平林

プライバシーマーク維持のポイント(その1:教育)


プライバシーマークを取得した企業がその後、毎年実施すべき業務は

台帳の見直しなどいくつかありますが、最も大切な業務は全従業者が

関係する教育と監査です。

毎年、教育と監査についてキチンと実施している企業は、他の見直し業

務もキチンと対応されていると判断してほぼ間違いがありません。

 

まず、教育については、プライバシーマークの認定基準になっている

JISQ15001:2017では4項目の要求事項(①個人情報保護方針②PMS

〔個人情報保護マネジメントシステム〕に適合することの重要性及び利

点。③PMSに適合するための役割及ぶ責任。④PMSに違反した際に予

想される結果)があります。

しかし、その要求事項のみの教育を毎年行うとマンネリ化し、「また

同じ教育か」と思われて受講者も身に入りません。

 

そこで、参加者が興味を持って参加する形式の教育が必要です。

例えば、最近発生し大事件になった他社の個人情報漏えい事件等を取

り上げて、参加者でどこに問題があったのかを検討することなどは、

各人が自分で個人情報について考える機会にもなり有効な方法ではな

いかと思います。

その場合、結論を出すことよりも、人による問題点の捕らえ方の違いな

どを理解をすることが重要です。

 

また、現在行っている自社の業務について、個人情報保護の観点から取

扱いのポイントや想定リスクと対策について議論するなども有効な教育

方法であると思われます。

 

但し、このような実践的な教育のみを実施した際は、JISの教育に関す

る上記の4項目の要求事項を満たしていませんので、例えば、教育終了

後の理解度テストの問題に4項目に関する問題を入れて4項目に対応す

るなどの方法でカバーすることが必要になります。

 

また、教育を行う際に注意すべき点は、JISでは従業者全員に適切な教

育を行うことが規定されていることです。

しかし、例えば、派遣スタッフを派遣している一般派遣の派遣会社は、派

遣スタッフについては、従業者教育の例外として、実務に就業する前に教

育が必要であるとされています(ただし、従業者と同じ内容の教育である

必要はないとされている。)ので注意が必要です。

 

また、例えば、IT企業で業務請負や委任契約などにより自社内で勤務し

ている委託先要員については、委託先の要員であるため従業者の教育の

対象にはなりませんが、実態としては社員と同様に開発作業などを実施

しているので、教育の対象者として教育を実施することが重要と判断す

ることが必要です。

 

また、中途入社した従業者については、個人情報の取り扱い業務に従事

する場合は従事する前のオリエンテーション等の中で、簡単でもいいの

で個人情報保護教育を実施することが必要です。この場合は受講者に理

解度の確認を行うなどの作業までは求められてはいないという解釈で良

いが、教育の記録を残すことは必要です。

 

 

この記事を書いた人

平林
平林
■出身地:東京都
■趣味:散歩
■最近のはまり:ルネッサンス美術
■苦手なもの:満員電車

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にDM発送代行、プライバシーマーク取得コンサルティング事業をしております。
プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 平林