Pマークは自力で取得できる？メリットや申請の流れを解説

Pマークは、JIS Q 15001の要求事項に則り、PMS（個人情報保護マネジメントシステム）を適切に構築・運用することで取得できます。

一般的には専門のコンサルティング会社に依頼して申請を進めますが、中には自力での取得を検討する企業もいるでしょう。

そこで本記事では、Pマークを自力で取得する方法を解説します。メリットとデメリットについても取り上げるので、ぜひ参考にしてください。

Pマークは自力で取得できる？

Pマークは自力で取得できます。ここでいう自力とは、専門のコンサルティング会社を利用せず、自社だけで対応することを意味します。

しかし、Pマークの申請経験がない、PMSに関する知識がない企業は、コンサルティング会社に依頼した方が効率よく取得できる可能性が高いです。

なぜなら、Pマークを自力で取得するには、規格であるJIS Q 15001の内容を理解したうえで、要求事項に沿ったPMSを構築する必要があるからです。

JIS Q 15001やPMSに関する知識が備わっていないと、内容を一から学ぶ工数がかかるため、慎重に検討しましょう。

Pマークを自力で取得するメリット

Pマークを自力で取得するメリットは以下の2つです。

• 費用を削減できる
• 個人情報保護に対する理解が深まる

コンサルティング会社への依頼費用が削減できるだけでなく、自力でPMSを構築するため、個人情報保護に関する理解も深まります。順番に見ていきましょう。

費用を削減できる

Pマークを取得する際は、専門のコンサルティング会社に依頼するのが一般的です。しかし、自力で取得すれば、コンサルティングにかかる費用を削減できます。

ただし、Pマークを初めて申請する場合、社内に経験者がいなければ、規格やルールの構築について一から学ぶことになります。結果、多くの時間と手間がかかり、コンサルティング会社を利用する以上の費用を費やす恐れも。

自力で取得できる見込みがあるのかを考慮したうえで、慎重に判断しましょう。

個人情報保護に対する理解が深まる

Pマークを自力で取得する場合、規格であるJIS Q 15001の内容を理解したうえで、PMSを一から構築する必要があります。

コンサルティング会社の指示に従って進めるよりも、PMSや個人情報保護に対する理解が深まりやすくなるでしょう。

Pマークを自力で取得するデメリット

費用を削減できる、個人情報保護に対する理解が深まるなどのメリットがある一方で、以下のようなデメリットも存在します。

• 時間と手間がかかる
• 適切な運用ルールを構築できない可能性が高まる

デメリットを理解したうえで、Pマークを自力で取得するか検討しましょう。順番に解説します。

時間と手間がかかる

Pマークの申請経験がない企業の場合、取得までに多くの時間と手間を要します。

コンサルティング会社に依頼すれば、PMSの構築や運用に慣れている者から指示をもらえますが、自力取得ではそうもいきません。情報収集はもちろん、規格への理解、文書の作成、従業員教育まですべて対応する必要があります。

また、取得にかかる期間が長くなるほど、本来の業務に割く時間がなくなるため、事業に支障が出る恐れもあります。

適切な運用ルールを構築できない可能性が高まる

Pマークを取得するには、JIS Q 15001の要求事項に沿って、PMSを適切に構築・運用する必要があります。PMS（個人情報保護マネジメントシステム）とは、個人情報を安全に取り扱うために構築・実行・確認・改善のPDCAを回し、正しく運用する仕組みです。

Pマーク申請におけるノウハウがない状態で自力での取得を目指しても、適切なPMSを構築できない可能性が高いです。また、Pマークの規格であるJIS Q 15001には、事業者ごとにどのようなPMSを構築すべきかの記載はありません。

PMSの内容は、各事業者の事業内容や体制によって幅があるため、知識がなければ適切な構築は難しいでしょう。

Pマークを自力で取得する前に申請資格を確認しよう

Pマークを自力で取得したいと考えていても、申請資格を満たしていなければ審査を受けられません。まずは、自社が申請資格を満たしているかを確認しましょう。

Pマークを申請できる事業者の要件

Pマークの申請要件は以下のとおりです。

1. 法人である
2. 国内に活動拠点がある
3. 社会保険・労働保険に加入した正社員または役員（監査役を除く）が2名以上いる
4. JIS Q 15001に基づいてPMSを定めている
5. PMSに基づいた体制を整備したうえで個人情報を適切に取り扱っている

