Pマークの取得方法を流れに沿って紹介! 取得費用や取得期間も解説
重要な経営資源である個人情報の管理は、企業経営において優先度の高いタスクの1つです。正しく管理すれば競争力の源泉として機能しますが、管理方法を誤ると取引先や顧客からの信頼が失墜し、企業の存続を脅かすことにもなりかねません。そこで、多くの企業では、適切に個人情報を取り扱っていることを客観的に証明するPマーク(プライバシーマーク)を取得して、取引先や消費者からの信頼が得られるように役立てています。では、Pマークはどのような流れで取得できるのでしょうか。
本記事では、これからPマークの取得を目指す企業に向けて、Pマークを取得する条件や審査の流れ、取得費用のほか、取得期間などについて解説します。
Pマークとは、適切に個人情報の管理を行う事業者に付与されるマーク
Pマークとは、組織や企業における個人情報の管理について、「適切である」と第三者機関に評価された事業者に付与されるマークです。個人情報は、生存する個人に関する情報で、氏名、生年月日、住所などによって特定の個人を識別できる情報を指し、メールアドレスや電話番号といった別の情報との組み合わせによって個人を識別できる情報も含まれます。
Pマークの審査では、「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報マネジメントシステム構築・運用指針」に基づいて、適切な個人情報保護体制が構築されているか否かが審査されます。JIS Q 15001は、個人情報保護法よりも要求する管理事項が多く、厳格な基準です。
Pマークを取得した企業は、「個人情報の取り扱いを経営課題として重視し、ふさわしい取り組みを行っている企業」として、Webサイトや名刺などにPマークを使用することができます。2024年9月30日現在で、1万7,766社がPマークを取得しています。
Pマークを取得する条件
Pマークは、希望するすべての企業に付与されるわけではありません。Pマーク付与の対象になるのは、下記の条件を満たす企業です。
- Pマークを付与されるための条件
-
- 国内に活動拠点を持つ企業である
- 代表者を含め、役員や正社員が2名以上いる
- JIS Q 15001に基づいて個人情報保護マネジメントシステム(PMS:Personal information protection Management Systems)を確立している
- PMSに基づいて体制を整備し、適切な個人情報の取り扱いを実践している
- 外国企業でないこと、付与機関が指定する業種、業態、サービスを営んでいないことなど、「プライバシーマーク付与に関する規約(JIP-PMK500)」が定める欠格事由に該当していない
役員、正社員の人数については、PMSを構築する際、個人情報保護管理者と個人情報保護監査責任者が1人ずつ必要になるため、2名以上の在籍が条件になっています。個人情報保護管理者にはPMS運用の責任者としての役割があり、個人情報保護監査責任者はその運用の是非を判断する責任者です。また、規約の欠格事由に該当するか否かは、企業が提出する書類と現地審査で確認します。
Pマーク取得までの流れ
Pマークを取得するためには、一定の流れに沿ってPMSの構築や申請などを進める必要があります。Pマークを取得するまでの一般的な流れは、下記の通りです。
| 項目 | 概要 |
|---|---|
| 1.取得に向けた計画の策定とPMS文書の準備 | Pマーク取得のためのプロジェクトを推進する社内責任者を決め、行動計画を立て、個人情報の洗い出しとPMS文書の作成を行う |
| 2.PMSの運用体制の構築と内部監査の実施 | 作成したPMS文書に沿って、実際にPMSを構築・運用し、PDCAサイクルを回す。PMSを運用した際の状況やその評価、改善策に関する書類も書類審査の際に提出するため、文書化する必要がある |
| 3.Pマークの申請 | ここまでの工程で記録・保管してきた書類と一緒に、申請書類を作成して審査機関に提出する |
| 4.審査 | 申請受理までの約1か月のあいだに欠格事項の審査、訂正事項のチェックなどが行われ、その後、書類審査や現地審査に移る |
| 5.指摘事項の改善とPマークの取得 | 審査後にフィードバックされた指摘事項について具体的な対応策を記載した指摘改善文書を作成して提出する。それに対して指摘事項がなくなれば、Pマークを取得できる |
