fbpx

情報セキュリティにまつわる
お役立ち情報を発信

プライバシーマーク維持のポイント(その1:教育)

プライバシーマークを取得した企業がその後、毎年実施すべき業務は

台帳の見直し事項などいくつかありますが、最も大切な業務は全従業

者が関係する教育と監査です。

毎年、教育と監査についてキチンと実施している企業は、他の見直し業

務もキチンと対応されていると判断してほぼ間違いがありません。

 

まず、教育については、プライバシーマークの認定基準になっている

JISQ15001:2017では4項目の要求事項(①個人情報保護方針。

②PMS〔個人情報保護マネジメントシステム〕に適合することの重要性

及び利点。③PMSに適合するための役割及ぶ責任。④PMSに違反した

際に予想される結果)があります。

しかし、その要求事項のみの教育を毎年行うとマンネリ化し、「また

同じ教育か」と思われて受講者も身に入りません。

 

そこで、参加者が興味を持って参加する形式の教育が必要です。

例えば、最近発生し大事件になった他社の個人情報漏えい事件等を取

り上げて、参加者でどこに問題があったのかを検討することなどは、

各人が自分で個人情報について考える機会にもなり有効な方法ではな

いかと思います。

その場合、結論を出すことよりも、人による問題点の捕らえ方の違いな

どを理解をすることが重要です。

 

また、現在行っている自社の業務について、個人情報保護の観点から取

扱いのポイントや想定リスクと対策について議論するなども有効な教育

方法であると思われます。

 

但し、このような実践的な教育のみを実施した際は、JISの教育に関す

る上記の4項目の要求事項を満たしていませんので、例えば、教育終了

後の理解度テストの問題に4項目に関する問題を入れて4項目に対応す

るなどの方法でカバーすることが必要になります。

 

また、教育を行う際に注意すべき点は、JISでは従業者全員に適切な教

育を行うことが規定されていることです。

しかし、例えば、派遣スタッフを派遣している一般派遣の派遣会社は、派

遣スタッフについては、従業者教育の一環として、実務に就業する前のオ

リエンテーションの中でPMSの教育を実施することが望ましいとされて

いますので注意が必要です。(ただし、簡易な教育の実施で良く、従業者

と同じ内容の教育である必要はありません。)

 

また、例えば、IT企業で業務請負や委任契約などにより自社事務所内で

勤務している委託先要員については、委託先の要員であるため従業者の

教育の対象にはなりませんが、実態としては社員と同様に業務を実施し

ているので、自衛策として、教育の対象者に加えて同様な教育を実施す

ることが重要であると思われます。

 

また、中途入社した従業者については、個人情報の取り扱い業務に従事

する場合は従事する前のオリエンテーション等の中で、簡単でもいいの

で個人情報保護教育を実施することが必要です。

この場合は、受講者に理解度の確認を行うなどの作業までは求められて

はいないという解釈で良いが、教育実施の記録を残すことは必要です。

 

以上

 

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る