Pマークの審査基準とは？申請から取得の流れも解説

Pマーク（プライバシーマーク）を取得する際は、決められた基準をもとに審査が実施されます。

しかし、企業ごとにPマークの仕組みや運用ルールが異なるのはもちろん、審査機関によっても基準が変わる場合があります。

本記事では、Pマークの審査基準について解説します。審査機関の種類や取得までの流れも取り上げるので、ぜひ参考にしてください。

Pマークの付与機関と審査機関について

Pマーク制度は付与機関・審査機関・研修機関の3つの機関によって運営されます。

申請から取得までは、付与期間と審査機関が深く関わっており、審査機関には複数の種類があります。

Pマークの審査は、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指標」に基づいて実施されます。しかし、対応する審査機関によっては基準が異なる場合もあるので慎重に選びましょう。

以下の項目で、Pマークの付与機関と審査機関について解説します。

付与機関

付与機関はPマークを運営する機関のことで、「JIPDEC（一般財団法人日本情報経済社会推進協会）」が務めています。

審査をおこなう機関を指定し、Pマークが適正に付与されるように管理する役割を担います。

審査機関

審査機関は、付与機関（JIPDEC）から認定を受けた民間事業者団体です。Pマークの取得希望事業者に対し、審査をおこないます。2023年11月時点で、19の指定審査機関が認定されています。

審査機関の対応範囲は以下の通りです。

• 取得希望事業者からのPマークの申請受付
• Pマークの審査
• 付与適格決定の可否
• Pマーク付与事業者に対する指導・監督
• 個人情報保護推進のための環境整備

審査機関は自社で選定可能ですが、19の民間事業者団体から自由に選べるわけではありません。本社所在地や業種によって選定可能な審査機関が異なります。

以下の項目で、それぞれの審査機関を紹介します。

JIPDEC（一般財団法人日本情報経済社会推進協会）

JIPDECは、Pマークを運営・管理する主団体です。付与機関でもあり、審査機関でもあります。

審査基準は厳しめで、指摘事項が多いことでも知られています。そのため、厳密に審査してもらいたい事業者に適しています。

所在地が東京都にあり、関東に本社を置く事業者は、JIPDECで審査を受けるケースが多いです。

地方に本社がある事業者対象の審査機関

地方に本社があり、JIPDECで申請できない場合は、以下の指定審査機関で申請が可能です。

• 北海道：一般社団法人北海道ＩＴ推進協会（DPJC）
• 東北：特定非営利活動法人みちのく情報セキュリティ推進機構（TPJC）
• 中部：一般社団法人中部産業連盟（中産連）
• 関西：一般財団法人関西情報センター（KIIS）
• 中国・四国：特定非営利活動法人中四国マネジメントシステム推進機構（中四国MS機構）
• 九州・沖縄：公益財団法人くまもと産業支援財団（KPJC）

これらはJIPDECから指定された、各地域のPマーク認定審査機関です。本社が遠方にある場合は、上記対象地域の審査機関へ申請しましょう。

一定の業種のみを対象とした審査機関

一定の業種のみを対象とした審査機関もあります。

たとえば、保健・医療・福祉を扱う事業者の場合は、「一般財団法人医療情報システム開発センター（MEDIS-DC）」が審査機関として指定されます。

IT関連の事業者だと、「一般社団法人情報サービス産業協会（JISA）」や「一般社団法人日本情報システム・ユーザー協会（JUAS）」で審査を受けるケースが多いです。

なお、業種限定の審査機関で審査を受ける際は、入会金や年会費を支払って会員にならなければいけません。どの審査機関を選ぶかで、取得までの期間が短くなる可能性もあります。

また、時期によって混雑具合も異なるので、取得する際は慎重に選定しましょう。

Pマークの新審査基準適用後の申請から取得までの流れ

Pマークを取得する際は、社内で個人情報保護マネジメントシステム（PMS）を定めて一定期間運用したうえで、審査を受ける必要があります。

申請から取得までの流れは以下のとおりです。

1. 申請
2. 形式審査
3. 文書審査
4. 現地審査
5. 指摘事項対応

なお、2022年4月に個人情報保護法が改正されたことにより、審査基準が新しくなっています。従来は「JIS規格（JIS Q 15001）」と「JIPDECガイドライン」が基準でした。

