【ご案内】当サイトの閲覧には、SSL対応のブラウザをご利用ください。⇒WEBサイトの利用について

ホーム > よくある質問と回答 > FAQ:4.新規申請について

FAQ:4.新規申請について

よくある質問カテゴリー
4-1 申請をお考えの方へ
4-2 付与対象
4-3 協同組合での申請
4-4 LLC、LLPでの申請
4-5 子会社(出向社員)での申請
4-6 企業グループでの申請
4-7 個人情報取扱事業者以外の申請
4-8 区分
4-9 必要資料・書類
4-10 その他

4-1 申請をお考えの方へ

4-1-1 申請を考えていますが、どのように準備したらよいかわかりません。
最初に何を参考とすればよいですか。

参考資料としては 以下のようなものがあります。

  1. プライバシーマーク制度は、下記の日本工業規格(JIS)の考え方に沿って審査をおこないますので、まず最初に参考としてご覧ください。
    JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項
    (一財)日本規格協会のオンラインショップあるいは 一般書店からの取寄せ・注文で購入できます。
  2. 制度を運営している当協会では次のガイドラインを公表し、個人情報保護マネジメントシステム(PMS)構築の具体的な進め方を一連の流れとして紹介しています。また、このガイドラインはJIS Q 15001:2006への適合性を評価するための審査基準となるものです。
    「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」(JIPDEC編)
    冊子体によるハンドブックとして下記のものが刊行されています。
    「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン[第2版]」((一財)日本規格協会 発行;定価:本体2,500円(税別))
  3. その他、事業所等を所管する各省庁でも個人情報の保護に関するガイドラインを策定しております。適宜 参考としてください。
    (例:経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」)
    なお、個人情報保護委員会の下記ページでは個人情報保護に関するさまざまなガイドラインをご紹介しております。
    http://www.ppc.go.jp/personal/legal/
  4. また、プライバシーマークセミナーを随時開催しておりますので、ぜひご参加ください。
    開催スケジュール
    https://privacymark.jp/seminar/index.html
    過去に開催した際の配布資料
    https://privacymark.jp/seminar/documents/index.html

4-1-2 申請する前に、どのような準備が必要ですか?

プライバシーマークの申請書類を作成するには、マネジメントシステム原則に基づいた計画の作成(P)・実施(D)・点検(C)・見直し(A)というサイクルを実施しておく必要があります。

具体的にはPMSの構築・明文化・社内での周知・運用の監査・代表者の見直しという内容です。
申請書類の中には、これらの実施記録と規程類が含まれているため、実施していなければ書類の作成ができません。

PMS構築の流れについては 下記URL をご参照ください。

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」(JIPDEC編)

また、PMS構築をご予定の事業者、特に人材や費用の確保に限界のある中小事業者への支援を充実させるために「PMS構築相談室」を常設しております。
相談のお申込については、下記ページにて詳細をご確認ください。
https://privacymark.jp/info/pms_soudan/index.html

4-1-3 申請書類の提出から認定まではどのような流れになりますか?

新規のご申請については 大まかな流れを下記URLに掲示しています。
https://privacymark.jp/application/new/index.html

申請書類については「1. 申請書類の作成」をご覧になると、Word形式で一括ダウンロードできるようになっています。

申請書類の提出先は、業種、あるいは本社所在地により審査機関が決まっております。
「2.申請」でご確認ください。

図にもありますが、申請書類を受取った後に申請料の請求書を発行し、ご入金を確認した後に審査が始まりますので、ご理解のほどお願いいたします。

また、各プロセス間に要する期間については ご申請を提出される時期、あるいは審査機関によっても異なりますので、直前にご確認ください。

4-1-4 どのようなタイミングで費用を支払うのでしょうか?

プライバシーマークの認定に係る費用は「申請料」「審査料」「マーク付与登録料」に分かれていますが、いずれも申請された審査機関あるいは当協会から請求書をお送りし、お支払いをお願いしています(「プライバシーマークの付与に係る費用」をご参照ください)。

「申請料」は申請書類をご提出直後、「審査料」については現地審査終了後、「マーク付与登録料」については付与適格決定後に請求書を発送しますので、場合によっては年度をまたがることもあります。

4-2 付与対象

4-2-1 Pマークの付与対象についてお教えください。
法人として登記された株式会社などでないといけないのでしょうか。
個人事業主として屋号を届け出て営業しており、かつ従業員を雇用している場合は付与対象にはならないでしょうか。

