皆さんこんにちは。
Pマークザムライことオプティマ・ソリューションズの中康二です。
これから、プライバシーマーク・ISMSに関するお役立ち情報を【知っ得情報】としてこのWebサイト上でお知らせしていくことにします。どうぞご期待ください。
記念すべき初回は「プライバシーマークの社員教育に求められる条件とは」というタイトルでお届けします。
プライバシーマークの社員教育に求められる条件とは?
プライバシーマークの取得、更新のためには、定期的に社員教育をしなければなりません。では、どのような点に気を付ければいいのでしょうか?
(1)「JIS Q 15001」が求めている4要素
まず、プライバシーマークの準拠規格となっている「JIS Q 15001」を参照しましょう。
社員教育に関して、JIS Q 15001では、下記の内容を要求しています。
(JIS Q 15001:2017より引用)
つまり、上記のa) b) c) d)の4つの要素を含む教育を定期的に実施せよと言ってます。
a) b) c)を、それぞれもう少し平易な表現に置き換えると
a) 自社の個人情報保護方針を知る。
b) 個人情報を保護することの重要性、ビジネスメリットは何なのか知る。
c) 個人情報保護のための社内体制を理解し、自分に与えられた役割と責任を知る。
d) 個人情報保護のためのルールに違反した場合にどうなるのか知る。
となります。
この4つの要素を含む教育資料を作成して、教育を実施せよ。それがJISが求めていることです。
(2)「審査基準」が求めている教育の条件
次に、プライバシーマークの審査基準となっている「プライバシーマーク付与適格性審査基準」を参照しましょう。
社員教育に関して、審査基準では、下記の内容を要求しています。
(プライバシーマーク付与適格性審査基準より引用)
要点をまとめると、
・教育頻度は年1回以上
・全ての従業者(役員、正社員、派遣社員、パート・アルバイトなど全て含む)を対象とする
・教育実施計画に基づいて実施されていること
・上記a)からd)までの内容を理解させていること
・理解度テストを実施して、理解が不十分な場合は再教育を行う
となります。
(3)プライバシーマークの定期教育はこのように行う
上記の4要素を含む教育資料を使用して、年に1回、全ての従業者を集めて集合研修を行い、研修の最後に「理解度テスト」を行い、その場で自己採点させて、間違えていたところには資料を見直させて、理解を確実にすれば、だいたいOKと言えます。
一般的には4要素に加えて、下記のようにさらに詳しい情報を盛り込んだ資料を作成して、教育を実施します。
教育資料の項目例
- 個人情報を保護することの重要性、ビジネスメリットは何なのか ※b)
- プライバシーマーク制度の紹介、自社で取り組むことになった経緯
- 当社の個人情報保護方針について ※a)
- 個人情報保護のための社内体制と、自分に与えられた役割と責任 ※c)
- どんな情報が個人情報に含まれるのか、マイナンバーの取扱いについて
- 最近の事故事例、特に知っておくべきセキュリティ知識
- 社員として守るべき個人情報の取扱いルール ※c)
・入退室管理、施錠管理、廃棄のルールなど
・パソコン、スマホの取扱いについて
・外出時のルール
・メール、ウェブ、SNSで気を付けること
・個人情報を取得する場合のルール
・委託先選定、ウェブや印刷物制作におけるルール など- 個人情報保護について外部から問い合わせを受けたら ※c)
- 万が一の事故に気付いたらどうするべきなのか ※c)
- 個人情報保護のためのルールに違反した場合にどうなるのか ※上記d)
皆さん、この情報を活用して、ぜひ社員教育を実施してみてください。
当社E-Learningをご体験ください
集合研修を実施するには、社員を一か所に集めるなど、人的コストが大きく発生します。また、感染症を避けるためにも集合研修は避けるに越したことはありません。そこで当社では「プライバシーマーク・ISMSのためのE-Learning」をご提供しています。興味を持っていただいた方は下記のリンクからお問い合わせください。デモ版を体験していただけます(無料)。