使い回しのPマーク教育資料
Pマークで求められている「教育」については各社とも悩まれているようです。特にPマークを維持・運用している企業は毎年教育を実施する必要があるため、毎年違う教育資料を作成するのは難しく、外部から購入したり、コンサル会社に依頼していることが多いです。また、毎年同じ資料を使いまわして形式的な教育になってしまっている企業も比較的多いと言えます。
特に毎年同じコンテンツを使いまわしている企業は、一度考え方を見直した方がよいかもしれません。全従業員に対してある程度の時間を割いて教育を実施しているのですから、従業員の個人情報や情報セキュリティへの意識を少しでも高めることができる教育を実施したほうが結果として得になるのではないでしょうか。
教育資料を自社で作成する場合に、Pマーク(JIS Q15001)で求められている事項は多くはありません。教育について定められているのは下記のみとなります。
教育資料に盛り込むべき内容
-
個人情報保護マネジメントシステムに適合することの重要性及び利点
→Pマークの運用をおこなうとどのようなことが実現でき、メリットがあるのか。
個人情報保護マネジメントシステムに適合するための役割及び責任
→Pマークの運用をおこなう際の各担当者の役割と責任はどのように定められているのか。
個人情報保護マネジメントシステムに違反した際に予想される結果
→社内で定められているPマークのルールに違反した際にどのような罰則があるのか。
-
ただし、この3点のみでは5分程の教育で終わってしまうでしょう。教育資料の作成の仕方としては、Pマーク取得時や新入社員に向けてはPマークとはどのようなものなのか、Pマーク関連の社内ルールはどのようなものがあるのかなどを加えるのがよいでしょう。
2年目以降は直近で発生した個人情報や機密情報の事故の事例や情報セキュリティに対するトレンドなどを含め、従業員のセキュリティ意識を一歩高める内容にすることが推奨されます。
事業者は,個人情報保護マネジメントシステムを確実に実施するために必要な教育,監査などの計画を 立案し,文書化し,かつ,維持しなければならない。
3.4.5 教育
事業者は,従業者に,定期的に適切な教育を行わなければならない。
事業者は,従業者に,関連する各部門及び階層における次の事項を理解させる手順を確立し,かつ,維持しなければならない。
a)個人情報保護マネジメントシステムに適合することの重要性及び利点
b)個人情報保護マネジメントシステムに適合するための役割及び責任
c)個人情報保護マネジメントシステムに違反した際に予想される結果
事業者は,教育の計画及び実施,結果の報告及びそのレビュー,計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し,実施し,かつ,維持しなければならない。