よくある質問

Q&A

プライバシーマーク

プライバシーマークとはなんですか?

日本情報処理開発協会(JIPDEC)およびその指定機関が、個人情報の運用・保護・管理が適切に行われている事業者に対して、JIS Q15001:2006に基づいた審査を行い、認定する制度です。略してPマークと呼ばれることが多いです。
また、認証取得のメリットは、①情報漏洩のリスク軽減、②顧客や取引先との信頼関係の醸成、③社会的な信用の向上、④他社との差別化、⑤コンプライアンス(法的遵守)の徹底、⑥社員の意識(責任感)改革 などが考えられます

プライバシーマークを認証取得するために必要な期間と費用は?

プライバシーマークでは認証取得(マークが利用できるようになる)まで約10ヶ月が標準的な機関となります。コンサルによる申請までの準備期間が平均5ヶ月、審査機関による審査までの機関が約3ヶ月、審査後の対応や審査機関による事務手続きが2ヶ月が平均的な機関となります。新規申請の場合、認定団体に支払う費用(申請料・審査料・マーク使用料込み)は、小規模で30万円、中規模で60万円、大規模で120万円が必要となります。当社での、プライバシーマーク取得のフルサポートコンサルティングの価格は、企業規模や従業員数、個人情報を取り扱う業務内容により異なり、お客様ごとの個別見積もりとなります。

プライバシーマークの更新支援サービスはどのようなものですか?

当社のPマーク更新支援サービスは更新に必要な書類を整備するだけのサービスではなく、企業のPDCAが適切に機能しているかの課題を洗い出し、お客様とともに個人情報を守るための仕組み作りをおこなうサービスとなります。最新のセキュリティ情報を網羅した教育や、全部門を対象とする内部監査、各種記録や活動のレビューなどを実施致します。もちろん更新のために準備しなければいけない書類の作成支援や、審査での指摘事項への対応などもおこないますので、初めてPマークの担当となったご担当者様から企業のセキュリティレベルを上げていきたいとお考えの専門部署の方までご安心してご利用できるサービスとなっております。

プライバシーマーク用の教育のコンテンツのみは販売しているのでしょうか。

「一部いくら」のような販売方法は現在おこなっておりませんが、お客様のご要望に合わせて提供させていただいております。基本的には集合研修やe-learningなどとセットでのご提供としております。10名分~受け付けておりますのでご相談ください。

Pマークの審査機関はどのように選べばいいのでしょうか?また更新時に変更できるのでしょうか?

Pマークの審査機関は「プライバシーマーク指定審査機関」として18機関、及び認証機関でもあるJIPDECを含めると全国で19の審査機関があります。ただし、業種や事業所の所在地などにより選択できる審査機関は絞られます。JIPDEC以外での審査機関を選択する場合は、各審査機関への入会登録などをおこなう必要があり、入会金が発生するケースもありますが、業種毎の適切なPマーク審査をおこなってくれるため、自社の業種にマッチした審査機関を選ぶのがよいでしょう。また、審査機関はプライバシーマーク更新時に切り替えることも可能です。特別な手続きは必要なく、新しい審査機関に対しての登録や更新手続きをおこなえば切り替えることができます。

プライバシーマーク取得のための助成金制度などはあるのでしょうか

Pマーク取得時の助成金は各市町村のホームページ等で確認できます。全国の一部の市町村で審査費用やコンサルティング費用に対して助成金制度を設けています。

東京都では、港区・江東区・江戸川区で助成金制度が設けられています。港区、江戸川区では最大で50万円、江東区では最大20万円の補助金が支払われます。コンサルティング費用のみの助成金の区もあり、また年度内に申請できる事業者数は限られているため、事前に確認をおこなう必要があります。申請できるタイミングなども限られており、遡っての申請はできない場合もあります。各市町村のHPから確認の上、申請条件や申請方法の詳細を知りたい方は当社までお問い合わせ下さい。

港区中小企業向け支援制度

江戸川区プライバシーマーク認定取得助成金

江東区環境認証等取得費補助

当社は私1人の合同会社なのですが、Pマークは取得できるのでしょうか?

