付与事業者: 15,515

よくあるご質問

TOP > よくあるご質問 > 3.新規申請

3.新規申請

1 申請前の準備

1-1 申請を考えていますが、どのような準備が必要ですか。

申請をするには、マネジメントシステム原則に基づいた計画の作成(P)・実施(D)・点検(C)・見直し(A)というサイクルを実施しておく必要があります。
まず、組織における個人情報保護の方針を決定し、それに基づいた計画を作成することから始まります。
方針・計画が決定しましたら、それを推進するために必要な資源(ヒト、モノ、カネ、情報)を確保して体制を整備した後、個人情報保護マネジメントシステム(以下「PMS」という。)の内部規程を策定し、従業者教育を行います。
それから実際に運用を開始していただき、適宜、点検・監査を行ったうえで、最後に代表者による見直しを行います。
PMSを運用した記録を申請書類に記入したり、関連書類として添付する必要があるため、ご申請前に少なくとも1回以上PDCAサイクルを実施していただくことが必要となります。体制の整備や規程類の策定だけではご申請できませんのでご留意ください。
申請準備については、まず「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン[第2版]」の第一部を参照してください。PDCAサイクルを13ステップで説明しています。

JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン[第2版](関連基準等ページへ)

(平成29年5月30日改訂)

1-2 申請書類の提出から付与まではどのような流れになりますか。

新規申請の大まかな流れは、「新規申請方法」に掲載しています。
なお、事業内容、本社所在地によって、申請できる審査機関が決まっているので、「プライバシーマーク指定審査機関一覧」にて、申請条件、申請書類の提出方法等を確認してください。
また、各プロセス間に要する期間については申請書を提出した時期、あるいは審査機関によっても異なりますので、申請をする審査機関に確認してください。

新規申請方法
プライバシーマーク指定審査機関一覧

1-3 費用はどのようなタイミングで支払うのでしょうか。

プライバシーマーク付与に係る費用は、「申請料」「審査料」「付与登録料」に分かれています。
「申請料」は申請書類を提出直後、「審査料」は現地審査終了後、「マ付与登録料」は付与適格決定後に、審査機関あるいはJIPDECから請求書を送付します。

プライバシーマークの付与に係る費用

1-4 プライバシーマーク取得をめざし、活動を開始したところです。

  1. JIPDECで付与のためのコンサルテーションをやっているようなら、ぜひお願いしたいと考えています。
  2. 上記1.が無理なようなら、コンサルテーション機関・会社を紹介いただけますか。
  3. また、上記2.も不可な場合、コンサルテーション機関・会社選定の注意事項を教えてください。

当センターはプライバシーマーク制度の運営管理と審査業務を行っています。そのために、個々の事業者の審査に影響を与える可能性のある行為は禁じられています。

審査機関が、自らコンサルテーションしたものを審査したのでは、第三者認証にならないことはお分かりいただけるものと存じます。1.はもとより、2.、3.についてもご希望にはお応えできません。

2 申請資格

2-1 法人として登記された株式会社などでないと付与対象にはならないでしょうか。個人事業主として屋号を届け出て営業しており、かつ従業員を雇用しています。

プライバシーマーク制度の審査基準であるJIS Q 15001要求事項では、事業者は「事業を営む法人その他団体又は個人」と定義されています。
もっとも、マネジメントシステムというものに内在する条件として、組織体と言える実態が無ければなりません。また、JIS Q 15001要求事項では個人情報保護管理者と個人情報保護監査責任者を事業者内部の者から指名することを求めています(兼任不可)。
したがって、法人であっても一人会社の場合は付与の対象となりませんし、組織体としての実態があれば、法人でなくても、個人事業主も付与の対象となります。

申請の際は、登記事項証明書に代わる書類として、開業に当たって税務署に届け出た「開業届出書」の写し、あるいは「最新2期分の決算書・税務申告書及び納税証明書」の写しをご提出ください。定款に代わる書類のご提出は必須ではありませんが、事業内容の分かる書類(会社案内等)がございましたら、併せてご提出をお願いします。

※社会保険加入義務がない事業者(従業者が5名未満、あるいは対象外の一部業種)の場合は、常勤で当該事業者のみに雇用されている従業者であれば、申請事業者の社会保険・労働者保険に加入した正社員と判断します。

(平成28年3月1日改訂)

2-2 社員数2名の会社でも申請することは可能ですか。
代表者、個人情報保護管理者、個人情報保護監査責任者、対応窓口など2人で分担、兼務することになりますが制度上、問題はありますか。

