Pマーク取得までの全体像
Pマークの取得(付与)まで、大まかに以下のステップが必要です。
- PMS構築と運用
- 見積~審査機関との契約、審査申請
- 形式審査
- 文書審査
- 現地審査
- 改善(是正)
- 付与適格性の有無の決定/通知
- JIPDECとのPマーク付与契約
- Pマーク付与
本ページでは、申請~Pマーク付与までの流れを説明します。
PMS構築については構築ガイドの説明を参照してください。
全体スケジュール
SecureNaviでのPMS構築取り組み開始からPマーク取得まで、最短で6か月で取得は可能ですが、見積~契約や実際の審査のスケジュールを抑えるなどでリードタイムが発生します。考慮の上で全体の日程を計画しましょう。場合によっては審査申請を行ってからPマーク付与までに平均4か月~半年程度かかる可能性があります。(ご参考:JIPDECへ申請する場合のモデルスケジュール)
申請
協会への入会が事前に必要なケースがあり、協会の入会審査等が発生する可能性があります。期間や費用に影響しますので、早めに審査機関とスケジュール感をご確認いただくことをおすすめします。
各機関で審査可能な事業者の種類や拠点の場所が決まっています。詳しくはJIPDECの申請先についての情報をご確認下さい。
形式審査
審査書類自体に不備がないかのチェックです。メールや電話、郵送等にて確認されます。この段階では不備があったら都度対応すれば問題なく、「不適合」の指摘にはなりません。
文書審査
申請時に提出したPMS文書(規程類や方針、様式など)が、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に適合しているかの審査です。審査員側での机上チェックが行われ、審査結果は報告書の形式で返却されます。報告書と合わせて現地審査の計画が送られてきます。
現地審査
自社拠点に審査員が来訪し、インタビューや現地確認による審査が行われます。
受審側の参加者
- トップマネジメント
- 個人情報保護管理者
審査計画書にて他の役割担当者の出席が指定される場合がありますので、事前に審査機関に確認しましょう。なお、自社と雇用関係にない人や実際の勤務の実績がない人(コンサルタント等)についてはPマーク審査の立ち合いは許可されません。
当日の流れ
- オープニング
両社担当者の自己紹介、審査計画書の認識合わせ、当日の流れの説明
文書審査の振り返り - トップインタビュー
想定問答集参照 - 業務ヒアリング
- 個人情報を取得してからのライフサイクルの確認
- PMS構築状況の確認
- 供給者管理の確認
- 法規制管理の確認
- インシデント発生状況の確認
- 内部監査、マネジメントレビューの結果の確認
- 部門インタビュー
- 想定問答集「Pマーク-現地審査 運用状況のヒアリング・サイトツアーに向けての準備」参照
- FAQ「定めたルールは、審査時にどれくらいの粒度で確認されるか?」参照
- その他、「インシデントの証拠となるようなログは記録して保管する」というリスク対応がある場合は、ログの提示を求められる場合がある
- サイトレビュー(サイトツアー)
- 拠点独自の資産や人員がいる場合は、リスク対応や教育についてインタビューもある
例えば「顧客データの保存期間が1か月」に対して、ファイルへのラベル付けやキャビネットの識別性により、取り違えや廃棄漏れなどが発生しないようになっているかなど - 総観的にオフィスレイアウトの確認
- 入口のセキュリティ(カード貸与、指紋認証、選別対象者、入退室管理方法)
- オフィススペース、監視カメラ、宅配便受け取り場所、鍵付きロッカー(中を見る場合もある)、消火器
- 通常業務の様子、PCをのぞき見できる場所か、書類置き場、ホワイトボード
- サーバ機器、WifiなどNW機器(ただしサーバルームは管理会社の許可が必要など、契約上見せられない場合はスルーでOK)
- 什器、OA機器(複合機、PC、シュレッダー)
- 拠点独自の資産や人員がいる場合は、リスク対応や教育についてインタビューもある
- クロージング
不適合の有無と、不適合の予定がある場合の質疑。不適合がある場合は是正計画の提出指示。3ヶ月以内の改善実施・報告が必要。
改善
不適合指摘について、3ヶ月以内の改善および審査機関への改善報告が必要です。メール、郵送等での文書ベースでのやり取りが主です。改善報告の結果、不適合がなくなったと判断された後、付与適正決定審査会への推薦が行われます。
付与適格性の有無の決定/通知
毎月の審査会でPマーク付与について最終決定が下され、プライバシーマーク付与適格性審査結果が通知されます。
JIPDECとのPマーク付与契約
Pマーク付与が決定した後、JIPDECとPマーク付与契約を締結します。
Pマーク付与
Pマーク付与契約締結完了日からPマーク取得扱いとなり、Pマークを利用できるようになります。