1.取得に向けた計画の策定とPMS文書の準備
Pマークを取得する場合、取得に向けた計画を策定し、PMSの構築や運用に関するルールをPMS文書として可視化します。
まずは、Pマーク取得のためのプロジェクトを推進する社内責任者を決めます。社内における個人情報保護対策の現状や社内システムの全体像を把握している人、従業員に個人情報保護の意識づけができる人、審査対応ができる人といった条件を満たす人を選ぶのがお勧めです。
責任者が決まったら、スムーズな計画進捗のため、Pマークを取得する具体的な期日を設定して行動計画を立ててください。
続いて、審査機関を選定します。Pマークの審査機関は20あり、どの審査機関で審査を受けても取得できるPマークの効力は同じですが、審査の進め方や手法は機関によって異なります。
そもそも取得計画の立て方がわからなかったり、準備に不安があったりする場合は、Pマークの取得・更新をサポートしてくれるコンサルティング会社を利用するのも1つの方法です。コンサルティング会社ごとにサポートの内容や範囲が異なるため、「スケジュールを組んで作業の進捗を管理してほしい」「他社の事例が知りたい」「書類作成を手伝ってほしい」といった希望に合わせて依頼先を選定しましょう。
スケジュールの全体感がつかめたら、社内に存在する個人情報を洗い出し、それらを実際に運用・管理するPMSの仕組みやルールを文書化した「PMS文書」を作成します。作成すべき主なPMS文書の代表例は下記の通りです。
- 主なPMS文書
-
- JIS Q 15001に沿った個人情報保護マニュアル
- 個人情報保護方針
- 事務所の入退室管理や機器の盗難対策など、個人情報に関する安全管理規定
上記のほか、PMSの実施に関わる事項はすべて書面として残す必要があります。
2.PMSの運用体制の構築と内部監査の実施
Pマークの取得計画の策定とPMS文書の準備が終わったら、PMSを確立するフェーズに入ります。作成したPMS文書に沿って、実際にPMSを構築・運用しましょう。Pマークの申請を行う際には、申請前に、社内で定めたルールに沿ってPDCAサイクルを回さなければなりません。一通り実施して、必要があれば社内ルールを変更したり、システムを更新したりして、継続的な運用が可能な仕組みに修正します。
また、社内ルールの他にも、実際にPMSを運用した際の状況やその評価、改善策に関する書類も書類審査の際に提出するため、文書化する必要があります。Pマーク取得で必要となる主な記録書類は、下記を参考にしてください。
| 記録書類 | 内容 |
|---|---|
| 個人情報管理台帳 | 事業における個人情報を特定し、利用目的や保管場所について記した書類 |
| 法令などの管理台帳 | 業務に関連する法令、個人情報保護に関連する法令について、概要や指針などを記載した書類 |
| リスク分析 | 個人情報を取り扱う際に想定されるリスクの検証内容と、対策方法について記載した書類 |
| 委託先評価記録 | 個人情報の取り扱いを委託している企業を特定し、評価した記録 |
| 内部監査記録 | PMSの内部監査についての計画と、実施記録をまとめた書類。監査の結果、PMSに適合しないルールや運用があった場合は、その是正措置の記録も必要 |
| 各種帳票 | 採用時などに従業員から預かった個人情報同意書、個人情報保護に関するトラブルの記録などの帳票類 |
| 教育記録 | 自社の従業員に向けた個人情報保護のための教育・研修の計画書と実施記録 |
| 入退室記録 | 従業員および顧客などの入退室を記録した書類 |
| マネジメントレビュー | 経営層がPMSの運用について振り返り、成果や課題を分析して見直した記録 |
これらの書類については、フォーマットを作って仕様を定めておきます。これにより、PMSの運用を継続的に行っていること、社内で実施体制が確立されていることを証明できます。
また、PMSの運用時には、運用の実態を確認するために、客観的な内部監査を実施しましょう。監査の結果、問題点があれば代表者へ報告をして、改善の指示につなげます。
3.Pマークの申請
PMS運用体制を構築し、内部監査を実施したら、Pマークの申請を行います。これまで記録・保管してきた書類と一緒に、申請書類を作成して審査機関に提出してください。
申請書類には、下記のように提出が必須の書類と任意提出の書類がありますが、任意の書類も提出すれば、審査がスムーズに進みます。
