Pマークにおける懲戒措置

プライバシーマーク（Pマーク）の規定の中には「従業者の監督」という項目があります。従業者の監督とは具体的に日々の業務の中で従業員を教育すること、入社時に秘密保持契約書を取得すること、またモニタリングなどの手段を含む監督を行うことなどを指しています。

では監督を行っているにもかかわらず従業員が個人情報保護に関係するルールを著しい仕方で違反する場合はどうでしょうか。このような場合に備えてプライバシーマーク（Pマーク）取得会社は「懲戒措置」を規定しておく必要があります。

懲戒措置とは違反となる行動を取った社員に対して何らかの罰則を与えることであり、その内容や程度は確立された基準に則したものでなければなりません。

経営者の気まぐれで懲戒処分を決めるのが不適切であることは言うまでもありませんが、その一方であらゆる違反行為に対して規則的に同一の懲戒を適用するのもまた不適切な方法です。

ではどうすれば違反行為に相応の懲戒措置を講じることができるでしょうか。以下に挙げる4つの要素を考慮しつつ懲戒の程度を定めるのが望ましいでしょう。

違反の内容と重大さ

個人情報保護やプライバシーマーク（Pマーク）に関連するルールは大小様々であり、各ルールを違反した場合に事業やセキュリティに及ぼす影響も様々です。

とりわけ個人情報を直接危険にさらす行為、あるいは明らかな悪意に基づく行動を伴う違反の場合は重い懲戒が必要と判断されます。

最初の違反か、繰り返されたものか

ルールを違反してしまうことはだれにでもあることですから、一度目の違反でただちに重い懲戒を与えるのは必ずしも適当ではありません。

問題は同じ違反が二度三度にわたって繰り返される場合です。このような事例ではさらなる違反の発生を食い止めるためにより厳重な懲戒が必要となるでしょう。

教育されていたか

たとえ従業員が個人情報保護の規定に違反したとしても、そもそも当人にその規定について知る機会が与えられていなかったのであれば懲戒処置をとるのは不当なことです。

プライバシーマーク（Pマーク）取得会社として行う懲戒手続きは必ず従業員がその違反行為について事前に教育や訓練がなされていたかどうかを考慮して実施されなければなりません。

関係する法律

その違反行為が個人情報保護に関連する法律に直接違反するものであれば、それは会社の懲戒手続き以前の問題として法に基づく刑事的制裁が必要となります。

まとめ

普段の業務やプライバシーマーク（Pマーク）取得にかかわる活動の中で懲戒措置が問題となる機会はあまりないかもしれません。最も望ましいのは懲戒措置をとる必要がない状態です。

とはいえ従業員の行動が原因で個人情報関連の事故が起きない保証はどこにもありませんし、実際に起きてから懲戒措置を規定するのも正しい順序とは言えません。

大切なのは個人情報保護違反を犯した従業員に対して処置をとるための懲戒手続きを前もって整備し、周知し、組織の状況に合わせて更新しつつ実施することです。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】