プライバシーマーク取得方法・費用は?

プライバシーマークを取得方法は? Pマーク取得するには?

 プライバシーマークを取得するためには、日本工業規格(JIS)の中のひとつである、【JIS Q 15001 個人情報保護マネジメントシステム-要求事項】という規格に適合した、個人情報保護マネジメントシステムを構築し、運用していることが大前提となります。つまり、その規格に基づき、個人情報について適切な保護措置を講ずる体制を整備する。体制の整備とは、個人情報を保護するルール作りをして、実践していく事です。

 個人情報を保護するための計画、その実施および運用、そのチェック・見直しを行ない、その結果を審査機関に申請し、自社の個人情報保護体制に問題が無いか、JIS規格に適合しているか審査を受けます。

 審査は書類審査と現地審査が行われます。書類審査は提出した書類についてチェックされます。

 現地審査は、審査員が2名現場に来て、記録類のチェック、担当者へのヒアリング、現場視察を行ないます。

 審査で、100点満点という事はなく、何かしら改善すべき点(指摘事項)を告げられます。

 その指摘に対してを是正・改善をし審査員に報告して合格となれば、認定取得ということになります


プライバシーマーク(Pマーク)取得までの流れ(ステップと作業項目)

  ステップ1(組織編成・個人情報保護方針策定・計画)
  ・個人情報を保護する為の組織を編成し各責任者を決めます。
  ・自社の事業内容を考慮し、個人情報保護方針を決めます。
  ・申請・取得までのどのように進めるか、作業計画を決めます。

  ステップ2(個人情報の洗い出し)
  ・会社で取り扱う個人情報をすべて洗い出します。
  ・どんな個人情報を、どんな目的で、どのように入手して、利用し保管するのかを調査します。
  ・洗い出した個人情報を台帳にまとめます。

  ステップ3(リスク分析)
  ・台帳にまとめた、自社で扱う各個人情報のリスクを分析し、個人情報の漏洩防止対策案を検討します。

  ステップ4規程文書策定)
  ・JISの規格に沿って個人情報保護マネジメントシステム文書を策定していきます。

  ステップ5(教育)
  ・全従業員に個人情報保護教育を行います(テストなどを実施し理解度も確認します)

  ステップ6(試行運用)
  ・実際に運用して、作業者の負担度合いなどを考慮し必要があれば見直します。
  ・試行運用は1ヶ月程度行います。

  ステップ7(監査)
  ・内部監査を実施して、JIS規格との適合性と実際に行った運用状況のチェックします。
  ・問題の合った点については是正します。

  ステップ8(申請)
  ・申請書類を作成し認定期間へ申請します。

  ステップ9(書類審査)
  ・申請した書類の審査が行なわれます。その際に書類の内容に不適合があれば指摘を受けます。

  ステップ10(現地審査)
  ・申請の約1~2ヵ月後に現地審査が行なわれますので、審査に備え準備を行います。。
  ・審査当日は代表者のインタビューから始まり、5~7時間かかります。(審査員2名で審査は行われます)

  ステップ11(指摘事項対応)
  ・審査結果(指摘事項)は約1週間後に書面で送られますが、100点満点で一発合格ということはなく、審査員から指摘を受けた
  項目について、改善・是正して、その結果を報告します。
  ・審査員との指摘事項の改善・是正についてのやり取りは、合格が出るまで繰り返し行います。
  つまり、最後の指摘が少なく軽ければ早くスムーズに進みますが、逆に多くの指摘を受けてしまうと、審査員とのやり取りに時間がかかり、
  ずるずると長期化を招くことになります。

  ステップ12(審査会)
  ・指摘事項の是正が全て終了し、最終の審査会で合格となれば認定となります。 そして、プライバシーマークの使用許諾契約を
  結ぶことになります。

 
  ※規定文書とは、規程・規則・要領の総称です。
  ※運用書式とは、手続き様式・記録書式・契約雛形の総称です。

  ※上記はプライバシーマーク認証取得に必要な要件のうち、主要なものの内容を表示しています。


プライバシーマーク(Pマーク)申請・審査等の費用は?

