プライバシーマークは入札に必要？条件や判断ポイントを解説

なぜPマークが今、公共入札で求められるのか？

入札で問われる「個人情報保護体制」

公的機関がセキュリティに厳しいのはなぜ？

国や地方自治体などの公的機関は、住民の名前や住所、生年月日だけでなく、病歴や信条などの「要配慮個人情報」も多数取り扱っています。
こうした情報が漏えいや紛失、破損などのトラブルに巻き込まれないよう、適切なセキュリティ対策を講じる法的義務があります。

セキュリティ体制も評価される時代に

公共調達では、昔から「公平で適正な選定」「公正な競争」「透明性のある契約」が求められてきました。
その中で近年は、単に価格が安いだけでなく、提案内容や技術力、企業の体制も総合的に評価する総合評価落札方式が増えています。
この評価項目のひとつとして、「情報セキュリティ体制」が重視されるようになっています。

どんな業務でPマークが必要とされる？

特に次のような業務では受託企業に対する個人情報保護や情報セキュリティへの取り組みが厳しく問われます。

• 住民データを取り扱うシステム開発や運用
• マイナンバーを含む個人情報の処理業務
• 各種データ入力や市民サービスに関わる事務作業　など

このような背景から、公共の仕事に応募する企業には、第三者からの認証によってセキュリティ体制が整っていることを証明することが要求されており、その代表的な認証制度がプライバシーマーク（Pマーク）やISMS（ISO/IEC 27001）です。

Pマークは「必須」？それとも「あると有利」？

公共機関の入札に参加する際、Pマークを持っていることが「必須の条件」や「加点対象」になるケースが多く見られます。
また、同様の認証としてISMSもあわせて条件に含まれていることがあります。

Pマーク取得が「必須条件」になっている事例

たとえば、次のような入札案件では、PマークまたはISMSの取得が「必須」と明記されています。

※1参照元：国税庁｜一般競争入札公告（https://www.nta.go.jp/about/organization/tokyo/chotatsu/buppin/04/nyusatsu/190115-01.htm）
※2参照元：デジタル庁｜マイナンバーカードの普及等に向けた情報システムに係る調達等における評価制度の実施要領 資料（https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/f8a3c045-6c82-4abf-b0bf-cf18bdb79c38/2187b7d7/20230331_policies_mynumber_outline_02.pdf）
※3参照元：国土交通省 関東地方整備局｜入札公告　資料（https://www.ktr.mlit.go.jp/ktr_content/content/000908096.pdf）

Pマークが「加点対象」になることもある！

こうした案件は主に、調達ポータル（日本政府が運営する公式の電子調達サイト）などで公示されており、随時内容が更新されています。
また、Pマーク取得が絶対条件ではない場合でも、「持っていれば評価点が上がる」、「Pマークの定めた個人情報管理と同等の取り扱いが出来る事を証明する必要がある」というケースも多く見られます。

PマークとISMS、どちらでもいいの？

入札情報をよく見ると、「PマークまたはISMSのいずれかを取得していること」と記載されていることもあります。これは、発注元の機関が、

• Pマーク：個人情報の管理に特化した認証
• ISMS：会社全体の情報セキュリティを幅広く管理する認証

という性質の違いを理解したうえで、どちらも「客観的に信頼できるセキュリティ体制がある証拠」として評価していることを意味します。

Pマーク認証が求められやすい業務とは？

入札で特にPマークが求められる業務一覧

次のような業務では、PマークやISMSの取得が、入札参加の条件として求められるケースが多く見られます。

行政が認証取得企業を選ぶ理由とは？

これらの業務の多くは、もともと自治体や官公庁が自前で行っていたものですが、業務効率化や専門知識の活用を目的に、民間企業へ委託するケースが増えています。
結果、外部の事業者が住民の個人情報を取り扱うことになり、高いレベルでの情報管理能力が求められるようになっています。

このような背景から、発注する側（行政機関）は、PマークやISMSといった第三者認証を取得している企業を優先して選ぶようになっています。
これは、情報漏えいなどのリスクを減らすだけでなく、個人情報保護法で定められている「委託先の管理責任」を果たすためでもあります。

これらの業務を今後受託したいと考えている企業にとって、Pマークは“参入チケット”のような存在ともいえます。

Pマークがなくても大丈夫？代わりに使える認証とは

代わりに使われることが多いのは「ISMS」

公共事業の入札では、Pマークの代わりに、「ISMS」(ISO/IEC 27001)という国際的な情報セキュリティの認証が認められることがあります。
実際、多くの入札公告には、「PマークまたはISMSを取得していること」と記載されており、どちらか一方を持っていれば参加条件をクリアできるようになっています。

PマークとISMSの違い

PマークとISMSの違いは、対象とする情報の範囲です。
Pマークは、日本の「JIS Q 15001」という規格に基づき、主に「個人情報」の保護に特化した認証です。一方で、ISMSは、企業が持つすべての情報資産（顧客情報、業務マニュアル、システムデータなど）を守るための仕組みを整えていることを証明する認証です。

さらに、取得の単位にも違いがあります。Pマークは基本的に会社（法人）全体で取得するのが一般的ですが、ISO/IEC 27001は特定の部署やプロジェクトだけでも取得できるという柔軟性があります。たとえば「クラウド開発部門のみでISMSを取得する」といったケースも可能です。

どちらを選ぶべきかは、自社の事業内容や将来の方針に応じて検討するのが良いでしょう。

公共入札を中心に考えるなら「Pマーク」、グローバル企業との取引や、幅広い情報セキュリティ体制をアピールしたい場合は「ISMS」の方が向いているという考え方もあります。

入札で選ばれるのはPマーク？ISMS？

公共入札でPマーク・ISMSのどちらが「より良い」とされるかは、発注案件の性質や発注機関の方針によって異なります。

• 住民個人情報を大量に扱う案件（税関連、住民情報データ処理など）では、Pマークの保有企業が必須要件になるケースが多い
• システム開発やインフラ運用など、より幅広い情報セキュリティが求められる案件では、ISMS（ISO27001）の方が評価される場合もある

しかし実際には、入札要件に「PマークまたはISMSを取得していること」と併記されるケースが主流であり、どちらか一方を持っていれば足りるとされることがほとんどです。どちらの認証を取得するべきかは、自社の扱う情報や今後の事業方針（海外展開の有無など）によって検討するのが良いでしょう。

公共案件を狙うならPマーク取得は有効！

公共事業への参入を目指す企業にとって、Pマークの取得は大きな強みになります。個人情報を扱う業務が多い自治体案件では、Pマークが入札の「必須条件」や「加点対象」となるケースが増えており、信頼性の証として評価されています。
一方で、取得には時間や費用がかかるため、自社の事業内容や今後の方針を踏まえて判断することが大切です。公共案件を本格的に狙うなら、早めの取得を検討しておくとよいでしょう。