プライバシーマーク（Pマーク）　よくある質問

プライバシーマーク（Pマーク）に取り組まれる際の疑問や悩み、 コンサルティングの現場で私たちがよく受けるご質問などを掲載しております。

A1：プライバシーマーク（Pマーク）は、個人情報を扱う業種が取得をしていますが、多岐に渡っておりIT企業だけではありません。最近の傾向として、プライバシーマーク（Pマーク）の取得件数の伸びは緩やかになりつつあり、ISO27001(ISMS)の取得件数は順調に伸びているといえます。

A2：準備から実際に認証を手にするまで9ヶ月から1年ほど見ておく必要があります。初回審査料金は30万円〜120万円です。当社ではプライバシーマーク（Pマーク）認証取得個別コンサルティングの標準的な価格は小規模事業者で130万円〜、中規模事業者で200万円〜、大規模事業者で500万円〜となっています。価格はお客様ごとの個別見積りとなります。
また集合コンサルティングサービスとして「みんなでがんばって取得しよう講座」（通称：みんがば講座）もご用意しております。

A3：プライバシーマーク（Pマーク）では全社・全業務を対象としなければなりません。部分取得はできません。

A4：企業内の個人情報を整理して目録化し、漏えいやシステムトラブルなどの弱点を調べて対策します。さらに教育や内部監査の制度を整えます。また個人情報の取得や利用についてのルールを定め、運用しなければなりません。

A5：ISO27001(ISMS)では自社において重要な情報の把握から対策レベルの決定まで、原則、企業側で判断できます。これに対してプライバシーマーク（Pマーク）では対策方法まで審査員から指摘が出る場合があります。ただしプライバシーマーク（Pマーク）で使用している規格書に対策方法が記載されているわけではないので、審査員の判断で対策を強制される場合があり、問題とされています。
以下のうち、

・個人情報以外にも重要な情報を持っている（法人顧客情報、技術情報、ノウハウなど）。
・無理難題を言われても困る（対策できない場合がある／費用対効果で判断したい）。
・社員を巻き込んで実用的・効果的な仕組みを作りたい。

のうち、二つ以上当てはまる企業には、ISO27001(ISMS)をお勧めします。

A6：プライバシーマーク（Pマーク）では、実際には審査員によって審査の基準が異なります。以下の点に注意すると良いと思います。

• 審査員により判断、指摘にバラつきがあるため、満点を取ろうとは考えない。
• 社内の工夫が否定されること（例：個人情報の取扱いに特化したマニュアルに作り直しなさいなど）があっても受け入れる。
• 過剰な対策を要求される場合があるため（例：この作業は部屋を分けて実施しなさいなど）、対策の予算に余裕をみておく。
• 審査後の対応が遅いことがあるため、スケジュールは大幅に余裕をみておく（審査後、3ヶ月〜半年、場合によってはそれ以上かかる場合もある）。

A7：財団法人日本情報処理開発協会（略称：JIPDEC）または、JIPDECに認定されたプライバシーマーク付与認定指定機関です。業界団体などが多く、ISOのような審査登録機関とは異なります。

A8：コンサルタントの要否は任意です。コンサルタントを選定する際には「必ず取れる。早く取れる（時間を買う）。無駄なく取れる（無駄なコストの事前防止）。取得＋αの実現ができる（ノウハウ・知恵を買う）」このような観点で活用価値を判断して下さい。
ただしプライバシーマーク（Pマーク）の場合、申請から審査まで、審査後の対応を行い審査員の回答を得るまで、回答の内容が不明確な場合に問合せに応じてもらえるまでなど、各所で待ち期間が生じてしまいます。このためコンサルを利用することで作業期間は短くなりますが、取得までの期間はあまり短くはなりません。

A9：2年に1度、再審査が必要です。この際に過去2年間の実施状況が確認されますので、継続的に社内でルールを運用していく必要があります。