中小零細企業の個人情報保護対策とプライバシーマーク付与認定取得支援。関西一円(京都、大阪、滋賀、兵庫、奈良)で活動展開!

officeta.comのタイトルイメージ

  • ウェブ全体
  • 本サイト内
Powered by Yahoo! JAPAN
メニューライン 会社案内 お問い合せ サイトマップ トップページ  
トップページ >> プライバシーマークについて:申請・審査・費用等 >>

 

 プライバシーマークについて(JIS Q 15001:2006)   5/6

 プライバシーマーク認定基準「JIS Q 15001」の改定について(2017/7/27)

 改正個人情報保護法が施行されて、プライバシーマークの認定基準であるJISQ15001も改定されることは公表されておりましたが、 それが、いつになるのかと気になっていたところですが、ついに、ドラフト版が公開されました。
 http://www.jisc.go.jp/app/jis/general/GnrOpinionReceptionNoticeList?show
(一覧から、JISQ15001 個人情報保護マネジメントシステム−要求事項 を選択してください。)

 これによりますと、改訂15001は、国際規格ISOとの整合化を図り、ISOマネジメントのシステムの上位構造(HLS)、 共通テキスト(要求事項)に基づく内容となりました。   http://www.jsa.or.jp/stdz/iso/mngment03.html

 規格要求事項(箇条4〜10)の部分は、JISQ27001(SIO27001)の情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムに読み替えた程度の違いしかありません。

 これまでのJISQ15001の中で示されていた個人情報の取り扱いに関する具体的な取り組みは、「附属書A」の管理目的及び管理策の中で示されています。
 また、「附属書B」があって、「附属書A」を補完する形で「〜が望ましい。」との表現で示されていますが、 「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれていたような内容で、今後のPマーク付与認定の審査基準になっていくものと思います。
 附属書A、附属書Bを、どのように取り組むかが、PMS構築の重要な要素になります。

 また、「附属書C」では、”安全管理処置に関する管理目的及び管理策”が示されています。
 この内容は、JISQ27001(ISO27701)の附属書Aの管理目的・管理策を個人情報保護マネジメントシステムに当てはめたものとなっており、事実上、ISMSと同じだと言えます。


 これにより、個人情報保護マネジメントシステム(PMS)と情報セキュリティマネジメントシステム(ISMS)との統合が極めて容易となることは間違いないと思います。

 今後、JISDECプライバシーマーク推進センターから、今後の審査方針等が示されるものと思いますが、 旧15001:2006に基づいて、個人情報保護マネジメントシステム(PMS)を構築されていた方については、大幅な改定作業が必要になるかも知れません。
 一方で、既に、ISMSを認証取得した事業者では、「個人情報取扱規程」なるものを追加する程度で、Pマーク付与認定が受けやすくなるかも知れません。

 ISMSを認証取得することでPマークを返上する動きがある中で、同じ仕組みの中で、2年に一度のPマーク審査の負担を取ることで、 両方の認証(認定)を維持することが容易になり、Pマ―ク離れの抑止につながる。との楽観的意見と、 同じ仕組みであるなら、別々に審査を受ける必要もないから、Pマーク離れが加速する。との悲観的意見に分かれそうですが、皆さんは、どのようにお考えになりますか?

※本ページに係れているプライバシーマークに関する情報は、JISQ15001:2006に基づくものです。今後、動向を見て、ホームページの修正など検討していきます。

プライバシーマーク申請・審査・費用、コンサルティング料金等

 個人情報保護マネジメントシステム文書(以下PMS文書)を作成し、一通りの運用によって問題なければ、指定された申請書、登記簿謄本又は抄本等の公的書類、会社案内、PMS文書などを添えて、(財)日本情報処理開発協会 プライバシーマーク事務局、もしくは、地域の指定機関、民間事業者が所属する事業者団体が指定機関となっている場合は当該指定機関に申請します。
 詳細は、(財)日本情報処理開発協会 プライバシーマーク事務局のホームページをご覧下さい。

 事務局では、申請書を受理しますと、書類審査の後、現地調査を実施した上で、認定の可否の決定を行ないます。

 現地調査では、代表者への個人情報保護方針の内容等についてのインタビューやPMSの運用状況、例えば、リスク認識ができているか、各部屋への入退室管理・書庫や引出しの鍵管理は適切にできているか、データのバックアップ状況、コンピュータアクセスログのチェック等のセキュリティ対策はできているか、社員への教育は実施できているか、監査は適切に実施されたかなどについて細かく調査されます。

 申請から審査・認定までの期間は、審査の混み具合によりますが、通常は4カ月〜6カ月ほどと見込んでおくと良いでしょう。

プライバシーマーク取得にかかる費用


1、申請費用
 プライバシーマークの申請費用は、事業者規模によって異なります。
 下記表は平成16年12月1日に改訂され適用されている料金ですが、今後も変更されるかも知れませんので、(財)日本情報処理開発協会 プライバシーマーク事務局で確認してください。
  新規申請時
  事業者の規模別料金
小規模事業者 中規模事業者 大規模事業者
申請料 50,000円 50,000円 50,000円
審査料 200,000円 450,000円 950,000円
マーク使用料 50,000円 100,000円 200,000円
合 計 300,000円 600,000円 1,200,000円

  更新時
  事業者の規模別料金
小規模事業者 中規模事業者 大規模事業者
申請料 50,000円 50,000円 50,000円
審査料 120,000円 300,000円 650,000円
マーク使用料 50,000円 100,000円 200,000円
合 計 220,000円 450,000円 900,000円
・マーク使用料は、2年間の料金
・別途、現地調査にかかる交通費、宿泊費が必要
・現地審査料が所定時間を越える場合は、追加費用が必要となります。

 なお、事業者規模の区分は、以下のとおりです。
  1、大規模事業者
      中規模事業者の規模を超える事業者。
  2、中規模事業者(下記2.参照)の規模を超える事業者。
      下記表の資本金、従業員何れか一方を満たす事業者
  製造業その他 卸売業 小売業 サービス業
資本金 3億円以下 1億円以下 5千万円以下 5千万円以下
従業員 300人以下 100人以下 50人以下 100人以下
  3、小規模事業者
      常時使用する従業員の数が二十人以下の事業者
      (商業、サービス業を主たる事業者については五人以下)

*詳細は、(財)日本情報処理開発協会 プライバシーマーク事務局のホームページをご覧下さい。


2、コンサルティング料金
 上記の費用に加えて、コンサルティングを受ける場合にはコンサルティングに掛る費用が必要となってきます。
 もちろん、独力によって取得することも不可能ではありませんが、効率的・効果的に作業を進めるには上手にコンサルタントを活用 する方が望ましいと思います。
(*少なくとも、審査前の運用監査は客観的な視点、スムーズな審査の観点からもコンサルタントに依頼されることをお勧めします。)
 コンサルティング料金は、コンサルタント会社によって、事業者の規模や取り扱う個人情報の内容、支援方法などによって異なってきます。一概には言えませんが、一通りの支援を受けることになれば、小規模事業者を対象とした場合でも100万円近くになるでしょう。
 しかし、最近は、数多くの当社同様の小規模事業者や個人で活動するコンサルタントが登場し、相当安い料金を提示されることもあるようですが、コンサルティング料はまさに人件費そのものですから、どれほどの価値と時間を提供してくれることになるかをしっかりと考えて、料金に捉われない選択をしていただきたいと思います。
 実績なども含めて、遠慮せずに各社に問い合わせてみるといいでしょう。
 
当社にも一度ご相談ください。

3、その他の費用
 PMSに基づいた運用体制を整えるため、また、例えばセキュリティー対策などの整備にかけなければならない費用なども考えておかなければなりません。
 さらに、認定を受けた後に、プライバシーマークの名刺や会社案内への印刷などの費用も発生しますし、2年後毎の更新、マーク使用料、定期的な監査費用(外部監査を利用する場合)なども必要となります。

==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
 ←前のページへ  次のページへ→
トップページ | 会社案内 | お問い合せ | サイトマップ | リンク集 | プライバシーポリシー