 プライバシーマークを取得するための費用として、まず認定機関への申請・審査・マーク使用についての料金が発生します。それぞれは一括で請求されるのではなく、その申請後・審査後・認定後などの過程ごとに請求されます 。

参考 プライバシーマーク審査機関へ支払う費用プライバシーマーク取得 費用

  ※事業規模区分説明
  【小売業】
 小規模 : 従業者数 2~5人
 中規模 : 資本金の額又は出資の総額が5千万円以下 又は従業者数 6~50人
 大規模 : 資本金の額又は出資の総額が5千万円超かつ 従業者数51人以上
  【サービス業】
 小規模 : 従業者数 2~5人
 中規模 : 資本金の額又は出資の総額が5千万円以下 又は従業者数 6~100人
 大規模 : 資本金の額又は出資の総額が5千万円超かつ 従業者数101人以上
  【卸売業】
 小規模 : 従業者数 2~5人
 中規模 : 資本金の額又は出資の総額が1億円以下 又は従業者数 6~100人
 大規模 : 資本金の額又は出資の総額が1億円超かつ 従業者数101人以上
  【製造業・その他】
 小規模 : 従業者数 2~20人
 中規模 : 資本金の額又は出資の総額が3億円以下 又は従業者数 21~300人
 大規模 : 資本金の額又は出資の総額が3億円超かつ 従業者数301人以上

コンサルティング会社に支援を依頼した場合の費用

 プライバシーマーク新規取得のコンサルティング料はコンサル会社によりますが、中には100万~200万円程度の高額な見積もりを出しているところもあるようですし、逆に心配になるくらいのすごく安価な見積もりをするところもあるようです。取得したいという企業の規模(従業員数・拠点数・扱っている個人情報の種類や件数)、取組体制(進め方、他業務とのバランス、過去の経験)などかなりばらつきはありますが、一般的にはおおよそ40~80万円程度でスタートから認定取得の最後までのフルサポートといわれています。

 高いから良い・安いからダメとはっきりは言えないですが、基本的には安かろう悪かろうという傾向です。逆の100万円以上の高すぎる見積もりは「その金額であればいやってもいいよ」というスタンスの会社でプライバシーマークのコンサルは主力の業務ではないため、ほとんど実績も無いので、その価格相応の品質の高いサポートが受けられるのか疑問が残ります。

 また同じ金額であっても、細かな点で同じ支援内容でない場合もあります。プライバシーマークの取得は、通常の業務に影響を及ぼす大きな作業負担がかかるため、その負担を軽減しスムーズに進めるために、コンサルティング会社を利用するケースがほとんどですから、価格だけで比較するのではなく、適正な価格はもちろんこと、いろいろ説明したり、相談したりして、自社の状況に合ったプラン・スケジュールでしっかり最後まで対応してくれる経験豊富なコンサルティング会社を選択してください。下記のポイントも参考にして下さい。


 プライバシーマークコンサルティング会社を選ぶ時のポイント


 ◆ コンサルティング会社にどんな事を望みますか?

 ・プライバシーマーク取得作業の効率を上げ、短期で取得したい・・・
 ・専門家のアドバイスをしっかり受けて、安心して作業したい・・・
 ・文書作成のコツや審査対応など実際の(生の)情報を知りたい・・・
 ・通常業務との兼務で進めていく為、また担当者一人で進めていくので協力が欲しい・・・ 
 ・ただ取得するだけではなく、取得後自分たちでしっかり運用が続けられるような指導を受けたい・・・・ など
 これから選ぼうとしているコンサルティング会社は、その望みを理解してくれる会社ですか?


 ◆ コンサルティング会社を選ぶならやはり専門!

