プライバシーマーク取得に関するご質問Q&A

プライバシーマーク取得に関するよくあるご質問をQ&Aとしてまとめました。

Q. どういった目的でプライバシーマーク取得に取り組む企業が多いですか?

プライバシーマーク取得の主な目的には、取引条件を満たすことや信頼性の獲得があります。

Q. ISMS認証ではなくプライバシーマークの取得を選ぶ理由は何ですか?

ISMS認証よりもプライバシーマークの方が認知度が高く、外部からわかりやすいという理由があげられます。また、個人情報保護リスクが高い事業を手掛けている組織は、やはりプライバシーマークを選ばれる傾向があります。

なお、「プライバシーマークの取得の方が簡単だから」という理由で選ばれるケースもありますが、一概に簡単とは言えません。個人情報保護という観点では、プライバシーマークの方が具体的に深堀されています。したがって、事業内容によっては、プライバシーマークの方が負荷が高いケースもあります。ただし、一般的にはISMS認証の方が要求事項が多く、時間や手間がかかるケースが多いため、「取り組みやすい」という判断で、プライバシーマークを選ばれることがあります。

Q. プライバシーマークを取得したら、どのようなメリットがありますか?

メリットには二面性があります。

  1. 1.マークを取得すること自体のメリット
  2. 2.マークを取得するための過程のメリット
Q. プライバシーマークを取得したときのデメリットは何ですか?

審査費用が定期的にかかります。デメリットは言い切れませんが、個人情報保護法よりも高レベルな要求があります。

Q. プライバシーマークは従業者2人の企業でも取得可能ですか?

最低2人の従業者がいらっしゃれば取得可能です。

プライバシーマーク取得するためには、「個人情報保護管理者」「監査責任者」を兼任せずに任命する必要があるからです。なお、従業者には役員、出向者、アルバイトなども含まれます。

Q. プライバシーマークを取得するためには、どの程度の人員数が必要ですか?

過去事例では、社長自らがおひとりで頑張ってPMSを構築されたケースもありますが、一般的には複数名でプロジェクトチームを組まれることが多いです。

Q. 専従者は必要ですか?

必須ではありませんが、専従できるということはより多くの時間をプロジェクトに割けるということなので、短期間でマークを取得することができるかもしれません。

なお、過去事例で専従者を設置されたケースは、ほとんどありません。弊社では取組体制に応じて支援内容を調整しております。

Q. 拠点単位や部門単位でも取れますか?

ISOとは違い適用範囲という概念がありません。そのため、必ず組織全体を対象とする必要があります。

Q. プライバシーマークをなるべく負荷をかけずに取得するためのポイントは何ですか?

難しい論点ですが、負荷を減らすという考え方ではなく、「負荷を増やさない=身の丈で取り組む」ことが重要です。どちらかと言えば裁量の余地が少ない制度なのですが、やりようはあります。

取組開始時点で既に要求に適合している論点もあるはずなので、それらを生かした取組をすることもできます。

難しいのは、「どこまでやれば適合と言えるのか」という判断です。事業内容その他環境によっても変わることがありますので、ご支援の際にはそれを加味してご提案やアドバイスをさせていただきます。

Q. プライバシーマークとISMS認証を両方取得はできますか? 並行して取り組めますか?

不可能ではありませんが、負荷が高くなるので、1つずつ順番に取り組んだ方が良いです。

Q. プライバシーマークとISMS認証の両方を取得したい場合は、どちらを先に取り組んだ方が良いでしょうか?

どちらでも良いのでしたら、プライバシーマークの方を先に取り組まれた方が、効率的に進められます。プライバシーマークは申請から審査までの待機時間が発生するので、その期間にISMSの作業負荷を増やすと、時間を有効に使えます。

Q. プライバシーマークの申請方法や流れを教えてください。

まず審査機関を選びます。どのような審査機関があるかは、JIPDECのページをご覧ください。審査機関によっては、事前に入会手続きが必要です。

次に申請書類を作成します。どのような申請書類が必要かは、各審査機関のホームページに公開されています。JIPDECに申請する場合は、こちらをご覧ください。なお、審査機関によって申請書類の様式が異なるためご注意ください。

申請書類ができたら審査機関に提出します。審査機関によっては、オンライン申請を受け付けているところがあります。

申請が受理されると、審査機関から申請料金の請求があります。お支払いいただくと、文書審査が実施されます。

Q. プライバシーマークを取得するために、どれぐらいの期間が必要ですか?

プライバシーマークを取得するために必要な期間は、「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」「審査機関の選択」等の要素によって変動します。目安は6ヶ月~とお考えください。

Q. プライバシーマークを短期間で取得する方法はありますか?

なるべく早く取得を希望の場合、「審査機関の選択」「審査申請までの期間短縮」がポイントとなります。

Q. プライバシーマークの付与機関と審査機関について教えてください。

審査機関は任意で選択することができますが、業種や地域によって制限がございますので、ご注意ください。なお、審査機関は、審査の度に変更することが可能です。

Q. プライバシーマークの審査機関はどのような基準で選べば良いのでしょうか?

業種と本社もしくは主たる事業所の所在地によって選択できる審査機関が異なります。また、審査申請から現地審査までの待機時間に差があります。その他、入会費や年会費の有無、多寡にも違いがあります。審査機関のご案内もしておりますので、お気軽にご相談ください。

