プライバシーマーク維持のポイント(その１：教育)

プライバシーマークを取得した企業がその後、毎年実施すべき業務は

台帳の見直しなどいくつかありますが、最も大切な業務は全従業者が

関係する教育と監査です。

毎年、教育と監査についてキチンと実施している企業は、他の見直し業

務もキチンと対応されていると判断してほぼ間違いがありません。

教育についてのプライバシーマークの任的基準４項目の要求事項

まず、教育については、プライバシーマークの認定基準になっている

JISQ15001:2017では4項目の要求事項

①個人情報保護方針

②PMS〔個人情報保護マネジメントシステム〕に適合することの重要性及び利

点。

③PMSに適合するための役割及ぶ責任。

④PMSに違反した際に予想される結果

があります。

しかし、その要求事項のみの教育を毎年行うとマンネリ化し、「また

同じ教育か」と思われて受講者も身に入りません。

参加者に興味を持ってもらうには実例を挙げて考えてもらう

そこで、参加者が興味を持って参加する形式の教育が必要です。

例えば、最近発生し大事件になった他社の個人情報漏えい事件等を取

り上げて、参加者でどこに問題があったのかを検討することなどは、

各人が自分で個人情報について考える機会にもなり有効な方法ではな

いかと思います。

その場合、結論を出すことよりも、人による問題点の捕らえ方の違いな

どを理解をすることが重要です。

また、現在行っている自社の業務について、個人情報保護の観点から取

扱いのポイントや想定リスクと対策について議論するなども有効な教育

方法であると思われます。

但し、このような実践的な教育のみを実施した際は、JISの教育に関す

る上記の４項目の要求事項を満たしていませんので、例えば、教育終了

後の理解度テストの問題に4項目に関する問題を入れて4項目に対応す

るなどの方法でカバーすることが必要になります。

従業員全員に適切な教育を行い理解度を確認する

また、教育を行う際に注意すべき点は、JISでは従業者全員に適切な教

育を行うことが規定されていることです。

しかし、例えば、派遣スタッフを派遣している一般派遣の派遣会社は、派

遣スタッフについては、従業者教育の例外として、実務に就業する前に教

育が必要であるとされています（ただし、従業者と同じ内容の教育である

必要はないとされている。）ので注意が必要です。

また、例えば、IT企業で業務請負や委任契約などにより自社内で勤務し

ている委託先要員については、委託先の要員であるため従業者の教育の

対象にはなりませんが、実態としては社員と同様に開発作業などを実施

しているので、教育の対象者として教育を実施することが重要と判断す

ることが必要です。

また、中途入社した従業者については、個人情報の取り扱い業務に従事

する場合は従事する前のオリエンテーション等の中で、簡単でもいいの

で個人情報保護教育を実施することが必要です。この場合は受講者に理

解度の確認を行うなどの作業までは求められてはいないという解釈で良

いが、教育の記録を残すことは必要です。

まとめ

プライバシーマークを維持するためには取得したときから次の更新までに教育、監査は不可欠です。

今回はプライバシーマーク維持のポイントとして教育と部分でお話させていただきました。

★こちらの記事もおすすめ

→【認証取得以外の支援もあります～【Ｐマーク取得の基礎知識】】