従業者が2名であっても申請は可能です。

ただし、代表者が内部の者から指名する個人情報保護管理者と個人情報保護監査責任者は必ず別人でなければなりません。 また、代表者は個人情報保護監査責任者を兼ねることができません。 その条件を満たせば、最低限従業者2名(申請事業者の社会保険もしくは・労働保険に加入した正社員もしくは登記上の役員(ただし監査役を除く※注))から申請を受付けます。

2-3 個人事業主として社会保険労務士事務所を営んでいます。
申請をすることは可能でしょうか。
可能である場合、登記事項証明書・定款が存在しませんが、代用として何を提出すればよいでしょうか。

個人事業主であっても、従業者(申請事業者の社会保険もしくは・労働保険に加入した正社員)を雇用しており、マネジメントシステムを構築することが出来るのであれば、申請を行うことは可能です。
なお、事業者として社会保険に加入していない場合、常勤で当該事業者のみに雇用されている従業者が存在するのであれば、社会保険・労働保険に加入した正社員と判断します。
申請の際は、登記事項証明書に代わる書類として、社会保険労務士証票の写しを提出してください。定款に代わる書類の提出は必須ではありませんが、事業内容の分かる書類(会社案内等)がありましたら、併せて提出をお願いします。

申請資格

(平成28年3月1日追加)

2-4 プライバシーマークの取得が事実上無理な業種はありますか。

JIS Q 15001要求事項「3.4.2.2適正な取得」では「適法、かつ、公正な手段によって個人情報を取得しなければならない。」と規定されていますが、業務の性質上、調査対象の本人の同意を得ることなく個人情報を取得する、あるいは第三者から本人の個人情報を取得する際、身分や目的を偽る等のことを行う場合には、この要求事項を遵守することはできない可能性がありますので(※注)、そのような可能性のある探偵業は新規・更新にかかわらず申請ができず、プライバシーマークを取得できないと考えられます。

※注:ただし、JIS Q 15001要求事項3.4.2.6のb)項に該当する場合を除く。

なお、債権回収業、保険業等の事業者が付帯的に行う調査業務が探偵業に該当する場合には、JIS Q 15001に適合した個人情報の取扱いをすることを誓約した、代表者の署名・社印押印のある誓約書の提出を条件に、申請を受理します。
探偵業に係る誓約書の様式例は、申請書類の作成ページに掲載していますのでご参照ください。

申請書類の作成

(平成29年4月28日改訂)

2-5 私と常勤のアルバイト従業者1名の計2名で会社を営んでいます。PMSの運用体制を作る場合、代表者(私)を個人情報保護管理者に、アルバイト従業者を個人情報保護監査責任者とすることになりますが制度上、問題はありますか。

個人情報保護監査責任者はJIS Q 15001要求事項の2.5において「代表者によって事業者の内部の者から指名されたものであって(略)監査の実施及び報告を行う責任及び権限をもつ者」とあり、また3.7.2の解説には「個人情報保護監査責任者は、(略)社外に責任を持つことができる者(例えば、役員)であって、個人情報保護管理者と同格又は上席者を指名することが望ましい。」とあることから、当制度ではアルバイト従業者がその任を負うのは適切ではないとしています。

個人情報保護監査責任者には、申請事業者の社会保険・労働保険に加入した正社員または登記上の役員(ただし監査役を除く)を任命してください。

(平成26年10月7日追加)

2-6 協同組合で申請を検討しています。
組合員各企業のプライバシーマーク使用は必要ないのですが、協同組合自体での取得を希望しています。
組合事務所(組合自体)には、5人しか在籍していません。
その際、事業規模は小規模での申請が可能ですか。

事業者の規模は、事業内容(業種)、資本金、従業者数(従業員数ではなく)で決まります。

事業者規模の区分について

協同組合はサービス業に該当し、従業者数が5人以下の場合に小規模事業者となります。組合員は従業者に含めません。
付与の対象は協同組合自体であり、組合員は対象外です。
プライバシーマークは、協同組合の従業者のみ使用でき、組合員は使えません。

2-7 LLC(有限責任会社)やLLP(有限責任組合)は申請できますか。

いずれの場合も、業務を実施する者が2人以上いることが必要です。

また、あくまで組織に対しての付与ですので、LLPの場合はLLPとしての活動範囲に限ってプライバシーマークの使用が認められるのであって、組合員個人としての活動に使用することはできません。

2-8 当社の子会社で申請を検討しています。
子会社の社員は全社員が「親会社からの出向社員」です。
従って「個人情報保護管理者」、「個人情報保護監査責任者」、その他すべての個人情報保護体制が「出向社員」で構成されますが問題はありますか。

