JAPHICマーク制度とその申請方法について
個人情報の適切な保護管理体制の構築は、顧客となる国民全体の要望であるとともに、事業者の社会的責任でもあります。
JAPHIC(ジャフィック)マーク制度は、この要請に応えるものであり、個人情報の保護管理体制を第三者(JAPHICマーク認証機構)が審査した上で認証する個人情報保護に関する第三者認証制度のひとつです。
もっとも、第三者認証制度はスキームが難解なものが多いため、取得を検討する前段階からつまづき、そもそも申請にすらたどり着けないということも珍しくはありません。
そこで本稿では、これからJAPHICマークの取得を目指す事業者の皆さまに向けて、制度の概要や必要となる手続きについて詳しく解説していきたいと思います。
本稿ではJAPHICマーク制度とその申請方法についてそれなりのボリュームで解説しています。
最下段には、JAPHICマークの申請をサポートするプランについての案内があります。最後まで閲覧していただければ幸いです。
目 次
JAPHICマーク認証制度
第三者認証制度(マークの取得)は組織の取組みを審査基準と照らし合わせて、利害関係がない第三者が公平な立場で評価を実施する制度です。
このうちJAPHICマーク認証制度は、個人情報の保護に関する法律(以下、個人情報保護法)及び国の機関である個人情報保護委員会が発行する個人情報の保護に関する法律についてのガイドライン(外部サイト)に基づき、個人情報について適切な保護措置を講ずる体制を整備し運用している事業者を審査して、その旨を示したJAPHICマークの使用を認める制度です。
情報の保護対策には、他にも国際規格であるISO27001の認証等がありますが、運用負荷やコスト面で取得のハードルが高いものとなっています。
第三者認証のメリット
第三者認証を受けるメリットには、対外的なメリットとして、コンプライアンス(法令順守)の徹底、入札や取引条件への適合及び認証マークを表示しての自社PR等が考えられます。
また、社内的なメリットとしては、法令順守(個人情報保護法)の徹底、個人情報保護システムレベルの向上、情報漏えいリスクの低減及び関係者による悪意ある犯罪の抑止等が挙げられます。
APHICマーク
JAPHIC マークには、JAPHICマークとJAPHICマークメディカルがあり、基本的にはJAPHICマークを使用しますが、業種が厚生労働省管轄の医療・介護関係である事業者はJAPHICマークメディカルを使用します。
どちらも有効期間は1年となっており、更新審査は、有効期間の終了前月15日までに受審する必要があります。
マークの使用範囲
各種JAPHICマークは、審査機関による審査において適合と認められ、JAPHICマーク認証機構(以下、機構)が許諾した事業者にのみ使用が認められます。ただし、一部の事業所を対象とする一部認証の場合は、対象部門(事業所、事業部等)のみでの使用し、又は対象部門(事業所、事業部等)を明記した上でのみ使用することができます。
具体的に、認証を受けた事業者が各種JAPHICマークを使用できる範囲は以下のとおりです。また、一部認証を受けた事業者については、事実誤認が生じないよ対象部門を必ず記載する必要があります。
- 名刺
- ホームページ
- 店頭
- 広告・宣伝資料
- 販促物
- 説明書
- 封筒
- 社用便箋
- 契約約款 等
各種JAPHICマークの使用に際しては、配布された電子データを元データとして使用しなければならず、配布された電子データ以外の加工したデータを使用することはできません。
対象事業者
個人情報の保護に関する法律についてのガイドラインの対象となる事業者であれば、個人・法人の別や業歴の長短にかかわらず対象となるほか、部門又は部署ごとに申請することも可能です。
ただし、以下(欠格事項)のいずれかに該当する事業者については、JAPHICマークを取得することができません。
- 申請の日前2年以内にJAPHICマーク認証の取り消しを受けた事業者
- 申請の日前2年以内に個人情報の取り扱いにおいて個人情報及び特定個人情報の外部への重大な漏えい、その他本人(個人情報保護法に定める「本人」)の利益の重大な侵害を行った事業者
申請の流れ
申請は、各審査機関に問い合わせし、申請用URLを入手してWeb上で申し込む流れになります。
①問い合わせ
まずは以下のいずれかの審査機関に問い合わせをし、担当する審査機関を決定した上で、「Web申請用URL」を入手します。
★JAPHICマーク認証を審査可能な審査機関