1〜3の要件を満たせていれば、残り2つは規格に沿って構築・運用していけば問題ないでしょう。ただし、医療法人等および学校法人等の場合は一部例外があるため注意が必要です。

欠格事由と申請ができない期間はある？

上記の申請要件を満たしても、欠格事由や申請不可期間に該当する場合は審査を受けられません。Pマークの欠格事由には、以下が該当します。

• 外国の会社
• 一般の信頼を毀損すると認められる事業活動をおこなう事業者

また、役員が以下のいずれかに該当する場合も審査を受けられません。

• 「個人情報の保護に関する法律」などに違反し、執行を受けなくなった日から2年を経過していない
• 前号に規定する法律の規定以外の法令に違反し、禁固以上の刑に処されたあと執行を受けなくなった日から2年を経過していない
• 暴力団員でなくなった日から5年を経過していない

そのほか、「出会い系サイト規制法」に反している、「風俗営業等の規制及び業務の適正化等に関する法律」「性風俗関連特殊営業」を営む事業者も、欠格事由に該当します。

なお、Pマークには申請不可期間も設けられています。以下のいずれかに該当する事業者は、一定の期間申請ができないため注意しましょう。

（出典：申請資格｜JIPDEC）

Pマークを自力で取得する流れ

Pマークを自力で取得する流れは以下のとおりです。

1. PMSに関する規定・書類を作成する
2. PMSを運用する
3. 内部監査をおこなう
4. 外部審査機関に申請する
5. Pマークの取得完了

順番に見ていきましょう。

PMSに関する規定・書類を作成する

まずはPマーク取得に向け、従業員に対して個人情報の取り扱いにおける意識付けをおこないます。

その後、PMSの構築と運用の計画を立てます。また、業務で取り扱う個人情報を洗い出し、どのようなリスクが発生し得るかを分析して対策方法を定めることも重要です。

計画の立案とリスク分析が終わったら、PMS文書を作成しましょう。PMS文書とは、PMSを構築する際に定めた方針や対応手順、運用の仕組みを文書化したものです。Pマーク取得の可否を決める判断材料としても使われるので、慎重に作成しましょう。

2.PMSを運用する

作成した文書に沿って、実際にPMSを運用します。構築・実施・確認・改善のPDCAを回して問題点を探し、PMSをよりよく改善しましょう。

なお、PMSの運用記録は審査で必要になるため、必ず保管しておいてください。

内部監査をおこなう

PMSが正しく構築・運用されているかを、内部監査でチェックします。問題点が見つかった場合は、JIS規格や運用指針に沿って改善しましょう。

外部審査機関に申請をおこなう

PMSの運用が完了したら、必要書類を揃えて外部審査機関へ申請します。業種や本社所在地によって申請書類の提出先が異なるので注意が必要です。

審査は以下の流れで進みます。

1. 文書審査：PMS文書が審査基準を満たしているのかが確認される
2. 現地審査：PMSの体制が整備され、運用されているかが確認される

なお、審査後には指摘事項に対応する必要があります。不適合に対して是正を実施するもので、審査員からの指摘がなくなるまで繰り返し対応しなければなりません。

Pマークの取得完了

指摘事項対応が完了したら、審査機関から審査に合格した旨の通知文書が届きます。付与機関とPマーク付与契約を締結し、取得完了です。

まとめ：Pマークは自力での取得も可能だがコンサルを利用するのが効率的

Pマークは自力で取得できます。自力で申請できれば、外部委託費用を削減できたり、PMSへの理解が深まったりするなどのメリットを得られるでしょう。

しかし、申請の経験やPMSに関する知識がなければ、多くの時間と手間を費やす可能性が高いです。効率的な取得を目指すなら、専門知識を有するコンサルティング会社に依頼するのがよいでしょう。