プライバシーマークの取得条件は？準備すべき体制・書類・注意点を解説

Pマーク取得に必要な条件一覧

プライバシーマークの申請に際して必ず満たすべき条件を一覧で整理しました。以下の各項目はクリックで詳細へジャンプできます。

Pマーク取得に必要な条件を理解する

1. 対象となる事業者（対象企業）

まず、Pマークを取得できるのは、以下の条件を満たす事業者です。

• 日本国内に本社または主たる事業所を持つ法人であること。
  個人事業主や法人格を持たない任意団体は、原則として対象外です。Pマーク取得を目指す場合は、まず法人化を検討する必要があります。
• 代表者を含めて、従業員が2名以上在籍していること。
  Pマークは組織的な取り組みを評価するため、一定の組織規模が求められます。
• 個人情報保護マネジメントシステム（PMS）を構築し、運用していること。
  PMSとは、個人情報を適切に管理するための組織的な仕組みのことです。

申請時には、PMSの運用実績を示す記録や規程類の提出が求められます。そのため、マネジメントシステムの原則に基づき、計画（Plan）・実施（Do）・点検および評価（Check）・改善（Act）というPDCAサイクルを、少なくとも1回以上実行しておく必要があります。

医療法人・学校法人などの特例

医療法人の場合

医療法人に属する病院であっても、次のすべての条件を満たす場合には、個別の病院単位でプライバシーマークの付与対象として認められます。

• 医療法人等を構成している病院組織であること
• その病院の運営権限を委ねられた病院長が存在すること
• 複数の病院組織が地域的に分散して運営されていること

学校法人の場合

学校法人が複数の学校を運営している場合でも、次のすべての条件を満たせば、一つの学校単位でプライバシーマークの取得対象として扱われます。

• 学校法人等を構成している学校であること
• その学校の運営権限を有する学校長が存在すること
• 各学校が学校種別（例：小学校、中学校、高校など）で異なり、個人情報の取扱いについて独立して運営されていること

2. 対象外となる企業（申請不可）

以下のような場合、Pマークの申請を行うことはできません。

• 反社会的勢力と関係があると見なされる企業
• 個人情報保護法や労働基準法などの法令に関して重大な違反歴がある、またはその他の不祥事等で社会的信用を著しく失っている企業
• 過去にPマークを取得し、その認定が取り消された経歴がある企業（一定期間）

また、法人格を有さないフリーランスや任意団体は対象外とされています。認定を目指すには、まず組織としての法的整備が必要です。

3. 必要な社内体制・管理体制の整備

Pマークを取得するには、個人情報を適切に管理・保護するための社内体制が整備されている必要があります。

個人情報保護管理者（PMS管理者）の任命

社内の個人情報保護に関する活動全般の責任者として「個人情報保護管理者（PMS管理者）」を任命する必要があります。この管理者は、PMSの構築・運用、従業員への教育、内部監査の実施、そして審査機関との窓口対応など、多岐にわたる役割を担います。

一般的には、個人情報保護に関する意思決定権限を持つ取締役や部門長などが任命されることが望ましいとされています。

個人情報保護に関する役割・責任の明確化

個人情報保護管理者のほか、監査責任者や各部門での担当者など、個人情報保護に関わるメンバーの役割と責任を明確に定めておく必要があります。

従業員への教育・周知

全従業員（役員、正社員、契約社員、派遣社員、アルバイトなど、個人情報を取り扱う可能性のあるすべての人）に対して、個人情報保護の重要性や社内ルールに関する教育を定期的に（通常は年1回以上）実施し、その内容を周知徹底する必要があります。

4. 必要な規程・書類の整備

Pマーク（JIS Q 15001）が要求する事項について、組織としての方針、ルール、手順、責任体制などが文書として具体的に定められ、記録として残されている状態を指します。口頭での指示や暗黙の了解だけでは不十分です。

具体的には、以下のような文書・記録を準備し、整理しておく必要があります。

規程類

• 個人情報保護方針
• PMSに関する内部規程（基本規程、安全管理規程、教育規程、監査規程など）
• 各種業務手順書、マニュアル

必須提出書類

任意提出書類

^{参照：一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター（https://privacymark.jp/p-application/new/e-app/index.html）}