提出が必須の書類
- 【申請様式0新規】プライバシーマーク付与適格性審査申請チェック表
- 【申請様式1新規】プライバシーマーク付与適格性審査申請書(1)および(2)
- 【申請様式2新規】個人情報保護体制
- 【申請様式3新規】事業者概要
- 【申請様式4新規】個人情報を取り扱う業務の概要
- 【申請様式5新規】すべての事業所の所在地および業務内容
- 【申請様式6新規】個人情報保護マネジメントシステム文書の一覧
- 【申請様式7新規】教育実施サマリー(すべての従業者に実施した教育実施状況)
- 【申請様式8新規】内部監査・マネジメントレビュー実施サマリー
- 登記事項証明書(履歴事項全部証明書または現在事項全部証明書)など申請事業者(法人)の実在を証す公的文書の原本(申請の日前3かヵ月以内の発行文書。コピーは不可)
- 定款のコピー
- 最新の個人情報保護マネジメントシステム文書一式のコピー(【申請様式6新規】に記載の内部規程・様式のすべて。なお、様式は未記入で空欄のままの見本)
- 個人情報管理台帳の運用記録(様式ではない)の冒頭1ページのコピー
- 個人情報管理台帳の運用記録に対応するリスク分析結果のコピー
任意提出の書類
- 教育を実施したことが確認可能な記録一式(教育計画書、教育実施報告書などの運用記録や教材のコピー、理解度確認テストなどの雛形)
- 内部監査を実施したことが確認可能な記録一式(内部監査計画書、内部監査実施報告書、内部監査チェックリストなどのコピー)
- マネジメントレビューを実施したことが確認可能な記録一式(マネジメントレビュー議事録のコピー)
- 会社パンフレットなど
4.審査
審査機関に書類を提出すると、申請受理までの約1か月のあいだに欠格事項の審査、訂正事項のチェックなどが行われます。不備があると差し戻しになりますが、問題がなければ書類審査に進みます。申請受理から書類審査終了までの期間は、約1か月半です。
書類審査に合格した後は、審査員による現地審査に移ります。現地審査は、原則として審査を受ける企業の本社で、1日かけて行われます。現地審査の内容は下記の通りです。現地審査の結果、JIS Q 15001に適合しない点や、社内ルールに違反した運用などが見つかった場合、審査機関から指摘事項文書が発行され、指摘事項が伝達されます。
| 審査方法 | 審査内容 |
|---|---|
| マネジメント層へのインタビュー | 業務内容や、Pマーク申請の理由、PMS構築において注力した点などのヒアリング |
| 現場における運用状況、実施状況の確認 | 記録書類の確認や、各部署の担当者へのヒアリング、実施状況のチェック |
5.指摘事項の改善とPマークの取得
書類審査と現地審査が終わったら、審査後にフィードバックされた指摘事項について改善を行います。具体的な対応策を記載した指摘改善文書を作成して、提出してください。提出期限は、指摘事項文書が発行されてから3か 月以内です。一度で指摘事項の改善が完了しなかった場合は、再度指摘があるため対応します。
指摘事項がなくなり、審査会で合格が出たら、Pマーク付与機関とプライバシーマーク付与契約を締結してPマークを取得します。
ただし、Pマークには更新があり、一度取得したら終わりではありません。取得後は2年ごとに行われる更新審査への対応が必要です。次回の審査に備えて体制の充実に努めつつ、運用を進めていきましょう。
Pマークの取得にかかる費用
Pマークの取得にかかる費用は、自社の事業規模、業種などによって決まります。Pマーク制度を運用する日本情報経済社会推進協会(JIPDEC)が公表している新規申請の審査費用は、下記の通りです。
なお、2026年10月から料金改定が予定されており、申請日が9月30日以前か10月1日以降かによって費用が異なるため、注意してください。
また、下記に加えて、現地審査に派遣される審査員の交通費・宿泊費や、コンサルティング会社に依頼した場合はその費用がかかります。
| 種別 | 小規模事業者 | 中規模事業者 | 大規模事業者 |
|---|---|---|---|
| 申請料 | 5万2,382円 | 5万2,382円 | 5万2,382円 |
| 審査料 | 20万9,524円 | 47万1,429円 | 99万5,238円 |
| 付与登録料 | 5万2,382円 | 10万4,762円 | 20万9,524円 |