Pマーク付与の審査基準であるJIS Q 15001では、事業者は「事業を営む法人その他団体又は個人」と定義されています。

もっとも、マネジメントシステムというものに内在する条件として、組織体と言える実態が無ければなりません。

法人であっても一人会社の場合は付与の対象となりませんし、組織体としての実態があれば、法人でなくても付与の対象となります。

したがいまして、組織体としての実態があれば、個人事業主も付与の対象となります。

申請の際は、登記事項証明書に代わる書類として、開業に当たって税務署に届け出た「開業届出書」の写し、あるいは「最新2期分の決算書・税務申告書及び納税証明書」の写しをご提出ください。定款に代わる書類のご提出は必須ではありませんが、事業内容の分かる書類(会社案内等)がございましたら、併せてご提出をお願いいたします。


※社会保険加入義務がない事業者(従業者が5名未満、あるいは対象外の一部業種)の場合は、常勤で当該事業者のみに雇用されている従業者であれば、申請事業者の社会保険・労働者保険に加入した正社員と判断します。

(平成28年3月1日改訂)

4-2-2 私共は、私と従業者1名、合計2名の会社を営んでおります。
社員数2名の会社でも申請することは可能でしょうか?
代表者、個人情報保護管理者、個人情報保護監査責任者、対応窓口など2人で分担、兼務することになりますが制度上、問題はありますか。

小規模の会社の場合、兼務はやむをえません。

ただし、個人情報保護管理者と個人情報保護監査責任者は必ず別人でなければなりません。

その条件を満たせば、最低限従業者2名(申請事業者の社会保険・労働保険に加入した正社員もしくは登記上の役員(ただし監査役を除く※注))から申請を受付けます。
なお、代表者は監査責任者を兼務することはできません。詳細については「FAQ:7.運用について」の個人情報保護監査責任者を参照してください。


※注:会社法・第335条(監査役の資格等)第2項
監査役は、株式会社若しくはその子会社の取締役若しくは支配人その他の使用人又は当該子会社の会計参与(会計参与が法人であるときは、その職務を行うべき社員)若しくは執行役を兼ねることができない。

(平成26年10月7日改訂)

4-2-3 私は、個人事業主として社会保険労務士事務所を営んでおります。
プライバシーマークの申請をすることは可能でしょうか。
可能である場合、登記事項証明書・定款が存在しませんが、代用として何を提出すればよろしいでしょうか。

個人事業主であっても、従業者(申請事業者の社会保険・労働保険に加入した正社員)を雇用しており、マネジメントシステムを構築することが出来るのであれば、申請を行うことは可能です。(参照:「申請資格について:プライバシーマーク付与適格性審査を申請できる事業者」
なお、事業者として社会保険に加入していない場合、常勤で当該事業者のみに雇用されている従業者が存在するのであれば、社会保険・労働保険に加入した正社員と判断します。
申請の際は、登記事項証明書に代わる書類として、社会保険労務士証票の写しをご提出ください。定款に代わる書類のご提出は必須ではありませんが、事業内容の分かる書類(会社案内等)がございましたら、併せてご提出をお願いいたします。

(平成28年3月1日追加)

4-2-4 プライバシーマークの取得が事実上無理な業種はありますか。

JIS Q 15001要求事項「3.4.2.2適正な取得」では「適法、かつ、公正な手段によって個人情報を取得しなければならない。」と規定されていますが、業務の性質上、調査対象の本人の同意を得ることなく個人情報を取得する、あるいは第三者から本人の個人情報を取得する際、身分や目的を偽る等のことを行う場合には、この要求事項を遵守することはできない可能性がありますので※注、そのような可能性のある探偵業は審査申請ができず、プライバシーマークを取得できないと考えられます。

※注:ただし、JIS Q 15001要求事項3.4.2.6のb)項に該当する場合を除く。

審査の過程(形式審査、または文書審査、現地審査)で、審査機関が、前記のJISの規定に違反する行為を行う可能性があると思われる事業を実施している事業者と判断した場合には、不適正な取得を行なわないことを誓約する、代表者の署名・社印押印のある誓約書の提出を条件に、審査を継続します。
なお、誓約書の提出後、前記の要求事項に違反する行為を行っている事業者であることが判明した場合には、審査を中止いたします。

4-2-5 私共は、私と常勤のアルバイト(パート)従業者1名の計2名で会社を営んでおります。PMSの運用体制を作る場合、代表者(私)を個人情報保護管理者に、アルバイト(パート)従業者を個人情報保護監査責任者とすることになりますが制度上、問題はありますか。

個人情報保護監査責任者はJIS Q 15001の2.5において「代表者によって事業者の内部の者から指名されたものであって(略)監査の実施及び報告を行う責任及び権限をもつ者」とあり、また3.7.2の解説には「個人情報保護監査責任者は、(略)社外に責任を持つことができる者(例えば、役員)であって、個人情報保護管理者と同格又は上席者を指名することが望ましい。」とあることから、当制度ではアルバイト(パート)従業者がその任を負うのは適切ではないとしています。

個人情報保護監査責任者には、申請事業者の社会保険・労働保険に加入した正社員または登記上の役員(ただし監査役を除く)を任命してください。

なお、代表者の兼務については「FAQ:7.運用について」の個人情報保護監査責任者を参照してください。

(平成26年10月7日追加)

4-3 協同組合での申請

4-3-1 協同組合での取り組みを検討しています。
組合員各企業のPマーク使用は必要ないのですが、協同組合自体での認証を希望しております。
組合事務所(組合自体)には、5人しか在籍しておりません。
その際、事業規模は小規模での申請が可能でしょうか。

事業者の規模は、事業内容(業種)、資本金、従業者数(従業員数ではなく)で決まります。

下記URLをご覧ください。

https://privacymark.jp/application/cost/segment.html

協同組合はサービス業に該当し、従業者数が5人以下の場合に小規模事業者となります。

組合員は従業者に含めません。

付与の対象は協同組合自体であり、組合員は対象外です。

Pマークは、協同組合の従業者のみ使用でき、組合員は使えません。

4-4 LLC、LLPでの申請

4-4-1 LLC(有限責任会社)やLLP(有限責任組合)の場合、Pマークを取得できますか。

いずれの場合も、業務を実施する者が2人以上いることが必要です。

また、あくまで組織に対しての付与ですので、LLPの場合はLLPとしての活動範囲に限ってPマークの使用が認められるのであって、組合員個人としての活動にPマークを使用することはできません。

4-5 子会社(出向社員)での申請

4-5-1 弊社の子会社でPマーク取得を検討しています。
子会社の社員は全社員が「親会社からの出向社員」です。
従って「個人情報保護管理者」や「個人情報保護監査責任者」やその他すべての個人情報保護体制を「出向社員」で構成します。
このような子会社でPマーク取得の申請ができますか?

特に問題となることはありませんが、経済産業省が公表している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の「2-2-4.第三者への提供(法第23条関連)(4)雇用管理に関する個人データ関連」では、雇用管理に関する個人データ関連として、出向元の会社と出向先の会社との関係で留意する事項が記述されていますので、注意してください。

なお、JIS Q 15001では保護の対象は「個人情報」であって「個人データ」ではありませんので、上記ガイドラインを参考にする場合、「個人データ」と書いてあるところは
「個人情報」と読み替えるようにしてください。

4-6 企業グループでの申請

4-6-1 弊社は企業グループで同一の個人情報保護マネジメントシステムを数社のグループ会社で運用する形態となります。
企業グループで申請する場合、【様式2006-2】『会社概要』は企業グループ全体での記述でよろしいでしょうか。
また、【様式2006-5】『個人情報保護体制』、及び各実施記録についてはグループ会社の1法人単位で作成したいと考えていますが問題はないでしょうか。
そのほか、企業グループで申請する場合の申請書類作成時の注意点がありましたらお知らせください。

まず、申請は法人単位でのみ受け付けており、企業グループとしての申請は受け付けていないということを確認させていただきます。

すべての申請書類は、法人単位で記載してください。

なお、申請担当者も含め、個人情報保護の体制の構成員は各法人の社員の方にしてください。

同じグループに所属していて同じ考え方の下にPMSを構築したので、ほぼ同じ時期に同じ審査員が審査したほうがよい(審査自体は別々に行います)といったことがありましたら、様式2006-2の「所属する企業グループ名」欄に記載してください。

4-7 個人情報取扱事業者以外の申請

4-7-1 Pマーク取得にあたっては、JIS Q 15001に適合した個人情報保護体制を構築・運用していることが必要だと思いますが、弊社が扱っている個人情報は、社員情報の他には取引先の企業から、商品を直接お客様に送るための氏名・住所等があります。
ただし、直接お客様とコンタクトする機会は一切ありません。
弊社の場合、お客様本人から自己の個人情報を開示・訂正の要求に応じる仕組み等は有していないのですが、申請対象になるのでしょうか。
また、そもそも申請の対象になるのは、個人情報取扱事業者でしょうか。

個人情報取扱事業者に該当するか否かにかかわりなく、申請できます。

開示・訂正等の要求に応じなければならないのは、それが開示対象個人情報に該当する場合です。

受託で取り扱う個人情報は、通常、開示対象個人情報ではありませんので、そもそも応じる必要はありません。

したがって、開示・訂正等の要求については、御社に存在する開示対象個人情報について応じる仕組みを構築してください。

どこの会社でも、最低限、従業者の情報は開示対象個人情報に該当するであろうと考えられます。

4-8 区分

4-8-1 弊社はウェブのシステム開発とインターネットサイトを運営しておりますが、製造業という区分になるのか、サービス業になるのか教えてください。

システム開発とインターネットサイトの運営をなさっているのであれば、「サービス業」の中の「情報サービス・調査業」に該当いたします。

4-9 必要資料・書類

4-9-1 Pマーク事務局などのHPや、取得に向けての参考資料を読む中で、「法令」「条例」「ガイドライン」などの文書を資料として用意したほうが良いとありました。
JIS Q 15001などのガイドラインについては、資料を用意することにしましたが「個人情報保護法」「地方自治の条例」「労働基準法」などの法令、条例などについても社内資料として、準備または保管管理する必要があるのでしょうか。
また、保管する必要がある場合、どのような形で保管したらよいのか審査時に審査の対象となるのかも教えてください。

まず、なぜ参考資料等にそのように書いてあるかをご理解ください。

それは御社が法令違反を犯さないために、御社が関連する法令等については、その制定・改廃状況に注意しておきなさいということです。

そして、もし制定・改廃があった場合、それを内部規程に反映する必要があれば、速やかに反映しなさいということです。

社内資料として準備または保管管理することについては、内部規程への反映という観点から、どこまで必要かをご検討ください。

どの範囲の法令等を見ておく必要があるかは、事業者の業務内容によって変わりますので、御社でご判断ください。

4-9-2 事業者(法人)の実在を証する公的書類は、印鑑証明でもいいでしょうか。

商業登記された事業者は、印鑑証明ではなく、「履歴事項全部証明書」あるいは「現在事項全部証明書」を提出してください。商業登記のない事業者は、申請を予定している審査機関へお問い合わせください。

4-9-3 登記簿謄本に同じ内容が書いてあるのに、定款はなぜ必要なのでしょうか。

定款は、団体としてのガヴァナンスが確立しているか(多数決の原則が行われ、構成員の変更にも関わらず団体そのものが存続し、代表の方法・総会の運営・財産の管理その他団体として主要な点が確定していること等)を確認するために必要です。マネジメントシステム実行のためには組織としてのガヴァナンスが確立していない団体にマネジメントシステムが実行できるとは考えられないからです。

4-10 その他

4-10-1 現在、弊社では10月頃にPマーク申請の予定です。
弊社の「個人情報管理責任者」は現在、会社法上の監査役になっておりますが9月末で退任予定です。
この場合、Pマーク申請時に登記簿謄本が前年度の状態(監査役)で申請した場合、御社のガイドラインの規定(会社法上の監査役が体制の一部を占めていない事)に矛盾してしまいますが、問題はないでしょうか?

申請の時点で、最新の登記簿をご提出ください。

商法上の監査役であるかどうかは登記簿により確認します。

なお、申請自体を受け付けないということではありません。

文書審査、現地審査において、指摘される可能性があり、お申出の監査役変更がなされていることを確認するため、登記簿の再提出を要求される可能性はあります。

4-10-2 弊社では、社員の個人所有のパソコンを社内で使用し、文書作成、管理分析などを行う場合があります。
個人所有のパソコンを社内で使用していて問題にならないのでしょうか。
入退室などの管理規程をきちんと整えた場合、Pマーク取得が可能でしょうか。

講じ得るリスク対策は、事業者の規模や業務内容によって異なりますので、社員の個人所有のパソコンを業務用に使用することを許可しているからといって、一概に駄目とは申しません。

ただし、Winnyなどのファイル共有ソフトを通じて機密情報が流出する事例が続出していることを考えると、個人所有のパソコンを業務に使用させる上でのルールを厳守させるとしても、その残存リスクは非常に大きいと言えます。

したがって、監査だけでなく、少なくともJIS Q 15001:2006要求事項3.7.1に基づき、定期的に運用の確認を行うことを実施しなければ、Pマークの審査では、個人所有のパソコンの業務使用について、最低限の安全管理措置が実施されているとは評価できません。

大きな残存リスクがあることを認識した上で、それが顕在化しないできる限りの措置(御社として、できる限りの措置)を講じてください。

4-10-3 A社とB社はそれぞれ独立した企業であるが、同一ビルの同一フロアーを共同で借りて事業を行っている。
両社の使える範囲を取り決めてはいるものの、間には仕切りがない。
また、会議室や作業台等はお互いに共有して使用している。
このような状況下で、A社、B社がそれぞれ、Pマークを取得しようとした場合、認められるために必要な規定がガイドライン等で規定されていますか?

一つのフロアーを共有することのリスクをどう評価し、どう対策を講じるかという問題になります。

事業者によって取扱う個人情報の内容も、業務内容や規模も異なりますので、講じ得る対策も異なります。

全事業者一律の対策を求めるようなことはいたしておりません。

御社が規模や業務内容に相応しい対策を講じていると評価できるかどうかは、審査員が現場を見て判断します。