Pocket

プライバシーマークの教育はどこまで必要?

プライバシーマークをこれから取得している企業、あるいは既に取得している企業において、従業員が避けては通れないものが「プライバシーマークの教育」です。Pマーク担当者の皆さんはおそらくこの教育に困っているのではないでしょうか。特にPマークを取得して何年も経っている会社は毎年同じ教育内容の繰り返しになってしまっているケースもあるでしょう。とはいっても教育のコンテンツを作るのには手間がかかるし、外部から購入するのにはお金もかかります。

では「プライバシーマークの教育」とは何をどこまでやればいいのでしょうか。Pマークについてや個人情報について、または情報セキュリティ全般についてなど幅広い分野を網羅した教育をおこない、厳しい基準でのテストを全員合格するまでやらなければいけない、と思っている方もいると思います。しかし、本当はプライバシーマークの規格(JIS q15001)で求められているのは以下の項目だけです。

事業者は,従業者に,定期的に適切な教育を行わなければならない。事業者は,従業者に,関連する各部門及び階層における次の事項を理解させる手順を確立し,かつ,維持しなければならない。

a)個人情報保護マネジメントシステムに適合することの重要性及び利点

b)個人情報保護マネジメントシステムに適合するための役割及び責任

c)個人情報保護マネジメントシステムに違反した際に予想される結果

つまり、

  • PMSの活動をおこなうことにはこういう意味とメリットがありますよ
  • PMSの活動において、従業員も含めこのような役割と責任がありますよ
  • PMSに違反すると懲罰対象ですよ

という3つの項目だけを全従業員に対して理解してもらえばよいのです。プライバシーマークで求められている教育の項目はこの3つだけですので、実はプライバシーマークについてや個人情報についてということを含める必要はまったくありません。また、「全従業員に対して理解させる手順を確立」すればよいので、テストである必要はありません。テキストを送付するだけでも全く問題ありません。ただし、きちんと全従業員に向けて教育をしたという記録自体は必要になります。

おすすめのプライバシーマーク教育

Pマーク教育で最低限何をすればよいかがわかったところで、では自社ではどこまでやるかを考えなければなりません。前章でお伝えした3つ以外に何を入れるかですが、これは本当にその事業者で従業員に伝えたいことを盛り込むのがよいでしょう。例えばPマークを持っている企業であっても、個人情報はほとんどないけれど機密情報を多く取り扱う場合は「個人情報について」を教育しても意味がありませんので、機密情報を漏洩させないような社内セキュリティなどの教育がよいでしょう。逆に個人情報を大量に取り扱う企業の場合は、個人情報が漏洩するとどのようなこと起こるかのかなどの他社事例を伝えるのがよいのではないでしょうか。また、昨今多く発生しているサイバーセキュリティ犯罪などについて説明するものよいかもしれません。

このように、会社にとって何が必要というものはありませんが、一般的な情報セキュリティやセキュリティのモラルに関する教育、情報事故の事例とその原因に加え、定められた3項目を入れた教育を30分程度でおこなうのがよいでしょう。

外部の企業に依頼する場合は、コンサル会社や人材教育の会社に依頼することになるでしょう。集合教育やe-learningなど選択できることが多いです。100名以上の企業であれば集合教育はなかなか難しいため、e-learningが一般的です。ただしe-learningは一人で仕事の合間におこなうようなものですので、しっかりと意識付けをするところまでは至らないでしょう。ベストな方法としては、通常の従業員はe-learning、特にセキュリティに対して意識を持ってもらいたい従業員には別途集合教育などがよいでしょう。e-learning、集合研修ともにコンテンツ内容や人数によってかなり価格差がありますので、自社にとって適切なサービスを選びましょう。