従業員の監督が不十分とされる3つの例【Pマーク取得の基礎知識】

個人情報を取り扱っている事業者といっても、事業所の中で個人情報を実際に取り扱う業務に従事しているのは一人一人の従業員です。
個人情報を適切に取り扱っているというためには会社として個人情報保護マネジメントシステムを整備するだけでなく、個々の従業員が個人情報保護に努めて業務にあたるよう監督しなければなりません。
このようにして従業員を適切に監督することはプライバシーマーク(Pマーク)取得会社のみならずすべての個人情報取扱事業者に求められることです。従業員の監督はプライバシーマーク(Pマーク)の規格だけでなく個人情報保護法においても義務づけられているのです。
しかしながらすべての事業者が十分に従業員を監督しているかというと、残念ながらそうではない場合もあります。ではどのような状況が従業員を適切に監督していないと判断されるのでしょうか。3つほど例を挙げてみましょう。
教育研修を行っていなかった場合
まず「従業員」とは何でしょうか。「従業員」とはその会社の指揮監督を受けて業務に従事している人を指します。正社員はもちろんのことパート社員、嘱託社員、派遣社員も従業員に含まれます。プライバシーマーク(Pマーク)では会社の役員も従業員に含むものとして取り扱います。
従業員を正しく監督していないとみなされる一つ目のケースは個人情報保護に関する教育研修を十分に行っていなかった場合です。
もちろん従業員の中には教育を受ける前から個人情報保護の認識を持っている人もいます。しかし会社としては従業員にそのことを期待するのではなく、事業者の責任として従業員を教育し、個人情報保護のレベルを高めるよう努めなければならないのです。
とりわけプライバシーマーク(Pマーク)取得会社は個人情報の取り扱いに関する従業員教育を必ず行わなければなりません。
点検を行っていなかった場合
教育したことを実践しているかどうかを点検することもプライバシーマーク(Pマーク)(Pマーク)取得会社の責務です。
ここでいう「点検」とは何も監査や外部機関によるプライバシーマーク(Pマーク)更新審査などの大規模な点検だけを指しているのではありません。たとえば業務の中で日常的に行われるチェックなども点検に含まれます。
そういった点検を行なっていなかったために従業員の行動によって個人情報漏えいなどが発生した場合、会社としては従業員の監督が不十分であるとして責任を取らなければなりません。
ルール違反を放置していた場合
たとえばノートパソコンを社外に持ち出す際は申請を出さなければならないと規定しているプライバシーマーク(Pマーク)取得会社があるとしましょう。中にはこのルールがあるにも関わらず無断でノートパソコンを持ち出す従業員がいるかもしれません。会社はどうすべきでしょうか。
社内ルールを違反するその従業員に対して警告を与えなければなりません。一番良くないのはそのルール違反を放置することです。もし会社が従業員のルール違反を知っていながらそれを黙認していた場合、そのルール違反の結果として個人情報事故が起こったとしたら会社は従業員の監督が足りなかったと判断されても仕方ありません。
まとめ
従業員の監督はプライバシーマーク(Pマーク)取得会社としての個人情報保護の取り組みに直接影響を及ぼします。教育研修にしても点検にしても、決して他の業務の後回しにしないようにしましょう。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]