Pマークを取得する際には、法人であれば法人の種類は問われません。株式会社・有限会社・一般社団/財団法人・公益社団/財団法人など特にどの法人でも制限はありません。外国法人の場合は①日本の法律に基づいて支店として登記している場合②日本国内で取得した個人情報の取扱いが日本国内に限られる場合の両方を満たす場合は認められます。ただし1名の法人の場合はPマークは取得できません。Pマークを取得する際に定めなければいけない「個人情報保護管理者」、「個人情報保護監査責任者」は別である必要があるためです。代表者や社長が兼任することは問題ありませんが、「個人情報保護管理者」、「個人情報保護監査責任者」の兼任はできないため、最低「2人」いる必要があります。

どのようなコンサルタントの方が対応してくれるのでしょうか。

ご支援させていただく当社のコンサルタントは全員正社員となります。他業務においてはパートナー様と連携しておこなっている仕事もありますが、Pマークのコンサルティングについては委託をおこなっておりません。また、当社のコンサルタントはPマーク審査員資格保持者やISMS審査員資格などの審査系の資格か、システム監査技術者、情報セキュリティスペシャリスト、NWスペシャリストなどの情報システム系の資格を全員が保持しているため、信頼のおける人材となっています。

PマークはISO認証のように適用範囲を自社で決定できるのでしょうか。

Pマークの認証範囲は「全社」、「全事業所」となります。従ってISO認証のように一部の事業所のみ、あるいは一部の業務のみを適用範囲にするなどの限定対応はできません。もしも企業規模が大きく、一部の事業のみで認証を取得されたい場合は、ISO27001(ISMS)やISO9001(QMS)などの認証取得も考慮に入れてもよいでしょう。

途中でPマークの取得を停止した場合やPマークを取得できなかった場合、返金などの対応はされているのでしょうか。

当社のサービスでPマークを取得できなかった場合、全額返金対応をさせていただきます。ただし、当社ではお客様都合で途中でプロジェクトが停止になってしまった場合などを除き、Pマーク審査で不合格だったお客様は1社もございません。また、通常の場合は途中解約や返金などはお受けしておりませんが、自社の都合でプロジェクト自体が停止になってしまった場合などは、プロジェクトの進捗状況などを加味した上で返金のご相談をさせていただきます。

ISO27001(ISMS)

ISO27001(ISMS)とは何ですか?

企業が個人情報を含めた様々な情報資産を適切に運用・保護・管理する仕組み(一般的に「情報セキュリティマネジメントシステム」と称される)を定めた国際標準規格です。技術的なセキュリティ対策のほかに組織全体のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分として、システムを運用する、情報セキュリティ対策の管理の仕組みについて規定した規格です。
また、認証取得のメリットは、①情報漏洩のリスク軽減、②顧客や取引先との信頼関係の醸成、③社会的な信用の向上、④他社との差別化、⑤コンプライアンス(法的遵守)の徹底、⑥社員の意識(責任感)改革 などが考えられます。

ISO27001(ISMS)を認証取得するために必要な期間と費用は?

ISO27001(ISMS)では認証取得まで約8~10ヶ月です。当社ではISO27001(ISMS)取得のフルサポートコンサルティングの価格はお客様ごとの個別見積もりとなります。また、コンサルティング費用とは別に審査機関に支払う審査費用が発生します。新規取得の場合、拠点数・適用範囲の人数により金額が変わりますが、1拠点30名様程度の企業で60万円程度の費用がかかります。

ISMS(ISO27001)の審査機関はどのように選べばいいのでしょうか?また特徴などがあるのでしょうか?

ISMS(ISO27001)の審査機関は、JIPDECによって認証機関として定められた27審査機関が存在します。外資系の審査機関なども含め、それぞれ審査の特徴があります。審査基準自体はISO27001に基づいた審査ではあるのですが、本質的な情報セキュリティ対策を基準とした審査や品質管理の観点が強い審査機関、規格要求事項に厳格な審査機関など様々な機関があります。審査機関は審査を受けてみないと特徴がわかりませんが、弊社は主要な審査機関の特徴と傾向からお客様にとって最適な審査機関の選択をお手伝いさせていただきます。

