Pマークを取得している企業は従業員に対して、企業で保持している個人情報を適切に取り扱えるよう少なくとも年に一回、社員教育を実施する責任があります。
これまで3000社以上のPマーク・ISMS認証取得を支援してきた弊社への相談で、特に多い悩みといえば
「社員教育ではどこまで教えればいいの?」
「個人情報に関するテストはどうやって作ればいいの?」
「PマークとISMSの教育では何が違うの?」
という内容ですので、この記事ではPマークで必要な4つの教育内容、Pマークの運用・実施のための従業員教育の流れ、Pマーク教育とISMS教育の違いについて解説します。さらにPマークとISMSの教育に最適な当社のE-Learningについても紹介します。しっかりとした個人情報保護を行う上でお役立てください。
目次
Pマークで必要な4つの教育内容
Pマークでは、次の内容についての教育を実施することが、Pマークの準拠規格であるJIS Q 15001によって義務付けられています。
a)個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
b)個人情報保護マネジメントシステムに適合することの重要性と利点
c)個人情報保護マネジメントシステムに適合するための役割と責任
d)個人情報保護マネジメントシステムに違反した際に予想される結果
a)からd)の内容について解説をします。
a)個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
簡単に言うと「社員が個人情報を適切に取り扱うための社内ルールを知る」ための教育のことです。
内部向け個人情報保護方針
「内部向け」には従業員だけでなく、委託先や協業相手などの取引先も含まれています。例えば、個人情報を含む書類をロックされた場所に保管することや、コンピュータ上のデータにパスワードをかけることなどのルールを制定します。
外部向け個人情報保護方針
企業がどのように顧客の個人情報を保護しているかを外部に示すことで、顧客からの信頼を得るためのものです。例えば、個人情報をどのように収集し、どう管理しているかを明示します。
b)個人情報保護マネジメントシステムに適合することの重要性と利点
「個人情報を保護することの重要性、ビジネスメリットは何なのか」についての教育です。重要性についての教育では次の内容について従業員に理解させます。
個人情報の取り扱いミスは、会社の信用を損なうだけでなく、Pマーク認定の取り消しや、最悪の場合は、顧客からの損害賠償請求につながることを伝えます。
一方で、利点についての教育では次の内容を教えます。
- Pマーク認定を受けていると取引先や消費者から信頼される
- Pマーク認定を受けていることが取引条件や、入札条件になっている場合がある
- 情報マネジメントシステムがあることで、個人情報保護に関するトラブルやインシデントがもし発生しても、的確かつ迅速な対応ができる
c)個人情報保護マネジメントシステムに適合するための役割と責任
「個人情報保護のための社内体制を理解し、自分に与えられた役割と責任を知る」ための教育です。
Pマークにおける個人情報保護マネジメントシステムを運用・実施するためには、運用と実施に責任と権限を持つ「個人情報保護管理責任者」と「個人情報保護監査責任者」が必要です。
それぞれの役職の目的や役割、責任と権限の範囲について担当者に教育をします。
個人情報保護管理責任者とは、PMS(個人情報保護マネジメントシステム)の構築や運用に関わる責任者のことです。代表者が事業内部の人の中から指名します。
個人情報保護監査責任者とは、個人情報保護にかかる内部監査に関し、責任を保持する職務です。個人情報保護管理者と同様に、代表者が事業内部の人の中から指名します。
また、上記の役職以外にも、従業員も日々の業務の中で個人情報を正しく扱い、疑問や問題が発生した際には報告する責任があることを伝えましょう。
d)個人情報保護マネジメントシステムに違反した際に予想される結果
「個人情報保護のためのルールに違反した場合にどうなるのか」を知るための教育です。
個人情報保護マネジメントシステムを遵守しないと次のようなリスクの発生につながることを理解させます。
PMS(個人情報保護マネジメントシステム)を守らず個人情報が漏えいすると、顧客やパートナー企業からの信頼を失い、企業の評判に大きなダメージを与える結果、罰金や営業停止のリスクがあります。また、情報漏えいの対応に多額の費用がかかることも多いです。一度企業の信用が失われると、従業員のモチベーションや仕事への影響も大きいため、常日頃から個人情報を正しく取り扱うことが重要です。
また、実際にあったインシデントの事例を使った教育を行うことも効果的です。自社のいる業界での実例を使った実践的な教育を行うとよいでしょう。
Pマークの運用・実施のための従業員教育の流れ