 プライバシーマークの コンサルティング会社といっても、それぞれ違いや特徴があります。下記のようなコンサルティング会社は、経験・実績もあり、プライバシーマークについて専門的なコンサルティング会社だと判断できます。

 ・外部のコンサルタントを利用していない会社(コンサルタントは自社スタッフのみ)
 ・他のISOなどの認証制度ではなく、プライバシーマークの支援をメインの業務にしているコンサルティング会社
 ・営業的な集客するだけのセミナーではなく、身に付いて実践できるセミナーを行っている会社
 ・コンサル会社自体がプライバシーマークを取得している会社。
 ・苦労する部分・手間のかかる部分を隠さずしっかり説明し、そのフォロー・サポートをしっかり行ってくれる会社


  ◆ 支援内容も、同じように見えても、大きな違いがあります。
 例えば見積りなどの項目に「○○○支援」というような表現で記載されていたとしても、実際の支援内容・範囲は各社違う場合があります。
 詳しい説明が無かった場合は下記の中で重要と思われるポイントは必ず確認してください。

 ・解説や資料提供だけではなく、記載見本の提供・質疑応答・作成したもののチェックなど、担当者の負担を軽減するような工夫や配慮など
 ・コンサルタントと担当者の分担具合や、その中で担当者が行なう作業のおおよそのボリュームや時間など。
 ・決まったプランだけでなく、臨機応変にカスタマイズなど調整が出来るかどうか。
 ・訪問回数や電話・メールでの質問回数などの制限や条件が明確になっているか。
 ・規定などの文書構成がコンパクトでわかりやすく、使いやすいかどうか。
  ※そのコンサルの文書が御社がこれからずっと使用する文書の基本になるのでとても重要です。
 ・短期取得などをうたっている場合、実際の事例があるか。またそのスケジュールに無理が無いか。
 ・○○代行のような表記は一見コンサルタントがやってくれ、楽で親切のような気もしますが、実際に自分たちで体験しておくべき事のほ
  うが多いのが事実です。何でもやってくれるのではなく、その体験すべきことをしっかりフォローしてくれるかが重要です。
 ・コンサル費用が安くても、その分担当者やかかわる方の作業が増えれば、長期化や人件費が増加する恐れもあります。そのあたりのバラ
  ンスを考えると、専門家をつけスムーズに取得することは、結果的に割安になるケースがほとんどです。

 プライバシーマーク取得コンサルティングのご案内はこちら 

◆プライバシーマークコンサル選定のまとめ
 1 自社の要望・担当者の希望(支援内容・費用・スケジュール)をしっかり反映したコンサルプランである。
 2 プライバシーマークを専門として、多岐にわたる業種・規模の支援経験を豊富に持つコンサルタント会社。
 3 支援内容や担当者の作業内容の説明、双方のバランス、苦労する部分などもしっかりしてくれること。
  
 パートナーであるコンサルティング会社の選定は、その後の取得及び更新などがスムーズに進むかどうか左右される大事なポイントです。上記を考慮し、しっかりと相談し説明を受け選定することをお勧めします。


プライバシーマークに関する自治体等の助成金・補助金制度は利用できるか?

 プライバシーマーク(Pマーク)を取得することについて、自治体で補助金・助成金制度を実施しているところがあります。利用するには条件がありますが、利用できる条件を満たしているならぜひ利用を検討してみたほうが良いと思います。 


 プライバシーマーク補助金・助成金のリンク


プライバシーマーク取得関連サービスのご案内セキュリティ環境(設備)整備にかかる費用はどう考えるか?

 プライバシーマーク(Pマーク)では、高額な費用がかかる設備投資を必ずしも要求しているわけではありませんので、 自社の経済面を考慮し負担できる範囲を検討し過剰にならないようにしていく事をお奨めします。一般的には、ウイルス対策ソフト・シュレッダー・鍵付きのキャビネットなどは最小限必要になるでしょう。