ISMS(ISO27001)の適用範囲とは何でしょうか、またどのように決めればよいのでしょうか。

ISMS(ISO27001)の適用範囲とは、簡単に言えば取得する際にどの範囲までISMSの対象とするかということです。プライバシーマークは必ず全社が適用範囲となりますが、ISMSでは適用範囲を企業が自由に決めることができます。これは物理的な事業所や場所でも構いませんし、システム部などの部門でも構いません。同一の指揮命令系統がある範囲であれば、組み合わせても構わないのです。「東京事業所・大阪事業所」でも構いませんし、「東京事業所システム部・大阪事業所営業部」でも構いません。またグループ会社などでもISMSの活動の指揮命令系統が同一であれば「A社システム部・B社営業部」などでも問題ありません。ただし名刺などには適用範囲内の人員のみしかISMSのマークを入れることはできません。また適用範囲は拠点数や人数が増えることでISMSの審査機関に支払う費用も増えますので注意が必要です。

ISMS(ISO27001)の審査はどのようなステップで進められるのでしょうか。何日間審査があるのでしょうか。

ISMS(ISO27001)の審査は第一段階審査(Stage1)、第二段階審査(Stage2)の2回に分けておこなわれます。第一段階審査ではISMSが適切に構築されているかを確認し、第二段階審査の審査計画を立てることを目的としています。主に適用範囲、情報セキュリティ基本方針や情報セキュリティ目標、リスクアセスメント方法、適用宣言書などを対象として確認がおこなわれます。第二段階審査ではISMSの基本方針、目的、手順が作成、運用されており、またJIS Q27001のすべての要求事項に合致していることを確認します。
審査日数はは適用範囲の拠点数、人数によって異なりますが、20名以下の小規模の適用範囲の場合はそれぞれ1日程度、中規模以上の場合はそれぞれ2日程度となります。拠点数、適用範囲の人数によって工数が決まっていますが、同時に審査する審査員の数によって日数の増減がありますので、詳しくはお問い合わせください。

プライバシーマークとISO27001(ISMS)共通

プライバシーマークとISO27001(ISMS)の違いは?

プライバシーマーク、ISO27001(ISMS)ともに大切な情報を守るための安全管理対策を構築した企業に対して認定するという点では共通していますが、プライバシーマークは企業内で個人情報が適切に運用・保護・管理されていることを認定するのに対し、ISO27001(ISMS)は企業内の個人情報を含めた様々な情報資産を適切に運用・保護・管理していることを認定します。このように、守る情報の範囲が異なります。また、プライバシーマークは企業ごとに取得するのに対し、ISO27001は全ての拠点ごとに取得することが可能です。

認証取得するためにコンサルタントによる取得支援は必要ですか?

コンサルタントによる取得支援は任意ですが、コンサル会社を選定する際は、①確実に取得可能、②無駄な作業の事前防止、
③ノウハウ伝授による認証取得後のスムーズな運用……このような観点でご判断ください。良質なコンサルタントは、その企業に適切なルール作りを行い、指導しますが、悪質なコンサルタントは、ルールが記載された既存の雛型をそのまま導入しようとします。そのため、後者は、認証取得後の運用において、問題が生じて、最悪は事故や事件につながるかもしれません。

プライバシーマークとISMSの同時取得のコンサル依頼は可能ですか?

当社はPマークとISMSの同時取得コンサルサービスをご用意しております。同時取得のメリットとデメリットをご理解ください。メリットとしてはPマークとISMS両方で利用可能な規程や帳票の作成により、全体の作業ボリュームが減り、コンサルティング費用も圧縮できることが最大のメリットです。デメリットとしては審査がPマーク、ISMSそれぞれでおこなわれるため審査対応が大変ということが挙げられます。ただし、構築・運用だけおこない審査日程は3ヶ月~半年ほどずらすことで負担は軽減できますので、自社の繁忙期などに合わせて調整することもよいでしょう。

ISMS(ISO27001)を取得した後の更新は3年に一度と聞いているのですが、審査は3年毎におこなわれるのでしょうか。

ISMS(ISO27001)の更新審査は3年後となりますが、継続審査(サーベイランス審査)は必ず毎年受けなければいけません。ISMSは3年スパンでの活動の結果を更新審査で確認する形ですが、毎年継続的に改善活動がおこなわれていることを継続審査で確認されます。そのため、審査費用としては取得審査>更新審査>継続審査(サーベイランス審査)となっており、審査の時間なども比例しています。