| 合計 | 31万4,288円 | 62万8,573円 | 125万7,144円 |
| 種別 | 小規模事業者 | 中規模事業者 | 大規模事業者 |
|---|---|---|---|
| 申請料 | 5万7,200円 | 5万7,200円 | 5万7,200円 |
| 審査料 | 22万6,600円 | 51万8,100円 | 109万4,500円 |
| 付与登録料 | 5万2,800円 | 11万5,500円 | 23万1,000円 |
| 合計 | 33万6,600円 | 69万800円 | 138万2,700円 |
Pマーク取得にかかる期間
Pマークの取得にかかる期間は、一般的に半年から1年程度が目安とされています。これは、PMSの構築から運用、申請、審査、是正対応までに複数の工程が必要となるためです。
まず、申請を行う前提として、3か月程度の準備が必要になります。この期間中にPMSを構築した上で、従業員教育や内部監査を実施し、PMSが実際の業務で適切に機能していることを確認します。
その後、申請を行ってから審査結果が出るまでにも、書類審査や現地審査、指摘事項の改善対応などを行うため数か月程度の期間が必要です。企業の規模やPMSの完成度、指摘事項の有無によっては、さらに期間を要する場合もあります。
そのため、Pマークの取得を目指す場合は、余裕を持ったスケジュールを立て、計画的に準備を進めることが重要です。
Pマーク取得のメリット
Pマークを取得すると、個人情報を適切に管理している事業者であることを客観的に示すことができるため、企業活動に様々なメリットがあります。下記では、Pマーク取得によって得られる主なメリットについて解説します。
| 項目 | 概要 |
|---|---|
| 対外的に安全な個人情報管理ができていることをアピールできる | 個人情報を適切に管理している企業であることを、消費者や取引先に対して客観的に示すことができる。Pマーク取得を取引条件とする企業とのビジネスチャンス拡大にもつながる |
| 個人情報に関する社内での意識向上が図れる | Pマーク取得の過程で従業員教育や内部ルールの周知が必須となるため、個人情報保護に対する社内の意識向上を期待できる |
対外的に安全な個人情報管理ができていることをアピールできる
Pマークを取得することで、個人情報を適切に管理している企業であることを、消費者や取引先に対して客観的に示すことができるというメリットがあります。Pマークは第三者機関による認証制度であるため、高い信頼性があります。特に、一般消費者を顧客とし、多くの個人情報を取り扱うBtoC企業にとっては、消費者がサービスを安心して利用できる企業であることを示す材料となるため、競合との差別化にも有効です。
また、取引条件としてPマークの取得を求める企業もあるため、取得することで新たな取引機会の創出やビジネスチャンスの拡大につなげることも可能です。
個人情報に関する社内での意識向上が図れる
Pマークの取得によって、個人情報に関する社内での意識向上が図れる点もメリットといえます。
Pマークを取得するためには、全社的に統一された個人情報管理のルール・体制を構築し、継続的に運用していかなければなりません。その過程で、従業員教育や内部ルールの周知が必須となるため、個人情報保護に対する社内の意識向上が図れます。
PMSに基づく教育記録の整備や定期的な研修の実施により、従業員一人ひとりが個人情報の重要性を理解するようになり、結果として情報漏洩や不適切な取り扱いのリスク低減に繋がります。
PマークとISMSの違い
Pマークと同様に、情報セキュリティに関する第三者認証制度として「ISMS(情報セキュリティマネジメントシステム)」があります。どちらも情報を適切に管理していることを示す認証制度ですが、保護対象や目的、適用範囲などに違いがあります。
Pマークは主に個人情報の保護に特化しているのに対し、ISMSは個人情報に限らず、企業が保有するすべての情報資産を対象としている点が特徴です。両者の相違点をまとめると下記のようになります。
| 項目 | Pマーク | ISMS認証 |
|---|---|---|
| 対象 | 個人情報のみ | すべての情報資産(個人情報や技術情報、機密情報など) |
| 適用範囲 | 法人全体 | 法人単位だけでなく、事業所・部門・プロジェクト単位でも可能 |
| 海外でのアピール力 | 日本独自の規格のため海外でのアピール力は弱い | 国際規格のため海外でのアピール力は強い |
