「Pマークについての教育内容はどんなことを教えればよいのか?」
「従業員への教育はどのようにしていけばよいのか?」
「PマークとISMSの教育とでは何が違うのか?」
上記について知りたい個人情報保護担当者の方もおられるでしょう。
本記事では、Pマークで必要な4つの教育内容、Pマークの運用・実施のための従業員教育の流れ、Pマーク教育とISMS教育の違いについて解説します。さらにPマークとISMSの教育に最適な当社のE-Learningについても紹介します。
御社での社内教育の実施に役立て、しっかりとした個人情報保護を行う上でお役立て下さい。
Pマークで必要な4つの教育内容
Pマークでは、次の内容についての教育を実施することが、Pマークの準拠規格であるJIS Q 15001によって義務付けられています。
a)個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
b)個人情報保護マネジメントシステムに適合することの重要性と利点
c)個人情報保護マネジメントシステムに適合するための役割と責任
d)個人情報保護マネジメントシステムに違反した際に予想される結果
a)からd)の内容について解説をします。
a)個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
簡単に言うと「全ての従業員が自社の個人情報保護方針を知る」ための教育のことです。
個人情報保護方針とは、事業者による個人情報の取り扱いについて定めた文書をいいます。
「内部向け」には従業員だけでなく、委託先や協業相手などの取引先も含まれています。また「外部向け」とは顧客や一般の方のことです。
Pマークでは、従業員が常日頃から自社の個人情報保護方針を理解・実践していることが要求されます。
b)個人情報保護マネジメントシステムに適合することの重要性と利点
「個人情報を保護することの重要性、ビジネスメリットは何なのか」についての教育です。
重要性についての教育では次の内容について従業員に理解させます。
- 個人情報の取り扱いミスは、会社の信用を損なうだけでなく、Pマーク認定の取り消しや、最悪の場合は、顧客からの損害賠償請求につながる
- 自社の個人情報保護マネジメントシステムを正しく理解・実践することが、そうしたリスクを避けることにつながる
一方で、利点についての教育では次の内容を教えます。
- Pマーク認定を受けていると取引先や消費者から信頼される
- Pマーク認定を受けていることが取引条件や、入札条件になっている場合がある
- 情報マネジメントシステムがあることで、個人情報保護に関するトラブルやインシデントがもし発生しても、的確かつ迅速な対応ができる
c)個人情報保護マネジメントシステムに適合するための役割と責任
「個人情報保護のための社内体制を理解し、自分に与えられた役割と責任を知る」ための教育です。
Pマークにおける個人情報保護マネジメントシステムを運用・実施するためには、運用と実施に責任と権限を持つ「個人情報保護管理者」と「個人情報保護監査責任者」が必要です。
それぞれの役職の目的や役割、責任と権限の範囲について担当者に教育をします。
また、上記の役職以外にも、個人情報保護マネジメントシステムの運用責任者がいれば、同様に教育を行います。
d)個人情報保護マネジメントシステムに違反した際に予想される結果
「個人情報保護のためのルールに違反した場合にどうなるのか」を知るための教育です。
個人情報保護マネジメントシステムを遵守しないと次のようなリスクの発生につながることを理解させます。
- インシデント(例:個人情報漏洩、紛失、改ざん)
- 信用問題
- Pマーク認定取り消し
- 損害賠償
- 取引停止や倒産
また、実際にあったインシデントの事例を使った教育を行うことも効果的です。自社のいる業界での実例を使った実践的な教育を行うとよいでしょう。
Pマークの運用・実施のための従業員教育の流れ
前述の4要素を含む教育資料を使用して、年に1回、全ての従業員・従業者に対して教育を行います。教育の最後として「理解度テスト」を実施し、間違えた箇所の再教育を行なって確実に理解させればだいたいOKと言えます。
次の順番で詳しく見ていきましょう。
- Pマークの審査基準が定める教育内容
- Pマークについての従業員教育の頻度
- Pマークについての教育の対象者
- Pマークについての教育に使用する教育用資料の内容
- Pマークについての社員の理解度確認と教育実施記録の作成の仕方
Pマークの審査基準が定める教育内容
Pマーク付与適格性審査基準で要求されている教育内容は下記表の通りです。
| No. | 審査項目 | 確認方法・エビデンス |
| 1 | 全ての従業者に対して,少なくとも年一回,適宜に教育を実施する手順が内部規程として文書化されていること。 | ・教育などに関する規定(A.3.3.5 i)) |
| 2 | 教育などに関する規定には,受講者の理解度を確認する手順が含まれていること。 | 教育などに関する規定(A.3.3.5 i)) |
| 3 | 教育実施計画(A.3.3.6 a))に従って教育を実施していること。 | 3計画書(A.3.5.3 d))教育などの実施記録(A.3.5.3 g)) |
