法律があり、個人情報保護法とは少し異なる部分があるので、マイナンバーに関しては、その法律やガイダンスに従い、保護・管理をしていくことになります。

すべてをカバーできるわけではありませんが、”Pマーク取得”に向けての取り組みは「マイナンバー法」にもつながる部分があるということです。

Pマークの取得方法

Pマーク取得のためのセミナーや、取得をサポートしてくれるコンサルタント会社もありますが、ここでは、企業(事業者)が自力で取得する方法を紹介していきます。

申請資格

まず、Pマークを取得できるのは、「事業を営む法人・その他団体・又は個人」と規定されています。Pマークの付与は個人宛ではなく法人単位です。また、どんな企業(事業者)でも申請できるわけではなく、以下のような要件を満たす必要があります。

  1. 「個人情報保護マネジメントシステム―要求事項(JIS Q 15001:2006)」に準拠した個人情報保護マネジメントシステム(PMS)を定めていること。
  2. PMSに基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。
  3. PMSが2006年版JISに対応していることを、2006年版JISが公表された後、事業者自らが点検済であること。
  4. 申請事業者の社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること(JIS Q 15001が規定するPMSを構築するためには、個人情報保護管理者、個人情報保護監査責任者の任を負うものが1名ずつ必要であるため)。

このことから、「個人情報保護管理者」と「個人情報保護監査責任者」の2名が最低必要になるので、1人で自営しているフリーランスの方などは、Pマークを取得できないことになります。

申請前の準備

申請する前に、申請資格の基準を満たさなければいけません。そのために必要な手順は以下のとおりです。

  1. 社内で取得・利用していた個人情報の洗い出しや分析などを行います。
  2. その後社内での規定を作成(PMSの構築)し、規定に従って運用します。
  3. 運用してから数週間後くらいに点検・監査を行います。
  4. 規定の見直しをします。
  5. それらが実施された記録が揃ったら申請が可能となります。

必要書類

申請の準備ができたら書類を用意します。必要な書類は以下の表のとおりです。

【一般財団法人日本情報経済社会推進協会(JIPDEC)新規申請書類一覧】
必要書類
プライバシーマーク付与適格性審査申請チェック表(紙媒体で提出)
プライバシーマーク付与適格性審査申請書(代表者印の捺印必須)
会社概要
個人情報を取扱う業務の概要
すべての事業所の所在地及び業務内容
個人情報保護体制
PMS(個人情報保護マネジメントシステム)文書(内部規程・様式)の一覧と文書一式
JIS Q 15001要求事項との対応表
教育実施サマリー(全ての従業者に実施した教育実施状況)
監査実施サマリー(全ての部門に実施した監査実施状況)
事業者の代表者による見直し実施サマリー
登記事項証明書(「履歴事項全部証明書」あるいは「現在事項全部証明書」)等、申請事業者の実在を証する公的書類(申請の日前3ヶ月以内に発行のもの。※コピー不可)
定款、その他これに準ずる規程類
会社パンフレット等
個人情報管理台帳/リスク分析結果の記録された見本の、各1ページ分コピー(任意提出)

申請先

審査を申し込むにはPマーク付与機関である一般財団法人日本情報経済社会推進協会(JIPDEC)か、 Pマーク付与認定指定機関(指定期間)に申請する2つの方法があります。

申請書類に不備・不足がないか良く確認してから提出しましょう。また、提出先によって提出書類が異なる場合もあるので、提出先に事前に確認しましょう。提出先は以下のとおりです。

JIPDEC

JIPDECは全国・全業種の事業者を対象にPマークの審査を行っている機関です。

持参する場合は、平日9時~12時、13時~17時の時間帯か、郵送する場合は「一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター審査業務室」宛に配達記録が残る発送方法で送ります。

指定機関

JIPDECによって認定や審査を委託されている民間事業者団体です。地域や業種ごとに対象の指定期間があります。

現地調査

文章(書類)による審査が終了した後、現地調査が実施されます。PMSのとおりに運用しているかや現場での個人情報保護についての認識や管理体制等について確認がなされます。

具体的には、代表者や保護管理者や監査責任者に個人情報に関する事故の有無確認やリスク認識や個人情報扱いの方法等のヒアリングがされたり、個人情報保護方針の周知状況の確認、物理的・技術的安全管理措置など様々な点をチェックされます。

付与の可否決定

書類審査と現地審査の結果に基づき、合否が決定されます。決定結果は、可否通知が郵送にて発送されます。

その後、付与契約のためにプライバシーマーク付与契約書の返送と付与登録料の振込を行い、「プライバシーマーク登録証」と「プライバシーマーク電子データ(CD-R)」が交付されれば、Pマークの使用が可能となります。

