近年、情報漏洩やプライバシー侵害への懸念が高まる中、顧客から信頼を得るための重要な指標として、Pマーク取得がますます重要になっています。
しかし、「Pマークとは具体的に何なのか」「どのように取得すれば良いのか」「費用はどのくらいかかるのか」「取得することでどのような効果があるのか」など、疑問を持つ企業も多いのではないでしょうか。Pマークにはあまり意味がないという声もあることから、不安に思う方もいらっしゃいます。
本記事では、Pマークの基礎知識から、取得方法の流れ、費用、そして取得することで期待できる効果までを解説します。Pマーク取得を検討している企業担当者の方はもちろん、情報セキュリティ対策に関心のあるすべての方に向けて、わかりやすく解説していきます。
信頼の証、Pマークとは
Pマークとは、正式名称をプライバシーマークと言い、企業が適切に個人情報と取り扱っていることを第三者機関が認定したことを示すマークです。具体的には一般財団法人日本情報経済社会推進協会(JIPDEC)が認定をおこなっています。JIS Q 15001「個人情報保護マネジメントシステム-要求事項」(最新版はJIS Q 15001:2023)を基準とした審査がJIPDECにより認定を受けた審査機関によっておこなわれ、合格した企業にマークが発行されるものです。
企業がきちんと個人情報を取り扱っていることの信頼の証、これがPマークです。
Pマークを取得していることで、BtoB企業では主に取引先に対して、BtoC企業では主に消費者に対して事業者が適切に個人情報を取り扱っていることをアピールできます。2024年現在約17500社以上の企業がPマークを取得しており、注目度は年々増加しています。
Pマークのメリット・効果とは
企業がPマークを取得する効果は様々ですが、一般的には以下のようなものが挙げられます。
一般消費者からの信頼向上
Pマークは、顧客にとって「個人情報が適切に保護されている」という証であり、企業への信頼を高めることができます。近年、個人情報保護意識の高い顧客が増加しており、Pマーク取得は顧客満足度向上にもつながります。商品やサービスの購入時に、Pマークを取得している企業を選ぶ顧客も増えています。みなさんももし同じ商品・同じ価格であれば自分の個人情報をきちんと取り扱ってくれる会社から商品を買うのではないでしょうか。
ビジネス要件や入札要件
特に近年大きなメリットとなっているのが、企業において取引先からの評価におけるPマークの存在です。官公庁や各種入札案件においてPマーク取得が要件となっているケースは近年大幅に増加しているため、Pマークを持っていることで入札できるケースが増えることがメリットとなります。また、大手企業との取引の際にも条件となっていることも多く、Pマークを持っていないと大手企業と取引できないケースも存在しています。個人情報に少しでも関連する業務を受託する場合はPマークは持っていることで他企業よりも優位に働くケースが多いです。
取引先からのセキュリティ調査
特にシステムや情報を取り扱う業務を受託する場合、取引先から個人情報や情報セキュリティ関しての対応状況の調査やアンケート表が送られてくることが多いです。「個人情報の取り扱い規程はありますか」「セキュリティに関する内部監査や教育をおこなっていますか」など数十項目の調査表が送られてきますが、Pマークを持っていれば記載しなくてもいいケースが多く、記載する場合でもPマークで求められている事項が大半となりますので簡単に記載ができます。一方で一般の事業者の場合質問される項目に対して実施できていない項目も多いため、調査結果により業務が受託できないリスクも発生してしまいます。
社内の個人情報保護体制の整備
Pマーク取得の大きなメリットとして、社内体制の整備も挙げられます。規程作成や個人情報保護・セキュリティ対策の実施、監査や教育を含めた年間活動を実施することになるため、組織として適切に個人情報を保護するための体制づくりが可能となります。また、各種活動を通じて従業員の個人情報への意識向上も可能となります。
Pマークの取得方法と申請手続き
Pマークの取得方法について以下のステップで詳しく説明していきます。
Pマーク取得に必要な文書の準備
JIS Q 15001に準拠した個人情報保護マネジメントシステムに関連する規程やそれに紐づく記録類を作成します。自社でどのような個人情報を取り扱っているかをまとめた個人情報管理台帳やリスクを洗い出すためのリスク分析、プライバシーポリシー等各種関連の記録も作成していきます。
Pマーク運用の実施
規程の作成と合わせて、従業員教育や内部監査等も含めたマネジメントシステムの運用をおこなっていきます。作成した規程文書に準じた各種個人情報保護の活動をおこなっていくというフェーズとなります。ここには全従業員向けの研修や、内部監査、マネジメントレビュー等の項目も含まれます。
プライバシーマーク審査機関への申請書類の提出
運用まで完了した後、審査機関に対して申請書類の提出をおこないます。審査機関はJIPDECのページを参考にすることができますが、申請する審査機関は、事業者の所在地や業種によって定められているため、平均的には多くても4審査機関程度の中から選択することになります。審査費用はどの審査機関で審査を受けても同じ金額ですが、審査機関への入会金や維持費用などで数万円かかる機関、無料の機関がありますが、費用が発生する場合は定期的な情報発信やサポート等がありますので、比較検討してみるのがいいでしょう。
