Pマークの教育
Pマークを取得するためには、個人情報保護に関する教育をおこなう必要があります。教育に関しては注意事項がいくつかありますが、それさえクリアしてしまえば事業者側で自由に内容を変更することができます。
JIS Q15001:2006の要求事項が含まれていること
要求事項3.4.5には教育の内容に3つの事項を含めることが求められています。
- 個人情報保護マネジメントシステムに適合することの重要性及び利点
- 個人情報保護マネジメントシステムに適合するための役割及び責任
- 個人情報保護マネジメントシステムに違反した際に予想される結果
それぞれの意味としては下記のとおりです。
- Pマークで定める運用をおこなうことがどれだけ重要であり、そのようなメリットがあるのか。
- 社内の従業員ががどのような体制でPマークを運営しているのか
- Pマークの運用ルールに違反した場合、どのような影響(処分内容や外部への影響)があるのか
それほど特異な内容はありません。Pマークで最低限求められているのはこの3つの要求だけです。これ以外はどのようにカスタマイズしても構いません。コンサル会社などに依頼をする場合には、必ず要求事項は含まれていると考えてよいでしょう。
年に1回・全従業者に教育をおこなうこと
Pマークでは年に1回、全従業者に教育をおこなうことが求められています。全従業者はどこまでの範囲かがわかりづらいですが、役員、正社員、契約社員、受入派遣社員、受入出向社員、パート・アルバイト社員などがその対象となります。これだけいると、全従業者に教育ができるのかと不安になる方もいらっしゃると思います。ただし、ここでいう教育は必ずしも集合教育を求めているわけではありません。もちろん集合教育が一番理解が進みやすいでしょう。ただしe-learningでの自習やテキスト配布などでも問題はありません。楽をするためにテキスト配布で済ませてしまう会社もありますが、やはり本当に重要な個人情報を取り扱っている会社やセキュリティレベルを上げたいと考えている会社は集合教育を検討しましょう。人数的に難しい場合は、重点的に教育をする部門を毎年決め、重点部門のみ集合教育、その他の部門はe-learningなどの形でもよいでしょう。毎年教育資料を作成するのは骨の折れる作業ですし、最新の情報をキャッチアップすることも大変です。教育を重視する会社はコンサル会社に教育を依頼するのがよいでしょう。Pマークを新規に取得する場合、コンサル会社のメニューには教育が入っていることが通常です。
教育の計画と実施記録
Pマークの教育を実施する際にはまずはいつどのような内容で実施するかを計画し、承認を得る必要があります。日付と対象者、サマリーを決めるだけなのでそれほど大変な仕事ではないでしょう。そして教育を実施した後に、その受講記録を全従業者分取得する必要があります。一般的にはテストを受けて合格点以上を取得するまで実施するというパターンが多いようです。e-learningなどの場合は自動でレポートが出るパターンもありますし、テキスト配布の場合はアンケートを送ってもらうケースもあります。アウトプットとしては定められているわけではありませんが、エビデンスとして全従業者分が必要となります。
内部監査
内部監査も教育と同様1年に1回実施することが求められています。また、全社全部門の監査をすることが必要です。
監査計画
監査責任者内部監査の計画を立て、監査計画書を作成し、代表者による承認を受ける必要があります。これは一般的な監査と同様です。監査計画書に記載する内容は、監査実施体制や日時、監査対象部門のその概要などとなります。
内部監査の実施
内部監査の実施は、Pマークの事務局などが全部門に対し実施することが一般的です。ただし、監査責任者から指名を受けて実施し、監査責任者が代表者に報告する形となります。監査は自社で定めたPマークの規程がJIS Q15001に適合しているか、規程に沿って運用が適切に実施しているかを確認します。チェックシートを作成し、監査を進めていく必要があります。チェックシートの内容は自社で運用しやすいように作成して問題ありませんが、監査の結果をきちんと記載して報告書に作成しやすいようにしましょう。また、自部門の監査は原則実施してはいけないため、Pマーク事務局が所属する部門の監査は他部門に実施してもらう必要があります。ただし、監査経験のない方が監査をすることは難しいため、はじめはコンサル会社などに依頼し、ノウハウを身につけた後に自社で実施するようにすればよいでしょう。
監査報告書の作成
監査が完了したら、チェックシートなどの結果をもとに監査報告書を作成します。監査報告書には、Pマーク規程や社内規則に合致していない事項を不適合として記載する必要があります。もちろんすべて問題なければ記載する必要はありませんが、社内の運用を改善していくためには、厳しく監査をおこない不適合事項を出しておくとよいでしょう。不適合事項に対しては是正処置を実施する必要があります。監査報告書を作成したら、監査責任者、代表者から承認を得ましょう。コンサル会社の内部監査支援メニューには監査報告書作成までは含まれているケースが多いです。内部監査はあくまでも内部の監査ですので、できるだけ厳しく実施し、審査に向けた準備を整えましょう。