しかし、改正後は「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指標」に基づいて審査が進みます。申請の手順に変更点はありませんが、新たな審査基準に沿って個人情報保護体制を運用していく必要があるので注意しましょう。

以下の項目で、順番に解説します。

申請

Pマーク審査を受けるために、審査機関に申請をおこないます。申請方法は以下のとおりです。

1. 審査機関から申請書の様式をダウンロード
2. 申請書の指示に沿って添付書類を用意
3. 審査機関が指定した方法で申請書類を提出

また、以下の書類を用意しましょう。

• 申請書類一式
• 登記事項証明書（原本）
• 定款（写し）
• 個人情報保護マネジメントシステム文書一式（写し）
• 個人情報管理台帳の運用記録（冒頭1ページの写し）
• 運用記録に対応するリスク分析結果（写し）

なお、審査機関によって異なる場合があるため注意してください。

形式審査

申請料の振り込みを確認後、審査機関によって形式審査が実施されます。

形式審査とは、提出された書類に不備がないかチェックする審査です。また、同じタイミングで業種や規模も確認されます。

申請書が受理されたら、受理した旨と業種や規模についての通知が届きます。

文書審査

文書審査とは、個人情報マネジメントシステム文書が、Pマークの基準に適合しているかを調べるものです。以下2つの基準をもとに審査がおこなわれます。

• 内部規定が審査基準に適合しているか
• 全従業員が内部規定を守るための手段を策定しているか

文書調査の結果は、現地審査当日までに書面で通知されます。不備が確認された場合、現地審査までに改善する必要があるため注意しましょう。

現地審査

現地調査では、個人情報保護マネジメントシステムのとおりに体制が整えられ、運用されているかが確認されます。具体的には以下の流れで進みます。

1. 事業者の代表インタビュー
2. 個人情報保護マネジメントシステムの運用状況チェック
3. 実施状況のチェック
4. 総括（審査員から運用における不適合についての説明）

指摘事項対応

現地調査実施後1〜2週間ほどで、審査機関から「指摘文書」が届きます。「指摘文書」が届いたら、3か月以内に「指摘改善文書」を作成し、返答する必要があります。

なお、指摘文書への対応は、1回で完結することは極めて少ないです。不適合箇所が改善されていないと判断された場合、指摘改善文書を作り直し、再提出する必要があるため注意しましょう。

2回目以降は1か月以内に返答しなければならないので、時間に余裕を持つことが重要です。指摘事項対応が完了したら、審査機関からプライバシーマーク付与適格性審査決定結果の通知文書が届きます。

付与適格決定を受けた事業者は、付与機関であるJIPDECと契約を締結することで、プライバシーマークの付与を受けられます。

Pマークの審査基準についてよくある質問

ここからは、Pマークの審査とその基準についてよくある質問に回答します。

Pマークの審査に落ちることはある？

Pマークの審査に落ちることはありません。なぜなら、合格や不合格という基準で付与されるものではないからです。

ただし、審査費用を払わなかったり、指摘事項対応の期限を過ぎたりすると、取得の意思がないと判断されるため注意してください。

また、Pマークの審査費用は、企業の人数や規模感で変動します。従業員数を偽って審査費用を安くしようとする虚偽の申請をおこなうと、ペナルティとなるため注意しましょう。

Pマークの審査では何を聞かれる？

Pマークの現地審査では、事業者の代表に対してインタビューが実施されます。インタビューでは以下のような内容を聞かれます。

• 事業内容や経営方針
• 個人情報における事故の有無
• 申請理由や個人情報保護の目的
• 個人情報保護方針について
• 個人情報保護のための体制について
• 個人情報保護マネジメントシステムの改善について
• マネジメントレビュー

当日慌てないように、事前に何を話すか確認しておくと安心できるでしょう。

まとめ：Pマークの審査基準を確認しよう

Pマークは、決められた基準に基づいて審査がおこなわれますが、審査機関によっては基準や付与までの期間が異なる場合があります。なお、Pマークには合格・不合格という概念がないため、基本的に審査に落ちることはありません。

しかし、審査費用を納付しなかったり、虚偽の申請をしたりした場合は、Pマークが付与されないため注意しましょう。