従業員の監督が不十分とされる3つの例【Ｐマーク取得の基礎知識】

個人情報を取り扱っている事業者といっても、事業所の中で個人情報を実際に取り扱う業務に従事しているのは一人一人の従業員です。

個人情報を適切に取り扱っているというためには会社として個人情報保護マネジメントシステムを整備するだけでなく、個々の従業員が個人情報保護に努めて業務にあたるよう監督しなければなりません。

このようにして従業員を適切に監督することはプライバシーマーク（Pマーク）取得会社のみならずすべての個人情報取扱事業者に求められることです。従業員の監督はプライバシーマーク（Pマーク）の規格だけでなく個人情報保護法においても義務づけられているのです。

しかしながらすべての事業者が十分に従業員を監督しているかというと、残念ながらそうではない場合もあります。ではどのような状況が従業員を適切に監督していないと判断されるのでしょうか。3つほど例を挙げてみましょう。

教育研修を行っていなかった場合

まず「従業員」とは何でしょうか。「従業員」とはその会社の指揮監督を受けて業務に従事している人を指します。正社員はもちろんのことパート社員、嘱託社員、派遣社員も従業員に含まれます。プライバシーマーク（Pマーク）では会社の役員も従業員に含むものとして取り扱います。

従業員を正しく監督していないとみなされる一つ目のケースは個人情報保護に関する教育研修を十分に行っていなかった場合です。

もちろん従業員の中には教育を受ける前から個人情報保護の認識を持っている人もいます。しかし会社としては従業員にそのことを期待するのではなく、事業者の責任として従業員を教育し、個人情報保護のレベルを高めるよう努めなければならないのです。

とりわけプライバシーマーク（Pマーク）取得会社は個人情報の取り扱いに関する従業員教育を必ず行わなければなりません。

点検を行っていなかった場合

教育したことを実践しているかどうかを点検することもプライバシーマーク（Pマーク）取得会社の責務です。

ここでいう「点検」とは何も監査や外部機関によるプライバシーマーク（Pマーク）更新審査などの大規模な点検だけを指しているのではありません。たとえば業務の中で日常的に行われるチェックなども点検に含まれます。

そういった点検を行なっていなかったために従業員の行動によって個人情報漏えいなどが発生した場合、会社としては従業員の監督が不十分であるとして責任を取らなければなりません。

ルール違反を放置していた場合

たとえばノートパソコンを社外に持ち出す際は申請を出さなければならないと規定しているプライバシーマーク（Pマーク）取得会社があるとしましょう。中にはこのルールがあるにも関わらず無断でノートパソコンを持ち出す従業員がいるかもしれません。会社はどうすべきでしょうか。

社内ルールを違反するその従業員に対して警告を与えなければなりません。一番良くないのはそのルール違反を放置することです。もし会社が従業員のルール違反を知っていながらそれを黙認していた場合、そのルール違反の結果として個人情報事故が起こったとしたら会社は従業員の監督が足りなかったと判断されても仕方ありません。

まとめ

従業員の監督はプライバシーマーク（Pマーク）取得会社としての個人情報保護の取り組みに直接影響を及ぼします。教育研修にしても点検にしても、決して他の業務の後回しにしないようにしましょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】