| 4 | 全ての従業者に対して,a)~d)の内容を認識させていること。 a) 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)b) 個人情報保護マネジメントシステムに適合することの重要性及び利点c) 個人情報保護マネジメントシステムに適合するための役割及び責任d) 個人情報保護マネジメントシステムに違反した際に予想される結果 | ・使用した教材等 |
| 5 | 受講者の理解度確認を実施していること。 | 教育などの実施記録(A.3.5.3 g)) |
出典:プライバシーマーク付与適格性審査基準 「A.3.4.5 認識」
要点をまとめると次のようになります。
- 教育頻度は年1回以上
- 全ての従業員・従業者(役員、正社員、派遣社員、パート・アルバイトなど全て含む)が教育対象
- 教育実施計画に基づいて実施されていること
- 上記a)からd)までの内容を教育し、理解させていること
- 理解度テストを実施して、理解が不十分な場合は再教育を行う
Pマークについての従業員教育の頻度
前述の通り、従業員教育の頻度は年に1回以上です。教育の実施時期についての規定はありません。
新卒・中途の新入社員が入社してきた場合には、都度、教育の機会を設けるとよいでしょう。
Pマークについての従業員教育の対象者
Pマークの教育は自社と雇用関係にある従業員だけでなく、雇用関係にない従業者全員を対象にしています。ただし、長期休暇中の人は対象外です。
下記が教育の対象者に該当します。
雇用関係にある従業員
- 正社員
- 契約社員
- 嘱託社員
- パート社員
- アルバイト社員
雇用関係にない従業者
- 取締役
- 執行役
- 理事
- 監査役
- 監事
- 派遣社員
Pマークについての教育に使用する教育用資料の内容
一般的には、前述のa)からd)の4要素に加えて、下記のようにさらに詳しい情報を盛り込んだ教育用資料を作成して、教育を実施します。
教育資料の項目例を紹介致しますので、この情報を活用して、ぜひ社員教育を実施してみてください。
- 個人情報を保護することの重要性、ビジネスメリットは何なのか ※b)
- Pマーク制度の紹介、自社で取り組むことになった経緯
- 自社の個人情報保護方針について ※a)
- 個人情報保護のための社内体制と、自分に与えられた役割と責任 ※c)
- どんな情報が個人情報に含まれるのか、マイナンバーの取扱いについて
- 最近の事故事例、特に知っておくべきセキュリティ知識
- 社員として守るべき個人情報の取扱いルール ※c)
・入退室管理、施錠管理、廃棄のルールなど
・パソコン、スマホの取扱いについて
・外出時のルール
・メール、ウェブ、SNSで気を付けること
・個人情報を取得する場合のルール
・委託先選定、ウェブや印刷物制作におけるルール など
- 個人情報保護について外部から問い合わせを受けたら ※c)
- 個人情報保護について外部から問い合わせを受けたら ※c)
- 個人情報保護のためのルールに違反した場合にどうなるのか ※d)
Pマークについての社員の理解度確認と教育実施記録の作成の仕方
Pマークについての社員教育を実施した後に、理解度確認のためのテストを行います。
教育内容を網羅した内容のテストを作成することが重要です。
研修内容のレポートを書かせるより、実際に個々の教育内容について理解しているかが分かるテスト形式を採用した方が効果的です。
また、社員の理解度だけでなく、テスト結果の分析を基にした教材と教育の内容、テストの内容、テストの実施時期と実施方法についての見直しをすることも必要になります。
次に、教育の実施記録を残します。教育実施記録には下記の内容を記載しましょう。
- 教育実施期間
- 使用した教材
- 教育成果の評価方法
- 教育を受けた社員の内訳
教育の実施記録はPマークの更新審査時にも提出が要求されるので、最低でも2年間は保管する必要があります。保管方法は任意です(紙、または、電子)。
Pマーク教育とISMS教育の違いについて
PマークとISMSでは教育内容についての規定が異なっています。
Pマークでは上述の内容についての教育を行う必要がありますが、ISMSでは教育内容、教育実施範囲、教育対象者について自社の判断で設定をすることができます。
当社ではPマーク・ISMS教育のためのE-Learningサービスを提供しているので、ぜひご利用をご検討下さい。
PマークとISMSの教育には当社のE-Learningがおすすめ!
当社の「Pマーク/ISMSのためのE-Learning」は、他のどんなE-Learningよりも簡単に実施できることがメリットです。
ご用意いただくのは「社員のお名前とメールアドレス(エクセル)」のみになります。
後は、当社がひな形として用意している「Pマーク/ISMSの規格に準拠した教育コンテンツ(パワーポイント)」「理解度テスト(エクセル)」を御社の御状況に合わせて少し書き換えて頂くだけです。
少し書き換える内容とは、パスワードの文字数、個人情報保護の担当部署名と管理者名などです。
データを頂けると、当社の担当者がサーバーをセットアップし、御社の社員の皆さんに案内メールを送ります。
締め切りまでに受講してくれない場合にはもう一度案内メールを送ります。
その後、教育記録を貴社にお戻し致します。
ほんとにこれだけでE-Learningを実行して頂けます。
また、「Pマーク/ISMSのためのE-Learning」は、当社コンサルタントが作成したPマーク/ISMSの規格に準拠した教育コンテンツをひな形としてご用意しています。
当社が日常的にコンサルティングで利用しているものであり、内容には定評があるものです。