| 有効期間 | 2年間(2年ごとに更新審査あり) | 3年間(認証取得後は年1回以上の維持審査と3年ごとの再認証審査あり) |
Pマークは取り消しの可能性がある
Pマーク制度では、個人情報の不適切な取り扱いが確認された場合には、取り消される可能性があります。例えば、下記のような事実が発覚した場合は、取り消しの対象です。
- Pマークの取り消し対象になり得る行為
-
- 個人情報の漏洩
- 取得目的を超えた個人情報の利用
- 個人情報保護法などの法令違反
これらの行為が、意図的ではなく過失によって発生した場合でも取り消しの対象になることがあります。
Pマークが取り消された場合、その事実はJIPDECのWebサイト上で公表されるため、企業の社会的信用に影響を及ぼしかねません。また、取り消しがあった場合はすぐにPマークの再取得はできず、原則として1年間は申請を待つ必要があります。
このようなリスクを避けるためには、取得後もPMSを形式的に運用するのではなく、継続的に見直しと改善を行い、個人情報を適切に管理し続けることが重要です。Pマークは取得すること自体が目的ではなく、運用を継続することが求められる認証制度である点を理解しておかなければなりません。
Pマークの有効期間
Pマークには2年間の有効期間が定められています。有効期間中は、取得時に構築したPMSが正しく運用されている状態を維持し続けなければなりません。取得後も、社内教育の実施や運用記録の作成、ルールの見直しなどを継続的に行うことが求められます。
有効期間が満了する前には、Pマークの更新手続きが必要です。更新時にも書類審査や現地審査が実施され、PMSが引き続き要求事項を満たしているかが確認されます。そのため、更新であっても初回取得時と同様に、数か月にわたる審査を見越して計画的な準備をしましょう。
申請が遅れると有効期限切れとなり、Pマークを使用できなくなる可能性があります。こうした事態を防ぐためにも、有効期間を把握した上で、期間内に審査が完了するよう余裕を持ったスケジュールを組むことが重要です。
Pマークを取得できない企業
Pマークの取得制度では、申請そのものが認められない欠格事由が定められています。そのため、Pマーク取得を検討する際には、自社が申請可能な対象であるかを事前に確認しておくことが重要です。主な欠格事由の例は、下記の通りです。
- Pマークの主な欠格事由
-
- 日本国内に営業所や事業拠点を持たない外国企業
- 企業の役員に、個人情報保護法などの法令違反により刑罰を受けた者がいる場合や、反社会的勢力との関係が認められる場合
- 性風俗関連事業を営む企業である場合
これらの欠格事由に該当している場合、PMSを構築していても申請ができないため注意しなければなりません。Pマーク取得を円滑に進めるためにも、事前に自社の状況を整理し、欠格事由に該当しないことを確認した上で準備を進めましょう。
Pマークを自力で取得するメリット
Pマークの取得は、コンサルティング会社に依頼して進める方法がありますが、それ以外にも社内で対応しながら自力で取得することも可能です。下記では、Pマークを自力で取得する場合の主なメリットについて解説します。
| 項目 | 概要 |
|---|---|
| PMSへの理解と定着が進む | 自社で調査や検討を行いながらPMSを構築していくため、必要な規程の内容やその背景を含めて理解できるようになり、PMSの運用が形骸化しにくくなる |
| コストを抑えられる | コンサルティング会社に依頼する場合、PMS構築支援や申請サポートなどに対する報酬が発生するが、自力で取得する場合はこれらの費用が不要になる |
PMSへの理解と定着が進む
Pマークを自力で取得することで、PMSへの理解と社内への定着が進みやすくなるというメリットがあります。自社で調査や検討を行いながらPMSを構築していくため、必要な規程の内容やその背景を含めて理解できるようになり、PMSの運用が形骸化しにくくなります。
また、PMSを自社の業務フローに即した形で整備することになるため、日常業務の中で実践しやすい方法で無理なく運用を継続することも可能です。深い理解の下に運用を進められるようになると、PMSの継続的な改善も行いやすくなります。
加えて、Pマークの審査時のヒアリングでも、自社でPMSを構築・運用していることで内容を正確に説明しやすくなるでしょう。指摘事項が出た場合でも、外部に頼らず自社で是正措置を検討・実施できるようになるため、審査対応の面でも強みとなります。