特に問題はありません。

2-9 企業グループで同一の個人情報保護マネジメントシステムを数社のグループ会社で運用する形態となります。
企業グループで申請する場合、【申請様式2】にある『会社概要』は企業グループ全体での記述でよいですか。
また、【申請様式5】『個人情報保護体制』、及び各実施記録についてはグループ会社の1法人単位で作成したいと考えていますが問題はありますか。
その他、企業グループで申請する場合の申請書類作成時の注意点はありますか。

申請は法人単位でのみ受け付けており、企業グループとしての申請は受け付けていません。すべての申請書類は、法人単位で記載してください。
なお、申請担当者も含め、個人情報保護の体制の構成員は、各法人の従業者としてください。

同時期に同じ審査員が審査したほうがよい(審査自体は別々に行います)といったことがありましたら、【申請様式0】の「4.アンケート」(2)欄に記載してください。

2-10 当社が取り扱っている個人情報は、社員情報の他には取引先の企業から商品を直接お客様に送るための氏名・住所等があります。
ただし、直接お客様とコンタクトする機会は一切ありません。
当社の場合、お客様本人から自己の個人情報を開示・訂正の要求に応じる仕組み等は有していないのですが、申請対象になりますか。
また、そもそも申請の対象になるのは、個人情報取扱事業者でしょうか。

個人情報取扱事業者に該当するか否かにかかわりなく、申請できます。

開示・訂正等の要求に応じなければならないのは、それが開示対象個人情報に該当する場合です。
受託で取扱う個人情報は、通常、開示対象個人情報ではありませんので、そもそも応じる必要はありません。

したがって、開示・訂正等の要求については、貴社に存在する開示対象個人情報について応じる仕組みを構築してください。
どこの会社でも、最低限、従業者の情報は開示対象個人情報に該当するであろうと考えられます。

3 事業者規模の区分

3-1 当社はWEBのシステム開発とインターネットサイトを運営していますが、区分は何になりますか。

「サービス業」の中の「情報サービス・調査業」に該当します。
なお、複数の事業(例:製造業、小売業、及びサービス業)を営んでいる場合は、売上高の一番高いものとなります(【申請様式2】の『事業の概要』覧には、売上高の高い順に記入してください)。

事業者規模の区分

4 必要資料・書類

4-1 申請に向けての参考資料を読む中で、「法令」「条例」「ガイドライン」などの文書を資料として用意したほうが良いとありました。
「JIS Q 15001要求事項」や「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン[第2版]」などのガイドラインについては資料を用意することにしましたが、「個人情報保護法」「地方自治の条例」「労働基準法」などの法令、条例などについても社内資料として、準備または保管管理する必要がありますか。
また、保管する必要がある場合、どのような形で保管したらよいのか審査時に審査の対象となるのかも教えてください。

法令違反を起こさないために、関連する法令等についてはその制定・改廃状況を確認しておくことが必要と考えます。制定・改廃があった場合は、内部規程に反映する必要があれば、速やかに反映をしてください。

社内資料として準備または保管管理することについては、内部規程への反映という観点から、どこまで必要かを検討してください。
どの範囲の法令等を見ておく必要があるかは、事業者の業務内容によって変わりますので、貴社で判断してください。

4-2 事業者(法人)の実在を証する公的書類は、印鑑証明でもいいですか。

商業登記された事業者は、印鑑証明ではなく、「履歴事項全部証明書」あるいは「現在事項全部証明書」を提出してください。商業登記のない事業者は、申請を予定している審査機関へお問い合わせください。

4-3 登記事項証明書に同じ内容が書いてあるのに、定款はなぜ必要なのですか。

定款は、団体としてのガヴァナンスが確立しているか(多数決の原則が行われ、構成員の変更にも関わらず団体そのものが存続し、代表の方法・総会の運営・財産の管理その他団体として主要な点が確定していること等)を確認するために必要です。マネジメントシステム実行のためには組織としてのガヴァナンスが確立していない団体にマネジメントシステムが実行できるとは考えられないからです。

4-4 10月頃に申請の予定です。
当社の「個人情報管理責任者」は現在、会社法上の監査役になっていますが9月末で退任予定です。
この場合、申請時に登記簿謄本が前年度の状態(監査役)で申請した場合、JIPDECのガイドラインの規定(会社法上の監査役が体制の一部を占めていない事)に矛盾してしまいますが、問題はありますか。

申請の時点で、最新の登記事項証明書を提出してください。
会社法上の監査役であるかどうかは登記事項証明書により確認します。

なお、申請自体を受け付けないということではありません。
文書審査、現地審査において、監査役変更がなされていることを確認するため、登記事項証明書の再提出を要求する可能性があります。

ページトップへ戻る