前述の4要素(個人情報保護方針、マネジメントシステムの重要性、役割と責任、違反時の結果)を含む教育資料を使用して、年に1回、すべての従業員に対して教育を行います。正社員、契約社員、パート、アルバイト、役員、派遣社員など、会社に関係するすべての人が対象です。教育の最後として「理解度テスト」を実施し、間違えた箇所の再教育を行なって確実に理解させればOKと言えます。
Pマークについての教育に使用する教育用資料の内容
教育用資料を作成して、教育を実施します。教育資料の項目例を紹介致しますので、この情報を活用して、ぜひ社員教育を実施してみてください。
一般的には、前述のa)からd)の4要素に加えて、下記のようにさらに詳しい情報を盛り込んだ
Pマーク制度の紹介、自社で取り組むことになった経緯
どんな情報が個人情報に含まれるのか、マイナンバーの取扱いについて
最近の事故事例、特に知っておくべきセキュリティ知識
社員として守るべき個人情報の取扱いルール
・入退室管理、施錠管理、廃棄のルールなど
・パソコン、スマホの取扱いについて
・外出時のルール・メール、ウェブ、SNSで気を付けること
・個人情報を取得する場合のルール
・委託先選定、ウェブや印刷物制作におけるルール など
個人情報保護について外部から問い合わせを受けたら
Pマークについての社員の理解度確認と教育実施記録の作成の仕方
Pマークについての社員教育を実施した後に、理解度確認のためのテストを行います。教育内容を網羅した内容のテストを作成することが重要です。研修内容のレポートを書かせるより、実際に個々の教育内容について理解しているかが分かるテスト形式を採用した方が効果的です。
また、社員の理解度だけでなく、テスト結果の分析を基にした教材と教育の内容、テストの内容、テストの実施時期と実施方法についての見直しをすることも必要になります。
次に、教育の実施記録を残します。教育実施記録には下記の内容を記載しましょう。
- 教育実施期間
- 使用した教材
- 教育成果の評価方法
- 教育を受けた社員の内訳
教育の実施記録はPマークの更新審査時にも提出が要求されるので、最低でも2年間は保管する必要があります。保管方法は任意です(紙、または、電子)。
どんなテストを実施するか、サンプル問題を紹介します。
問題1: 個人情報の定義
次のうち、個人情報に該当するものはどれですか?選択肢からすべて選んでください。
a) 氏名、住所、電話番号
b) 顧客の購入履歴
c) 社内の会議議事録
d) 学生の成績表
解答例:
a) 氏名、住所、電話番号
b) 顧客の購入履歴
d) 学生の成績表
問題2: 個人情報の取り扱い
個人情報を取り扱う際のルールとして、適切でないものを選んでください。
a) 個人情報は業務に必要な範囲でのみ使用する。
b) 個人情報は暗号化して保管する。
c) 個人情報は第三者に無断で提供しても問題ない。
d) 不要になった個人情報は適切に廃棄する。
解答例:
c) 個人情報は第三者に無断で提供しても問題ない。
問題3: 情報漏えい時の対応
個人情報の漏えいが発生した場合、最初に取るべき行動はどれですか?
a) 漏えいした情報をすぐに削除する。
b) 直ちに上司や情報管理責任者に報告する。
c) 関係者全員に謝罪のメールを送る。
d) 何もしないで様子を見る。
解答例:
b) 直ちに上司や情報管理責任者に報告する。
Pマーク教育とISMS教育の違いについて
PマークとISMSでは教育内容についての規定が異なっています。Pマークでは上述の内容についての教育を行う必要がありますが、ISMSでは教育内容、教育実施範囲、教育対象者について自社の判断で設定をすることができます。
当社ではPマーク・ISMS教育のためのE-Learningサービスを提供しているので、ぜひご利用をご検討下さい。
PマークとISMSの教育には当社のE-Learningがおすすめ!
当社の「Pマーク/ISMSのためのE-Learning」は、他のどんなE-Learningよりも簡単に実施できることがメリットです。
ご用意いただくのは「社員のお名前とメールアドレス(エクセル)」のみになります。
後は、当社がひな形として用意している「Pマーク/ISMSの規格に準拠した教育コンテンツ(パワーポイント)」「理解度テスト(エクセル)」を御社の御状況に合わせて少し書き換えて頂くだけです。
少し書き換える内容とは、パスワードの文字数、個人情報保護の担当部署名と管理者名などです。
データを頂けると、当社の担当者がサーバーをセットアップし、御社の社員の皆さんに案内メールを送ります。
締め切りまでに受講してくれない場合にはもう一度案内メールを送ります。
その後、教育記録を貴社にお戻し致します。
ほんとにこれだけでE-Learningを実行して頂けます。
また、「Pマーク/ISMSのためのE-Learning」は、当社コンサルタントが作成したPマーク/ISMSの規格に準拠した教育コンテンツをひな形としてご用意しています。当社が日常的にコンサルティングで利用しているものであり、内容には定評があるものです。