新規申請まとめフロー【図】

Pマーク取得に係る費用

Pマーク取得に係る費用は、「申請準備に係る費用」「申請に係る費用」の2つの項目の合計から算出します。

申請準備に係る費用

まず、申請基準を満たすために、設備を新設する場合などに費用が発生します。

例えば、種類を保管するための鍵付きのロッカーやシュレッダーの購入、パソコンが物理的に壊れないように保護する措置、WEBサイトのSSL対応などが挙げられます。

なにを購入するかでかなり費用が異なってきますが、すべて新しく購入するとなると10万円~20万円程度は必要になるでしょう。まずは必要最低限の物を用意し、現地審査で指摘された際にその設備を追加購入すれば、余計なコストをかけずに済みます。

申請に係る費用

事業者の規模によって費用が異なります。2016年10月時点での費用は以下の表のとおりです。Pマークの事業者規模の基準は、会社の業種、人数、資本金の額によって異なります。

【料金表一覧】
種別/事業規模 小規模 中規模 大規模
申請料 51,429 円 51,429 円 51,429 円
審査料 205,715 円 462,857 円 977,142 円
付与登録料 51,429 円 102,858 円 205,715 円
合計 308,573 円 617,144 円 1,234,286 円

<小規模>
・製造業/その他...従業員数2~20人
・卸売業...従業員数2~5人
・小売業...従業員数2~5人
・サービス業...従業員数2~5人

<中規模>
・製造業/その他...従業員数21~300人または資本金/出資金3億円以下
・卸売業...従業員数6~100人または資本金/出資金1億円以下
・小売業...従業員数6~50人または資本金/出資金5千万円以下
・サービス業...従業員数6~100人または資本金/出資金5千万円以下

<大規模>
・製造業/その他...従業員数301人以上かつ資本金/出資金3億円超
・卸売業...従業員数101人以上かつ資本金/出資金1億円超
・小売業...従業員数51人以上かつ資本金/出資金5千万円超
・サービス業...従業員数101人以上かつ資本金/出資金5千万円超

  • 申請料

文書(書類)審査時に支払います。

  • 審査料

審査料は現地審査日に支払います。

  • Pマーク使用料(付与登録料)

付与の有効期間の2年間分を認証許諾時に支払います。

審査料とは別途、現地審査に係った交通費、宿泊費があれば、現地審査終了後に請求書が送付されるので、指定の口座に振り込みます。

助成金がもらえる?

御覧頂いたとおり、Pマーク取得には結構なコストがかかるので、その面で取得をためらう企業も多いかと思います。

あまり知られていませんが、実はPマークやISMSの取得に関する助成金を設けている自治体があるのです。毎年予算がつくかどうかで実施されるか決まるようなので、ぜひ申請前に企業(会社)の管轄の自治体に確認してみてはいかがでしょうか。

他にもある第三者認証制度

Pマーク制度以外にも、第三者認証制度と呼ばれるものはいくつかあり、これらも簡単にご紹介します。

JAPHIC

JAPHIC(ジャフィック)マーク制度とは、JAPHICマーク認定審査機関が認定する、個人情報保護の第三者認証審査のことです。

Pマーク制度と同様、故事情報保護に関する法律やガイドラインに沿う認定基準になっています。費用はPマークに比べるとやや安い金額です。

TRUSTeとは

TRUSTe(トラストイー)プログラムとは、アメリカで誕生したプログラムで、個人情報を扱うWebサイトが利用者に対する信用度・信頼度を向上するためのものです。

取得までのスピードが早いのと、費用が安いのが特徴です。

ISMS(ISO27001)とは

ISMS(アイエスエムエス)とは、Pマーク制度と並んで話題になる第三者認証制度です。

情報セキュリティを管理・運用するための仕組みで、技術的な対策に加えて人的な管理運用能力も含めた、組織全体のマネジメント能力が必要とされます。

一般的には、自社で直接取得する個人情報が多い場合(B to C)はPマーク制度。外部からの情報処理で扱う個人情報などが多い場合(B to B)の場合はISMSを取得することが良いと言われています。

おわりに

正しい個人情報の保護・管理・活用するために、第三者認証制度を取得して終了。ではなく、取得後もしっかり運用・取り組みを継続していくことがとても重要です。このページが参考になれば幸いです。

会社設立に関する他のハウツー記事を見る

もっと見る

協力税理士募集中!

税理士ドットコムはコンテンツの執筆・編集・監修・寄稿などにご協力いただける方を募集しています。

募集概要を見る

ライター募集中!

税理士ドットコムはライターを募集しています。

募集概要を見る

会社設立に関する税務相談Q&Aをみる

顧客満足度の高い税理士を無料でご紹介します。

このようなニーズがある方は、お気軽にご相談ください。

  • 税理士を変更したい
  • 初めての税理士を探したい
  • 相続税の申告をしたい
  • 会社設立・開業をしたい
  • 個人事業主の節税・申告をしたい
税理士選び〜契約までをサポート
通話無料 0120537024
  • 最短当日
  • 24時間受付
  • 年中無休
  • 全国対応