Pマークとは
プライバシーマーク(Pマーク)は、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営する、個人情報の適切な取扱いを認定する日本国内の制度です。JIS Q 15001(個人情報保護マネジメントシステム要求事項)に準拠したPMS(個人情報保護マネジメントシステム)を構築・運用している企業に対して付与されます。
2025年3月時点で付与事業者数は約17,800社に達し、中小企業を中心に右肩上がりで増加しています。特にBtoC企業、人材業、広告業、IT企業において、取引先からの信頼獲得や入札条件として取得が求められるケースが多くあります。
JIS Q 15001:2023の改訂
2023年9月にJIS Q 15001が6年ぶりに改訂され、JIS Q 15001:2023が公開されました。これを受けて構築・運用指針も改訂され、2024年10月1日以降の申請から新基準での審査が適用されています。
主な変更点
| 変更点 | 内容 |
|---|---|
| 規格本文の再構成 | PDCAサイクルに関する規定が附属書Aから規格本文(箇条4〜10)に集約。ISO 27001と同一構成に |
| 附属書Aの整理 | 附属書Aは個人情報保護法の義務規定に対応する管理策(A.1〜A.28)に絞られた |
| リスクベース思考の導入 | 形式的な遵守から、自社のリスクを認識し適切にコントロールする実効的な管理へ |
| 仮名加工情報の対応 | 仮名加工情報・個人関連情報の特定が「望ましい」から「構築・運用指針上の留意事項」へ強化 |
| 委託先管理の強化 | クラウドサービス利用時の委託先管理に関する留意事項が追加 |
今回の改訂は「法令対応の強化」+「リスクベース思考の導入」の二本柱です。形式的なチェックリスト方式から、事業者が自社の個人情報リスクを認識し、適切にコントロールしているかを問う審査へと進化しました。
PMSの構成要素
PMS(個人情報保護マネジメントシステム)はPDCAサイクルで継続的に改善する仕組みです。
| PDCA | 活動 | 具体的な実施事項 |
|---|---|---|
| Plan(計画) | 個人情報保護方針の策定、リスクアセスメント | 個人情報の棚卸し、リスク分析、対策の計画 |
| Do(実施) | 規程に基づく運用、従業員教育 | 個人情報の適正な取得・利用・提供、委託先管理、全従業員への教育 |
| Check(点検) | 内部監査、運用状況の確認 | 内部監査の実施、事故報告の分析、法令遵守状況の確認 |
| Act(改善) | マネジメントレビュー、是正措置 | 経営層によるレビュー、不適合の是正、PMSの改善 |
主な要求事項
| 要件 | 内容 | 構築・運用指針の項番 |
|---|---|---|
| 個人情報の特定 | 組織が取り扱う全ての個人情報を特定し、台帳に記録 | J.8.1 |
| リスクアセスメント | 個人情報ごとにリスクを評価し、対策を計画 | J.8.2 |
| 取得時のルール | 利用目的の通知・公表、直接書面取得時の本人同意 | J.8.3〜J.8.5 |
| 利用のルール | 目的外利用の禁止、正確性の確保 | J.8.6〜J.8.7 |
| 提供のルール | 第三者提供の制限、外国への提供の制限 | J.8.8 |
| 委託先管理 | 委託先の選定基準、契約条件、監督 | J.8.9 |
| 安全管理措置 | 組織的・人的・物理的・技術的安全管理措置 | J.8.10 |
| 開示等の請求対応 | 本人からの開示・訂正・削除等の請求に対応する体制 | J.9 |
| 教育 | 全従業員を対象とした年1回以上の個人情報保護教育 | J.4.2 |
| 内部監査 | 年1回以上のPMS内部監査の実施 | J.6.2 |
取得の流れ
| Step | 期間目安 | 内容 |
|---|---|---|
| 1. 準備 | 1ヶ月 | 推進体制の構築、個人情報保護管理者の任命、コンサルタント選定 |
| 2. PMS構築 | 2〜3ヶ月 | 個人情報の棚卸し、リスクアセスメント、規程・マニュアルの策定 |
| 3. 運用 | 3〜4ヶ月 | 規程に基づく運用開始、従業員教育の実施、運用記録の蓄積 |
| 4. 内部監査・レビュー | 1ヶ月 | 内部監査の実施、マネジメントレビューの実施 |
| 5. 申請・審査 | 3〜6ヶ月 | JIPDECまたは審査機関に申請。文書審査→現地審査→指摘事項対応→付与 |
準備開始から付与まで約10〜14ヶ月が一般的です。コンサルタントを活用すると6〜10ヶ月に短縮できるケースもあります。
費用と期間
| 項目 | 小規模(〜20名) | 中規模(20〜100名) | 大規模(100名〜) |
|---|---|---|---|
| 審査費用(新規) | 約31万円 | 約48万円 | 約62万円〜 |
| 審査費用(更新) | 約22万円 | 約31万円 | 約48万円〜 |
| コンサル費用 | 30〜80万円 | 60〜150万円 | 100〜300万円 |
| 有効期間 | 2年(2年ごとに更新審査) | ||
審査費用はJIPDECの規定に基づき、事業者の規模(従業員数・売上高)によって決定されます。
更新審査のポイント
Pマークの有効期間は2年です。更新審査では以下が重点的に確認されます。
- 運用記録:過去2年間の教育記録、内部監査記録、マネジメントレビュー記録、事故対応記録
- 法改正への対応:個人情報保護法の改正、構築・運用指針の改訂に対応した規程の見直し
- 事故報告への対応:個人情報に関する事故が発生した場合の報告と再発防止策
- 委託先管理:委託先の台帳整備、契約のセキュリティ条項、委託先の監督記録
ISMSとの使い分け
| 判断基準 | Pマークが適切 | ISMSが適切 | 両方取得 |
|---|---|---|---|
| 主な取扱い情報 | 個人情報が中心 | 技術情報、機密情報が中心 | 両方を多く扱う |
| 取引先の要求 | 官公庁入札でPマーク要件 | IT・SIer業界でISMS要件 | 複数業界と取引 |
| グローバル展開 | 国内のみ | 海外取引あり | — |
| 費用感 | ISMSより安い傾向 | Pマークより高い傾向 | — |
中小企業での活用
- 官公庁入札の要件:自治体や省庁の入札でPマーク取得が加点要素または必須要件になるケースが増加
- 人材派遣業の必須条件:大手派遣先企業がPマーク取得を取引条件にするケースが多い
- コンサルの活用:初回取得時はコンサルタントを活用し、更新以降は自走するのがコスト効率が良い
BTNコンサルティングの情シス365では、Pマーク・ISMSの技術的安全管理措置の実装を支援しています。MFA導入、DLP設定、ログ管理、委託先管理まで、認証取得に必要な情シス実務をサポートします。
→ 個人情報保護法の解説
→ ISMS(ISO 27001:2022)の解説
まとめ
プライバシーマークはJIS Q 15001:2023に基づく個人情報保護の認証制度です。2024年10月から新審査基準(JIS Q 15001:2023準拠)が適用されており、リスクベース思考の導入と委託先管理の強化がポイントです。個人情報を多く扱う中小企業にとって、信頼獲得と法令遵守の両面で取得価値の高い認証です。