自社で実施しているプライバシーマークの年次研修が先日終わりました。Pマークを取得している企業さんは毎年コンテンツ作成に悩まれているのではないかと思います。どのような内容にしたら審査を通過できるのか、この内容に変えてしまっていいのかなど、不安な方も多いです。ここではPマーク教育テキストに必要な内容をしっかり説明していきます。
Pマークで教育に求められている要求事項とは
Pマークで教育に関する箇所は力量管理・認識などという表現になっていてわかりづらいですが、関係箇所をピックアップしてみましょう。JIS Q 15001にも記載がありますし、JIPDECが公表している「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」にも記載があります。
J.4.2 力量(7.2)
事業者は、次の事項を行うこと。
a)事業者の個人情報保護に影響を与える業務をその管理下で遂行する者に対して、個人情報保護の観点から、従業者に必要とされる能力を決定する。
b)a)の者に対して、a)で決定した能力及びJ.4.3を充足するための処置を行い、必要な能力を備えることを確実にする。
c)b)を実施した結果、必要な能力が備わっていない場合は、必要な能力を身につけるための処置をとるとともに、とった処置の有効性を評価する。 d)a)~c)を実施した記録を保持する。J.4.3 認識
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 JIPDECより
事業者は、従業者に対して、少なくとも年一回、及び必要に応じて適宜に教育を実施する手順(教育の理解度を確認する手順を含む。)を内部規程として文書化すること。
事業者は、従業者に対して、次の事項を認識させること。
a)個人情報保護方針
b)個人情報保護マネジメントシステムに適合することの重要性及び利点
c)個人情報保護マネジメントシステムに適合するための役割及び責任
d)個人情報保護マネジメントシステムに違反した際に予想される結果
いま一つよくわからない部分もあるので次から説明していきましょう。
Pマークの教育で必要なこと
まず、事業者がおこなうことは、各従業員に対して個人情報保護についての能力を定めて、その能力を満たせるような処置をおこない、記録を残すことが求められています。
個人情報保護についての能力と言ってもよくわかりませんが、一般の従業員はこのレベル・管理職やPマーク担当者はこのレベルができるようにやってくださいねという意味です。ですので一般の従業員は教育、Pマーク担当者は外部のセミナーを受ける等という切り分けも必要かもしれませんが、現状の審査ではそこまで厳密にできていなくても、少なくとも教育ができていれば問題ないようです。
また、Pマークの教育は全従業員に対して、年1回の実施が求められています。 ここには派遣社員等も含まれますが、業務委託等の外部人員は含まれていません。名目上は取締役等も含めて原則全員に対しての教育・研修が必要になってきますので注意しましょう。そして必要な能力を身につけるための措置として、テストやアンケート等をおこなった結果が必要となってきます。
Pマークの教育テキストに含める内容
Pマークで実施することは、最低限全従業員に対して、年1回の教育を実施し、テスト等で受講記録を残すことまでを説明してきましたが、テキストの内容に何を含めるかが最も疑問な部分かと思います。
Pマークの要求事項はシンプルで以下の4つです。
まず会社の個人情報保護方針=プライバシーポリシーの内容の説明ページを作成します。リンク先を貼るあるいは内容をコピーして、確認してくださいという内容を記載すればOKです。
次に「個人情報保護マネジメントシステムに適合することの重要性及び利点」ということで、Pマークの活動をおこなうことがなぜ重要でそれによってどんなメリットがあるかを説明する文章を作成します。「Pマークの活動をおこなうことで、お客様から信頼を得ることができ、個人情報の適切な取り扱いが実現する」のような内容で結構です。
「個人情報保護マネジメントシステムに適合するための役割及び責任」については、Pマーク活動に関する役割と説明に関する内容となりますので、「Pマークの活動において、各部門責任者や一般従業員、Pマーク事務局の役割・責任は***です」のような形で概要レベルで構いませんので役割と責任について記載をしていきます。
最後に「個人情報保護マネジメントシステムに違反した際に予想される結果」ですが、Pマークで社内で定めた規程に違反した場合どのようなことがあるかを記載してきます。「違反をおこなうと、個人では懲戒・会社としては大幅な信頼性低下を生む可能性があります」のような表現となります。
極論で言うとPマーク上は以上の4つが含まれている教育資料であれば、審査には合格します。Pマークとはどのようなものなのか、個人情報保護とはどういうものなのか等の内容を必ずしも入れる必要はないのです。毎年同じような資料を作るくらいであれば、必要最小限の4つの要求事項を満たした上で、本当に従業員に守ってもらいたいセキュリティ対策の知識等を絞り込んで説明するのもよいのではないでしょうか。
まとめ
Pマークの教育について説明をしてきましたが、実は要求されている項目は少なくて自由度が高いものであることがわかったでしょうか。全従業員に教育することは大変ですので、せっかくなので意味のある内容にカスタマイズしていくのがおすすめです。