皆さんこんにちは。
Pマークザムライことオプティマ・ソリューションズの中康二です。
これから、プライバシーマーク・ISMSに関するお役立ち情報を【知っ得情報】としてこのWebサイト上でお知らせしていくことにします。どうぞご期待ください。
記念すべき初回は「プライバシーマークの社員教育に必要な3要素とは」というタイトルでお届けします。
プライバシーマークの社員教育に必要な3要素とは?
プライバシーマークの取得、更新のためには、定期的に社員教育をしなければなりません。では、どのような点に気を付ければいいのでしょうか?
(1)「JIS Q 15001」が求めている3要素
まず、プライバシーマークの準拠規格となっている「JIS Q 15001」を参照しましょう。
社員教育に関して、JIS Q 15001では、下記の内容を要求しています。
(JIS Q 15001:2006より引用)
つまり、上記のa) b) c)の3つの要素を含む教育を定期的に実施せよと言ってます。
a) b) c)を、それぞれもう少し平易な表現に置き換えると
a) 個人情報を保護することの重要性、ビジネスメリットは何なのか知る。
b) 個人情報保護のための社内体制を理解し、自分に与えられた役割と責任を知る。
c) 個人情報保護のためのルールに違反した場合にどうなるのか知る。
となります。
この3つの要素を含む教育資料を作成して、教育を実施せよ。それがJISが求めていることです。
(2)「JIPDECガイドライン」が求めている教育の条件
次に、プライバシーマークの審査基準となっている「JIPDECガイドライン」を参照しましょう。
社員教育に関して、JIPDECガイドラインでは、下記の内容を要求しています。
(JIPDECガイドライン第二版より引用)
要点をまとめると、
・教育頻度は年1回以上
・全ての従業者(役員、正社員、派遣社員、パート・アルバイトなど全て含む)を対象とする
・理解度テストを実施して、理解が不十分な場合は再教育を行う
・全ての従業者が受講したことが分かる教育記録を残すこと
となります。
(3)プライバシーマークの教育はこのように行う
上記a) b) c)の3要素を含む教育資料を使用して、年に1回、全ての従業者を集めて集合研修を行い、研修の最後に「理解度テスト」を行い、その場で自己採点させて、間違えていたところには資料を見直させて、理解を確実にすれば、だいたいOKと言えます。
一般的にはa) b) c)の3要素に加えて、下記のようにさらに詳しい情報を盛り込んだ資料を作成して、教育を実施します。
教育資料の項目例
- 個人情報を保護することの重要性、ビジネスメリットは何なのか ※上記a)
- プライバシーマーク制度の紹介、自社で取り組むことになった経緯
- 個人情報保護のための社内体制と、自分に与えられた役割と責任 ※上記b)
- どんな情報が個人情報に含まれるのか、マイナンバーの取扱いについて
- 最近の事故事例、特に知っておくべきセキュリティ知識
- 社員として守るべき個人情報の取扱いルール
・入退室管理、施錠管理、廃棄のルールなど
・パソコン、スマホの取扱いについて
・外出時のルール
・メール、ウェブ、SNSで気を付けること
・個人情報を取得する場合のルール
・委託先選定、ウェブや印刷物制作におけるルール など- 個人情報保護について外部から問い合わせを受けたら
- 万が一の事故に気付いたらどうするべきなのか
- 個人情報保護のためのルールに違反した場合にどうなるのか ※上記c)
皆さん、この情報を活用して、ぜひ社員教育を実施してみてください。
当社E-Learningをご体験ください
集合研修を実施するには、社員を一か所に集めるなど、人的コストが大きく発生する場合もあります。当社では「プライバシーマーク・ISMSのためのE-Learning」をご提供しています。興味を持っていただいた方は下記のリンクからお問い合わせください。デモ版を体験していただけます(無料)。