書類のアクセス権限と保管場所

これらの文書や記録は、必要な担当者がいつでも参照・利用できる状態で、かつ権限のない者からは保護された状態で保管されている必要があります。

• 保管場所: ファイルサーバー上の共有フォルダ、文書管理システム、施錠可能なキャビネットなどが考えられます。媒体（紙、電子データ）に応じた適切な場所を選びます。
• アクセス権限:
  • 全従業員が閲覧すべき文書: 個人情報保護方針や一般的な社内ルールは、イントラネットや共有フォルダなどを利用し、全従業員が容易にアクセスできるようにします。
  • 特定の担当者のみがアクセスすべき文書・記録: 機密性の高い情報は、アクセス権限を設定し、関係者以外が閲覧・編集できないように管理します。
  • 顧客が閲覧するもの: 個人情報保護方針（プライバシーポリシー）は、ウェブサイト等で公開します。
• 版数管理: 常に最新版が利用されるように版数管理を行い、旧版と区別できるようにしておく必要があります。

コンサルタントへの相談は必要？

自社だけでこれらの文書・記録をすべて整備し、体制を構築するのは、特に初めてPマークを取得する場合、大きな負担となることがあります。以下のような場合は、専門のコンサルタントに相談することを検討する価値があります。

• 何から手をつければ良いか分からない。
• 社内にPマークや情報セキュリティに詳しい人材がいない。
• 通常業務が忙しく、Pマーク取得に十分なリソースを割けない。
• 審査にスムーズに合格したい。

ただし、重要なのは、コンサルタントに丸投げするのではなく、主体的に取り組み、自社に合ったPMSを構築・運用することです。

5. 運用状況の実績

Pマーク審査では、書類が整備されていること（形式）だけでなく、その規程やマニュアルが実際に社内で運用され、個人情報保護が実践されているか（実質）が重視されます。

• PDCAサイクルの実施: PMSの要求事項に基づき、計画（Plan）、実施（Do）、点検（Check）、改善（Act）のサイクルが実際に回っている証拠が必要です。
• 従業員の理解と日常業務への定着: 審査では、従業員へのヒアリングなどを通じて、社内ルールが正しく理解され、日常業務の中で実践されているかどうかも確認されます。

Pマーク取得準備はまず何から始める？現状把握と計画立案の具体的なステップ

Pマーク取得は、しっかりとした準備と計画が成功の鍵を握ります。特に重要なのが、準備の第一歩となる「自社の現状把握」と「推進体制・スケジュールの検討」です。

このステップを丁寧に行うことで、その後のPMS（個人情報保護マネジメントシステム）構築や審査対応がスムーズに進みます。ここでは、具体的な進め方を3つのステップに分けて解説します。

ステップ1：自社の現状を把握する ～個人情報とルールを洗い出す～

まず、自社が現在どのように個人情報を取り扱い、どのようなルールや対策が存在するのかを正確に把握することから始めます。

1. 取り扱っている個人情報の洗い出し

「どこで」「誰の」「どんな個人情報」を「何のために」「どのように」扱っているかを明らかにします。

方法:

• 各部署の担当者へのヒアリングやアンケート調査
• 業務マニュアル、契約書、申込書などの関連書類の確認
• 利用している業務システムやデータベースの確認

洗い出す項目例:

• 部署名: 営業部、人事部、マーケティング部など
• 個人情報の種類: 氏名、住所、電話番号、メールアドレス、顧客ID、購買履歴、従業員情報（基本情報、評価、給与）、採用応募者の情報など
• 取得方法: Webフォーム、申込書（紙）、名刺、アンケート、電話など
• 利用目的: 商品発送、サービス提供、問い合わせ対応、メールマガジン配信、採用選考、給与計算など
• 保管場所・媒体: 社内サーバー、クラウドサービス、PCローカル、紙のファイルなど
• アクセス権: 誰がその情報にアクセスできるか
• 委託の有無: 外部業者に処理を委託しているか（例：DM発送業者、給与計算代行）

2. 既存のルールとセキュリティ対策の確認

現在、個人情報の取り扱いに関してどのような社内ルールが存在し、どのような安全管理措置（セキュリティ対策）が講じられているかを確認します。

確認項目例:

• 個人情報に関する社内規程やマニュアルの有無と内容
• 従業員への教育は実施されているか
• 入退室管理、書類の施錠保管などの物理的な対策
• PCのパスワード設定、ウイルス対策ソフト導入、アクセス権限管理などの技術的な対策
• 委託先との契約内容（個人情報保護に関する取り決めがあるか）

この段階では、完璧なリストアップを目指す必要はありません。まずは大まかに全体像を掴むことが目的です。洗い出した結果は、後のPMS構築やリスク分析の基礎となります。

ステップ2：推進体制を決める ～誰が中心となって進めるか～

Pマーク取得は、特定の担当者だけではなく、全社的に取り組むプロジェクトです。誰が責任を持ち、どのように連携して進めていくのか、体制を明確にします。

主な役割:

• 推進責任者（個人情報保護管理者候補）: プロジェクト全体の責任者。経営層に近い立場の人が望ましい。PMS構築・運用の中心となる。
• 推進担当者/事務局: 責任者の指示のもと、実務作業（文書作成、各部署との調整、審査対応など）を行う。
• 各部門の協力者: 各部署の実務担当者。自部門の個人情報の洗い出しやルール策定に協力する。

体制の決定:

• 上記の役割を誰が担うか決定し、任命します。
• 関係者が明確になるように、体制図を作成すると分かりやすいでしょう。
• 経営層を含め、全社的に協力体制を構築することが重要です。

ステップ3：スケジュールと費用を見積もる ～現実的な計画を立てる～

Pマーク取得には、一定の時間と費用がかかります。大まかなスケジュールと必要な費用を把握し、現実的な計画を立てます。

1. スケジュールの概算

• 一般的な取得期間: 準備開始から取得まで、一般的に6ヶ月～1年程度かかると言われています。企業の規模や準備状況によって変動します。
• 主なフェーズ:
  • 準備期間（PMS構築・運用）： 3ヶ月～6ヶ月以上（現状把握、規程作成、従業員教育、内部監査、見直しなど）
  • 申請： 書類準備と提出
  • 審査期間（書面審査・現地審査）： 2ヶ月～4ヶ月程度
  • 是正処置期間（指摘があった場合）： 1ヶ月～3ヶ月程度
  • 認定・付与： 審査完了後
• 計画作成: 各フェーズにどれくらいの期間を割り当てるか、大まかなスケジュール案を作成するとスムーズに取得できるでしょう。

2. 費用感の目安

• 審査費用（JIPDEC等に支払う審査料）: 中小企業で30〜60万円程度（※事業者規模による）
• コンサル費用（外部支援を活用する場合）: 30〜80万円が相場

^{参照：一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター（https://privacymark.jp/p-application/cost/index.html）}

プライバシーマーク審査の流れ・チェック項目

Pマークの審査は、大きく分けて「書面審査」と「現地審査」の2段階で行われます。

1. 書面審査（一次審査）

申請書類（申請書、PMS文書、運用記録など）を審査機関に提出し、文書レベルで要求事項を満たしているかを確認されます。体制・ルール・記録の整合性などが重点的に確認されます。

2. 現地審査（訪問審査・二次審査）

審査員が実際に事業所を訪問し、規程通りにPMSが運用されているか、従業員がルールを理解し遵守しているかなどを確認します。トップインタビューや現場担当者へのヒアリング、文書・記録の原本確認、現場視察などが行われます。

3. 指摘事項への是正措置

審査後、指摘された不備（不適合）に対して、原因分析、是正処置、再発防止策を記載した「是正報告書」を提出する必要があります。提出期限は指摘事項文書受領後、原則3か月以内です。

4. 認定・付与

是正報告が承認されると、Pマークが付与されます。有効期間は2年間で、定期的な更新が必要です。

プライバシーマーク申請時に陥りがちな注意点

よくある不備や指摘事項

• 教育記録が不十分: 記録（参加者・日付・内容・理解度確認など）がなければ評価されません。全対象者の受講が必要です。
• 内部監査が形式的、または記録不備: 実質的な監査と改善、関連記録（計画、チェックリスト、報告書、是正記録）が必要です。
• リスク分析が不十分・形骸化: 定期的な見直しと、実態に合ったリスク評価・対策が必要です。
• 委託先管理の不備: 適切な選定・契約（必要条項を含む）・監督の実績が必要です。
• 安全管理措置の形骸化・陳腐化: 技術的・物理的対策が規程通り実施され、最新の状態に保たれているか確認されます。
• 運用と文書（規程）の不一致: マニュアルと現場の対応が食い違っていると信頼性に欠けると見なされます。
• 個人情報管理台帳の更新漏れ: 常に最新の状態に維持されている必要があります。

まとめ

プライバシーマークの取得は、単なる書類申請ではなく、社内の個人情報保護体制全体を見直す良い機会です。必要な社内体制・文書整備・教育・監査などを一つひとつ丁寧に構築・運用することで、審査の通過率は格段に高まります。

また、Pマークは取得した後にも、企業の信頼性向上・取引先の拡大・新規ビジネス機会の創出といったポジティブな効果をもたらします。ぜひ本記事を参考に、社内体制の見直しと準備を一歩踏み出してください。