| 株式会社アース | 〒171-0052 東京都豊島区南長崎1-9-16 | 電話:03-5437-0066 FAX:03-5437-0067 | http://earth-inc.net/ |
| 株式会社PICC | 〒104-0032 東京都中央区八丁堀2-29-16-8F | 電話:03-6338-1419 | https://www.picc.co.jp |
| TBCSグループ株式会社 | 〒101-0062 東京都千代田区神田駿河台1丁目7番地 | 電話:03-3294-5415 FAX:03-5529-7752 | https://tbcs-g.co.jp/company/ |
★JAPHICマークメディカル認証を審査可能な審査機関
| 株式会社PICC | 〒104-0032 東京都中央区八丁堀2-29-16-8F | 電話:03-6338-1419 | https://www.picc.co.jp |
| TBCSグループ株式会社 | 〒101-0062 東京都千代田区神田駿河台1丁目7番地 | 電話:03-3294-5415 FAX:03-5529-7752 | https://tbcs-g.co.jp/company/ |
②Webによる申込み
担当する審査機関を決定後、「Web申請用URL」から、事業者情報、担当者情報、認証の範囲及び審査希望日等を入力して申し込み手続きを開始します。
③個人情報保護体制の構築と文書等の整備
個人情報保護体制の構築と文書類(個人情報保護規程、記録類)及び自己評価表の整備(以下の申請登録項目)を行い、審査の為の準備を行います。申請は、エクセル、ワード又はPDF形式を利用したデジタルデータでの申請となります。
- 「個情法(通則編)_自己評価表」
- 「番号法(事業者編)_自己評価表」
- 1年以内最新版の登記謄本の写し又は開業届
- 個人情報保護及びマイナンバーに関する規程類
- リモート審査希望の場合は個人情報及びマイナンバーの安全管理処置の運用状況を証明する記録類
- リモート審査を希望する場合はその旨登録
- 「個情法(第三者提供時等編)_自己評価表」(該当する事業者のみ)
- 「個情法(外国提供編)_自己評価表」(該当する事業者のみ)
- 「個情法(匿名加工情報編)_自己評価表」(該当する事業者のみ)
④文書審査
審査機関において文書類の審査が行われますが、疑義があったときは、別途必要な資料の提供を依頼されることがあります。
⑤現地審査
文書審査が終了すると、文書審査にて生じた疑義の確認及び文書類記載の通りに体制が整備され運用しているか等について確認するため、申請事業者に対して現地審査が実施されます。
リモート審査の場合、審査時間目安は人数に関わらず30分〜3時間程度ですが、1審査員が現地まで出向いた場合、現地審査時間は人数に応じて1時間以内(〜5名)、2時間以内(6〜50名)、3時間以内(51名〜)となります。
なお、現地審査に係る交通費及び宿泊費については、各審査機関に確認の上お支払いください。支払確認ができない場合、審査が中止される場合があるためご注意ください。
⑥認証審査の判定会議
各審査機関から報告された文書審査、現地審査の結果の内容確認、審査プロセス、審査機関と認証事業者の関係に問題がないか等を材料として、JAPHICマーク認証の適合事業者であるか否かについて判定会議が行われます。
⑦付与可否の通知と公表、認証証書発行、マーク発行
判定会議によってJAPHICマーク認証の可否を決定し、認証事業者に対して認証日までに通知が行われます。
認証に際しては認証書とJAPHICマークが発行され、機構のホームページにおいて公表されます。
認証日は毎月1日となっているため、審査を完了した月(審査の締め切りは毎月15日前後です)の翌月1日が認証日となり、マークが発行されます。
審査基準
審査は、個人情報保護法及び行政手続における特定の個人を識別するための番号の利用等に関する法律(以下、マイナンバー法)の観点から実施されます。
個人情報保護法
個人情報の保護に関する法律についてのガイドラインにおいて、「○○しなければならない」及び「○○してはならない」と記載された必須項目については100%適合している必要があり、「○○することが望ましい」及び「努めなければならない」と記載された努力項目については70%以上適合していることが求められます。
同ガイドライン中、「通則編」は全ての事業者が審査対象となり、「外国にある第三者への提供編」、「第三者提供時の確認・記録義務編」及び「仮名加工情報、匿名加工情報編」は該当する取り扱いがある場合に審査対象となります。
また、事業者の代表者に対するインタビューは可能な限り実施され、現地審査においてはサンプリング調査が行われます。
マイナンバー法
特定個人情報の適正な取扱いに関するガイドライン(事業者編)において、「○○しなければならない」及び「○○してはならない」と記載された必須項目は100%適合している必要があり、「○○することが望ましい」及び「努めなければならない」と記載された努力項目は70%以上適合していることが求められます。
同ガイドラインは全ての事業者が審査対象となりますが、事業者の規模に応じて「中小事業者版」を適用することも可能です。
申請・審査と認証に係る費用
申請審査料は、申請内容の管理及び審査実施のための費用であり、認証の合否に関わらず必要となります。なお、審査が不合格の場合は、希望により再審査が可能ですが、その際は再度審査申請料を支払う必要があります。
また、以下の3つのガイドラインが該当する場合はオプションで審査が追加されるため、別途¥11,000(税込)の費用が加算されます。
- 外国にある第三者への提供編
- 第三者提供時の確認・記録義務編
- 仮名加工情報・匿名加工情報編
さらに申請審査料とは別に、認証書及びJAPHICマークの発行等の費用として認証料がかかりますが、審査で不合格となり認証書及びJAPHICマークの発行が行われなかった場合については、返金対応が行われます。
| 費用項目 | 従業者5名まで | 6~50名 | 51名以上 |
|---|---|---|---|
| 申請審査料(新規申請) | 105,000円 | 157,500円 | 210,000円 |
| 申請審査料(更新申請) | 42,000円 | 84,000円 | 126,000円 |
| 認証料 | 52,500円 | 73,500円 | 105,000円 |
★従業者
「従業者」とは、作業時間、雇用形態及び報酬の有無は問わず、「個人情報の保護に関する法律についてのガイドライン」に基づき、事業者の組織内で、直接又は間接的に事業者の指揮監督を受けて業務に従事している者すべてを言います。
役員、理事、正社員、契約社員、派遣労働者、嘱託社員、パート、アルバイト及びボランティアスタッフ等は従業者に含みますが、業務委託先の従業者、業務委託の個人及び体験就労者は従業者に含まれません。
なお、従業者数は、申請情報登録日又は現地審査実施日のいず1れかのうち多い方となります。
更新申請手続き
JAPHICマークの有効期間は1年間ですが、この期限を超えるとJAPHICマークが使用停止等になります。
期間経過後も引き続き認証を受けようとするときは、更新案内の受領後速やかに、更新に関する申請審査料及び認証料を振り込み、管理システムにて会社情報の変更及び希望審査日等を入力して、前回審査を受審した担当審査機関に連絡を行います。
合併・分社等に関する手続き
あらかじめ機構の書面による承諾がない限り、JAPHICマーク認証規約に記載されている権利義務の全部又は一部を他に譲渡することはできません。
吸収合併により第三者に統合された場合、その権利義務の全部又は一部は統合された第三者に移譲されます。ただし、認証範囲の扱いは一時的に一部認証に変更され、次回の更新時に申請内容に応じた認証範囲に修正されることとなります。
また、分社化等により複数に分裂した場合、その権利義務の全部又は一部は主要な一社に移譲され、その他の組織で各種JAPHICマークの認証が必要な場合は、新たに認証申請を行う必要があります。
その他、吸収合併、分社化、M&A等により複雑な事情がある場合、機構の判断により認証範囲が決定されることになります。
なお、合併・分社化の申請先は、機構事務局(info@japhic.or.jp)となります。
JAPHICマーク取得支援サポート
弊所は関西圏全域においてでJAPHICマーク認証申請の支援サポートを承っています。ご依頼をいただいた際は、面倒な事前調査から、関係各所との協議、書類の作成と収集、現地審査の立会いに至るまでを含めて、しっかりまるっと迅速にサポートさせていただいています。
また、弊所は「話しの分かる行政書士事務所」として、さまざまな事情をくんだ上での柔軟な対応を心がけています。JAPHICマークの取得でお困りの際は、弊所までどうぞお気軽にご相談ください。
JAPHICマーク取得に関するご相談はお気軽に♬
関西圏全域に対応可能です。
☎平日9時〜18時、📩は24時間365日対応!
06-6415-9020 または 090-1911-1497
メールでのお問い合わせはこちら。
事務所の最新情報をお届けします