選択した審査機関に対して組織体制や規程の一覧、運用の状況等を記載した申請書を送付います。以前は郵送や審査機関への持ち込みが多かったですが、現在では指定されたクラウドストレージにファイルをアップするのが主流となってきているようです。
申請書類の内容は従業員数や売上高、登記簿、監査や教育の実施状況、各種文書がJIS規格に準拠していること等を記載した申請書類と合わせて、規程文書と様式(フォーマット)となります。ここでは実際の運用記録までは提示しません。
プライバシーマーク文書審査と現地審査
書類申請時に規程類も送付するため、まずは規程の内容がJIS Q 15001を元にした「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に準拠しているかについて審査が行なわれます。これが文書審査となります。この時点では規程文書やフォーマット類のチェックのみとなり、実際に規程に沿った運用がおこなわれているかを確認されるのが現地審査と呼ばれます。
文書審査は申請書類提出後平均2ヶ月~4ヶ月後程度に結果が返ってきます。現地審査は申請書類提出後平均3ヶ月~5ヶ月後程度に実施されますが、審査機関の繁忙状況により更に時間がかかる可能性があります。Pマークは申請書類提出後にかなり待ち期間が長くなるため、取得するまでの期限がある場合は余裕をもったスケジュールを作成しておくのがよいでしょう。
現地審査は企業規模によって異なりますが、ほぼ1日程度かかるのが平均です。この中でヒアリングやオフィス確認、各種運用記録・契約書の確認などが行なわれます。
プライバシーマーク(Pマーク)の認定
現地審査完了後、数日以内に審査の報告書が送られてきます。何度審査を受けていても指摘事項がないケースは稀で、平均的には数件の指摘事項が報告書に記載されています。指摘内容に対して改善の措置をおこない、結果を改善報告書に記載し再度提出します。提出した内容で問題がなければ審査機関内での審査会議で認定の内諾が得られます。その後、各種手続き完了後に正式認定となり認定証が発行されます。Pマーク現地審査を受けてから認定証が到着するまでには平均で3ヶ月程度かかるケースが多いです。
Pマークの更新審査
Pマーク取得後は2年毎に新規取得時と同様の審査がおこなわれます。審査は2年毎にはなりますが、毎年実施しなければいけない事項などもあるため、活動自体は通年でおこなっていく必要があります。十分に注意しましょう。
Pマーク取得費用とその内訳
Pマーク取得費用には審査費用と審査までの準備に関わる費用に分かれます。審査費用は各審査機関に支払う費用、準備に関わる費用はコンサルティング会社の費用や自社の物理的対策費用等があります。
審査費用は事業者の規模によって変わってきますので詳細はJIPDECのページを参考にしてください。費用体系は以下の通りとなります。
種別 | 小規模(新規) | 中規模(新規) | 大規模(新規) | 小規模(更新) | 中規模(更新) | 大規模(更新) |
---|---|---|---|---|---|---|
費用合計 | 314,288 | 628,573 | 1,257,144 | 230,478 | 471,430 | 942,858 |
一般的にPマークの申請事業者では中規模の会社が最も多く、中規模のケースですと
新規取得 : 628,573円(税込み) 更新: 471,430円(税込)
となっています。大規模の場合はほぼ2倍、小規模の場合はほぼ半分と捉えていただいていいでしょう。
審査までの準備に関わる費用としては、担当者の人件費、コンサルティング費用、漏洩対策費用、オフィスセキュリティ等の物理的対策費用などが挙げられます。セキュリティ対策の費用や物理的対策の費用はPマーク上必須ではないため、まずは社内リソースとコンサルティング費用について考慮すべきです。
コンサルティング費用はコンサル内容によっても異なりますが、小・中規模事業者向けであれば数十万円~150万円程度、全国規模の大手事業者が取得する場合は数百万以上かかるケースもあります。安ければいい、高ければいいということはなく、それぞれの特徴がありますので一度コンサルティング会社に問い合わせてみるのがいいでしょう。
100名程度の会社であれば、コンサルティング費用+審査費用+その他対策でPマーク取得費用は全体で150万円~200万円程度は見込んでおいたいいでしょう。もちろん極力投資をしないで進めることも可能です。過去に経験がある担当者がいる場合は自社で規程作成・運用をおこなうことで費用を削減できますが、経験がない方の場合はかえって必要以上の社内工数がかかってしまうこともあるので注意が必要です。
また、新規取得以降もプライバシーマークの更新審査時、2年毎に更新審査費用が継続して発生することにも注意が必要です。
当社でもPマーク取得・運用についてのコンサルティングサービスを提供しておりますので、疑問点やご相談ございましたら一度ご連絡ください。