プライバシーマーク認定

プライバシーマーク認定とは何のための制度か

プライバシーマーク（Pマーク）は、個人情報保護法と日本産業規格「JIS Q 15001（個人情報保護マネジメントシステム＝PMS）」への適合性を、第三者機関が審査して付与する認定制度です。所管は経済産業省ですが、実際の審査・付与は一般財団法人日本情報経済社会推進協会（JIPDEC）および各業界の指定審査機関が行います。

取得対象は、自社で個人情報を取り扱う日本国内の事業者。特に人材紹介、コールセンター、BPO、Web制作・通販、教育、保険代理店など、取引先から「Pマーク取得が入札・取引の前提条件」とされる業態で必要になります。法律上の義務ではなく、あくまで信頼性を示す任意認定である点が、営業許可型の許認可と決定的に異なります。

取得の必須要件（仕組みを作ることが核心）

Pマークは「セキュリティ設備があるか」ではなく「PMSという仕組みが組織に根付いているか」を見ます。具体的には次の整備が必須です。

• 個人情報保護方針の策定・公表
• 取り扱う個人情報の特定と「個人情報管理台帳」の作成
• リスク分析と安全管理措置（物理的・技術的・人的）の文書化
• 個人情報保護管理者・監査責任者の任命（兼任は可だが管理者と監査責任者は分ける）
• 全従業者への教育の実施記録
• 内部監査と代表者による見直し（マネジメントレビュー）

重要なのは、申請時点で「PMSを一巡（教育→運用→内部監査→見直し）させた実績」が求められること。仕組みを作っただけでは足りず、運用の証跡が要ります。準備に半年前後を見込むのが現実的です。

申請の流れ

1. JIS Q 15001 に基づくPMS構築・文書整備 2. 全社運用と従業者教育の実施 3. 内部監査・マネジメントレビューの実施 4. 申請書類一式をJIPDEC（または指定機関）へ提出 5. 形式審査（文書審査）→ 現地審査 6. 指摘事項への改善報告 7. 付与適格決定・契約・付与

初回は文書審査と現地審査の両方があり、申請から付与まで通常6〜8か月程度かかります。

費用の内訳

費用は事業者規模（小規模・中規模・大規模）で変動します。目安は申請料・審査料・付与登録料の合計で、小規模で20万円前後、中〜大規模で数十万〜120万円程度。これは2年ごとの更新でも同様に発生します。加えて、コンサルティングを使う場合の支援料（数十万円〜）が別途かかる点に注意してください。

よくある差し戻し・不適合の理由

• 管理台帳と実際の保有データが一致していない（棚卸し漏れ）
• 委託先の監督が文書だけで、実質的な確認をしていない
• 教育・内部監査の記録が形骸化・未実施
• 利用目的の特定が曖昧、または同意取得のフローが不備
• 退職者のアクセス権削除など、人的安全管理措置の運用漏れ

審査は「書類が揃っているか」より「運用が回っているか」を重視するため、形式だけ整えた申請は現地審査で不適合になりやすい傾向があります。

更新・変更時の注意

Pマークは2年ごとの更新審査が必須で、更新でも審査料が発生します。事業内容の変更、取り扱う個人情報の範囲拡大、合併・分社などがあった場合は、台帳とPMS文書の改訂が必要です。更新時に「2年間の運用実績」を問われるため、付与後も内部監査・教育・台帳更新を継続することが、認定維持の前提になります。

関連・付随する制度

外部送信規律やクラウド利用が絡む場合は個人情報保護法本体の対応も並行して必要です。情報セキュリティ全般を対外的に示すなら ISMS（ISO/IEC 27001）認証が選択肢となり、Pマークと併用する企業も少なくありません。取引先がどちらを要求しているかを先に確認してから、取得対象を決めるとよいでしょう。