コストを抑えられる
Pマークを自力で取得することで、取得にかかるコストを抑えられる点もメリットです。
コンサルティング会社に依頼する場合、PMS構築支援や申請サポートなどに対する報酬が発生しますが、自力で取得する場合はこれらの費用が不要となります。自社で対応する場合に必要となる主な費用は、申請料や審査料といった認証取得に直接かかる費用と、社内担当者の人件費のみです。自社で対応すれば、外部への委託費用を抑えながらPマーク取得を目指すことが可能になります。
Pマークを自力で取得するデメリット
Pマークを自力で取得する方法にはメリットがある一方で、デメリットにも注意しなければなりません。下記では、Pマークを自力で取得する際に考慮しておきたい主なデメリットについて解説します。
| 項目 | 概要 |
|---|---|
| 時間と労力がかかる | PMSの構築や文書作成、社内教育、運用記録の作成、内部監査の実施など対応すべき工程が多く、自社にノウハウがない場合は各工程に想定以上の時間がかかりかねない |
| Pマークの取得要件を満たせない可能性がある | スケジュール管理の失敗や知識不足により、審査時点で要求事項を満たしたPMSが構築できないケースもある |
時間と労力がかかる
Pマークを自力で取得する場合、取得までに多くの時間と労力がかかる点がデメリットです。
Pマーク取得では、PMSの構築や文書作成、社内教育、運用記録の作成、内部監査の実施など対応すべき工程が多く、自社にノウハウがない場合は各工程に想定以上の時間がかかるかもしれません。特に、関連法令やJIS Q 15001の要求事項を理解しながら進める必要があるため、情報収集や内容の確認に多くの工数が必要です。その結果、通常業務と並行して対応する担当者の負担が大きくなり、他の業務を圧迫してしまう可能性もあります。
一方、コンサルティング会社はPマーク取得のノウハウを有しているため、依頼すれば作業の効率化やスケジュールの短縮が期待できます。自力取得を選択する場合は、社内リソースや対応可能な工数を踏まえた上で、無理のない計画を立てることが重要です。
Pマークの取得要件を満たせない可能性がある
Pマークを自力で取得する場合、最終的に取得要件を満たせず、不合格となる可能性がある点もデメリットです。スケジュール管理の失敗や知識不足により、審査時点で要求事項を満たしたPMSが構築できないケースも少なくありません。
Pマークの取得には、「個人情報保護法をはじめとする関連法令」「個人情報保護委員会の各種ガイドライン」「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」といった、専門的かつ幅広い知識が必要となります。これらを正確に理解できていない場合、形式的には整っていても、実態として不十分なPMSとなってしまう可能性があります。
構築したPMSが取得要件を満たしていないと判断された場合、審査に不合格となり、やり直しが必要です。再チャレンジは可能ですが、その分取得までの期間が延び、結果的にコストや担当者の負担が増大する点に注意しなければなりません。
条件や流れを把握して、Pマークを取得しよう
個人情報の取り扱いに対する姿勢が問われる今、企業には個人情報のセキュリティ対策に関する方針の表明と実践が求められています。Pマークを取得すれば、個人情報保護体制のレベルの高さを証明することが可能です。取引先や顧客との信頼関係の構築、取引や入札の優位性の獲得などのためにも、できるだけ早くPマークを取得して、社内の体制を万全にしておきましょう。
しかし、Pマークの取得までには様々な手続きが必要で、体制の構築や書類の準備にかなりの時間と労力がかかります。特に、情報セキュリティ対策の構築と運用を手作業で行うと膨大な時間がかかるため、個人情報を効率的に管理できるIT資産管理ツールを導入してはいかがでしょうか。
インターコムが提供する情報漏洩対策・IT資産管理ツール「MaLion」シリーズでは、個人情報検出・管理システムと連携することで社内に散在している個人情報を検出し、検出した個人情報に対するアクセスを管理・制御できるため、PMSに求められている個人情報の特定やリスクへの対策に必要な機能が搭載されています。Pマーク取得を効率的に進めたい方は、ぜひご検討ください。