Q. プライバシーマークを取得するために必要な費用は?

プライバシーマークを取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。

Q. プライバシーマーク取得のために、どの程度のセキュリティレベルが要求されますか?

ある程度のセキュリティ対策は必要ですが、ISOと比べると比較的明確に内容が決まっています。

Q. オフィスを他社と共用しておりますが、マーク取得は可能でしょうか?

オフィスを他社と共有しているというだけでマークが付与されないということはありません。物理環境がネックになるケースは稀です。ただし、その環境に応じたリスク対策が必要となります。本ケースだと、例えば該当する他社と、

  • 秘密保持契約などを交わす
  • 物理環境にまつわるルールを共有する
  • 現地監査を行う

といったような対応が有り得ますが、全てを実施する必要はありません。逆に他の対策を考える必要があるかもしれません。オフィスを移転されたり、新たに設置されるタイミングで、レイアウトなどのご相談をいただくこともあります。

Mustは無くともBetterはありますので、気になる場合はご相談ください。

Q. マネジメントレビューとは何ですか?

マネジメントレビューは文字通り個人情報保護マネジメントシステムにおけるトップ(代表取締役等の代表権のある役員)によるPMS運用状況のレビューです。PMS運用状況として、最低限決められた事項(内部監査の結果等)についてトップマネジメントに報告し、トップマネジメントがそれに対して指示等を行い改善につなげるための活動です。

Q. 文書量はどのくらいになりますか?

ケースバイケースで変わりますが、数百ページになるようなケースは稀です。例えば、組織の規模が大きな企業だと、関連するその他の内規の量が多くなり、結果的に文書ボリュームが大きくなることはありますが、通常は、規程単体で見ればせいぜい数十ページ程度です。それに記録様式が加わっていくとお考えください。また、閲覧のし易さや他の内規との関連で、分冊したりしなかったりといった違いは生じます。

Q. プライバシーマークの社員教育はどのようなことを行えばよいのでしょうか?

最低限、自社の個人情報保護方針の内容、個人情報保護マネジメントシステム(PMS)に適合することの重要性や利点、PMSに適合するための役割・責任、PMSに違反した際に予想される結果を、少なくとも年に1回、全従業者(社員など)に認識させることが要求されます。

Q. 社員教育に使用する教材は、毎年同じものを使用しても良いのでしょうか?

毎年同じ教材を使用して社員研修を開いてもかまいませんが、更新審査で指摘される可能性があります。そもそも毎年同じ内容の教材だと教育内容がマンネリ化し、教育効果が低下する恐れがあります。情報の刷新や事例の差し替えなどの工夫が必要となります。

Q. 事故を起こしてしまった場合、プライバシーマークの取得や更新が難しくなりますか?

「事故を起こした=プライバシーマークが付与されない、更新できない」というわけではありませんが、審査申請を受理されないケースがあります。

また、既にプライバシーマークが付与されている場合、事故の社会的影響をJIPDECが評価し、場合によっては使用許諾が取り消されることがあります。

Q. プライバシーマークの現地審査は、どのようなことをするのですか?

トップマネジメントへのインタビュー、個人情報保護管理者や推進事務局へのインタビュー、各部門へのインタビュー、オフィスの物理的環境の確認(サイトツアー)などを行います。

Q. 現地審査でのトップマネジメントのインタビューでは、どのようなことを質問されるのでしょうか?

例えば、事業内容、そのうち個人情報を取り扱う事業、事業内容な経営環境など前回の審査から何が変わったのか、個人情報保護の目的、個人情報の提供や共同利用などの有無、個人情報保護リスク、事故の有無と内容などなどです。ご要望に応じて、現地審査の前に、模擬審査にて、これらの内容の受け答えの練習をします。

Q. プライバシーマークの文書審査ではどのようなことをするのですか?

文書審査の基準に照らし合わせて、審査申請時に提出した文書の審査基準との適合性を審査します。

なお、この審査時には審査員の訪問はありません。

また、提出した文書上のみで判断できない項目は、現地審査にてあらためて審査することになります。

Q. 従業者への教育の効果はどのように測定すればよいでしょうか?

一般的には、従業者に対して効果測定テストを行い、点数で評価するという手法が多いです。この手法が用いられるのは、「実施するのが簡単だから」という理由です。

ただし、より実効性の高い効果測定に取り組むのであれば、教育の目的をあらかじめ明確に設定し、その目的を達成しているかどうかという観点で効果測定することになります。

その場合、普段の行動の観察や、定期的な点検の結果等で測定するということもあり得ます。

なお、蛇足ではありますが、定性的な測定をするのであれば、効果測定する側の人員の力量も重要になります。

Q. プライバシーマークの内部監査はどのようなことをしたらいいですか?

内部監査は、一般的に一者監査と呼ばれており、お客様等の利害関係者や審査機関等の第三者機関ではなく、自組織が自ら行う監査を意味します。

内部監査では、構築したPMSが指針に適合しているか、構築したPMSを運用することができているか、法規制を遵守することができているかを確認する必要があります。

内部監査の実施には「自己監査の回避」等の一般原則がありますので、それらに抵触しないようご注意ください。

なお、プライバシーマーク制度においては、内部監査責任者を任命することが必須条件ですが、必ずしも内部監査責任者自らが直接監査を行わなくてはならないというわけではありません。

Q. 審査で落ちることはありますか?

一般論で言えば有り得ます。

例えば、内部監査を行っていない等、そもそも要求事項に適合していないような分かり易いケースはもちろんですが、注意喚起の意味をこめて「主体性がないと判断された場合」という例が公表されています。

プライバシーマーク認証支援コンサルティングに戻る

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

03-3497-5070

受付時間:平日 9:00~18:00

メールフォーム