Pマーク(プライバシーマーク)における教育とは何をすればいいか?


_shared_img_thumb_S001_megane0220140830145944_TP_V

いつもお世話になっております。
ISO総合研究所コンサルタントの濱田 章弘(はまだ あきひろ)と申します。

さて、いつも大変ご好評いただいております当ブログでございますが、今回のテーマは、『Pマーク(プライバシーマーク)における教育とは何をすればいいか?』についてお話させていただきます。

規格要求事項

それでは第1章に入る前にJIS Q 15001 「個人情報保護に関するマネジメントシステム」における要求事項ではどのように記載されているか見ておきましょう。

教育については同要求事項の4.4.5にこう書いてあります。

事業者は、従業者に、定期的に適切な教育を行わなければならない。
事業者は、関連する各部門及び階層において、その従業者に、次の事項を理解させる手順を確立しなければならない。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点
b) 個人情報保護マネジメントシステムに適合するための役割及び責任
c) 個人情報保護マネジメントシステムに違反した際に予想される結果

事業者は、教育の計画及び実施、結果の報告及びレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任と権限を定める手順を確立し、実施し、維持しなければならない。

いかがでしょうか。
以下に実施しなければいけない事をまとめてみます。

①定期的に教育の実施が必要

②関連する部門にて以下a)~c)を理解させる手順の確立
a) 個人情報保護マネジメントシステムに適合することの重要性及び利点
b) 個人情報保護マネジメントシステムに適合するための役割及び責任
c) 個人情報保護マネジメントシステムに違反した際に予想される結果

③教育計画、実施、結果の報告、レビュー、計画の見直しに関する記録の保持と権限を定める手順の確立

少し分かりやすくなったのではないでしょうか?
それではJIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドラインー第2版―を参考に①から解釈したいと思います。

解説

①定期的に教育の実施が必要で求められているのは『定期的』な教育です。

それでは定期的とはどのくらいの期間のことを言うのでしょうか?これは現状1年に1度が基本になっています。

じゃあ1年に1回個人情報についての教育を行えばいいと分かりました。
ただし内容に関しては必須項目があります。

②関連する部門にて以下a)~c)を理解させる手順の確立
a) 個人情報保護マネジメントシステムに適合することの重要性及び利点
b) 個人情報保護マネジメントシステムに適合するための役割及び責任
c) 個人情報保護マネジメントシステムに違反した際に予想される結果

1年に1度の教育にはこのa)~c)を盛り込んでくださいと規格では要求しています。
どういうことか1つずつ解析していきたいと思います。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点
JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドラインー第2版―と適合することのメリットは、Pマークを取得することで顧客の信頼を得ることができ仕事が増えることもあるでしょう。また顧客から必須の要求である可能性もあります。

b) 個人情報保護マネジメントシステムに適合するための役割及び責任
これは、個人情報保護マネジメントシステムに適合するというよりも昨今の個人情報漏えい事故・事件の多さから、いかにそういったものに対して日ごろから対策をしているかという観点で捉えていけばいいのではないでしょうか?
例えばよくお客様先に伺うと、社用PCのパスワードを付箋に書いてPCに貼り付けている方がよくいらっしゃいます。ちなみに私も昔はそうでした(笑)。
第三者がそのパスワードを使用して不正を行うというリスク対策のためPCには付箋やメモ等個人情報に繋がりうるものは貼らないという対策を施すことができます。

c) 個人情報保護マネジメントシステムに違反した際に予想される結果
これはいわゆる個人情報の漏洩、滅失、き損を起こした場合に考えられる社会的制裁、漏洩対象者への会社としての対応、それらに係る人的コスト、金銭的コスト等が考えられるでしょう。
会社の規模が大きくなればなるほど、個人情報の取り扱う量も増えてその分社会的影響も大きくなり対応すべき事象も増えてくるということです。

以上の3つの項目を教育のテーマに結び付けて全従業者で考えてくださいねというのがPマーク(プライバシーマーク)で求められている要求事項です。

要求事項を重要度

これは個人的な考えですが、私は基本的に要求事項を重要度順に4つに分けることが出来ると考えています。

①法的要求事項(最重要事項。コンプライアンス遵守があって初めて会社が成り立ちます)
②顧客要求(こちらも重要事項。お客様がいないと事業が成り立ちません。)
③社内要求(トップの考え。こちらも重要な項目でしょう)
④規格要求(そして最後に規格が求める要求事項)

どれも大切ですが、なぜかPマーク(プライバシーマーク)の審査員の中には④を①~③よりも優先的に実施してくれないと困るという方もおり人的コストや金銭的コストがそのために使われている実情もあります。
そういった部分がPマーク(プライバシーマーク)についてうんざりされる要因になっているのかもしれません。

もし御社がPマーク(プライバシーマーク)の取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス