1. /
  2. /
  3. プライバシーマーク教育を実施する際の4つの手順

プライバシーマーク教育を実施する際の4つの手順

プライバシーマーク教育

プライバシーマークを取得するためには自社でセキュリティに関する教育を行う必要がある。
また、取得後も定期的に教育を行わなければならない。

 

あなたの会社では適切なプライバシーマーク教育が実施されているだろうか。

 

セキュリティ教育は、プライバシーマークを取得するためだけではなく、近年増加傾向にある情報セキュリティ事件から自社を守るために重要なものとなる。

 

この記事はプライバシーマーク教育の行い方(手順)とそのポイントについて解説した。
プライバシーマークの担当者となって、これから教育を行っていく方はこの記事を参考にしてほしい。

 

プライバシーマークにおける教育とは

プライバシーマークの規格である『JIS Q 15001』の中にある”3.4.5教育”にプライバシーマーク教育に必要となる項目が書かれている。

この項目を要約すると、下記の3点となる。

 

従業者に定期的に適切な教育を行うこと。

個人情報保護マネジメントシステムに適合することの重要性及び利点、役割及び責任、違反した際に予想される結果を理解させる手順を確立し、維持すること。

教育の計画および実施、結果の報告およびそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任と権限を定める手順を確立し、実施し、維持すること。

 

担当者は、これらのポイントを踏まえて教育を実施していく必要がある。

これを見て、「複雑そうだ」という印象をもった人も安心してほしい。
具体的にどのような手順ですすめていけばプライバシーマークの教育を適切に行うことができるのか、初めて実施する方にも分かりやすくフローを記載する。

 

プライバシーマーク教育の手順【定期的な教育】

プライバシーマークの教育は「定期的に行う教育」「臨時で行う教育」の2種類がある。
まずは「定期的に行う教育」の流れは以下のようになる。

 

 

 

1.教育実施計画を立てる

まず最初に行うことは、教育実施の計画を立てることだ。

プライバシーマークにおける教育はすべての従業者に対して実施する必要がある。
すべての従業者には、従業員はもちろんのこと、役員や受入派遣社員やアルバイトも含まれる。

これらを対象に「いつ、教育を実施するのか」、計画表を作成する。

この計画表は、全員を対象に一斉に教育を行うことが可能な場合にはその教育日を記載しただけの簡素なもので問題ない。

対して、一斉に教育を行うことが難しい会社の場合には、支店別や部門別といった形でそれぞれの実施日を記載した計画表を作る必要がある。

 

2.教育方法を決める

どのような教育を行うのか、その具体的な方法についてはプライバシーマークの規格で明確に指定されているわけではない。

つまり、規格にある『個人情報保護マネジメントシステムに適合することの重要性及び利点、役割及び責任、違反した際に予想される結果を理解させる手順を確立し、維持する』、このポイントをおさえた上でどのようなやり方で実施するのかは会社ごとに自由に決めることができる。

おもなやり方としては、「集合研修」「テキスト配布の自習」「eラーニング」の3つのなかから自社にあったものを選ぶことになるだろう。

どの方法をとっても一長一短であるため、あくまでも『自社にフィットした方法は何か』という視点で選択することが望ましい。

 

3.教育の実施

教育の計画を立て、教育方法を定めたら、いよいよ教育を実施することになる。

プライバシーマークを取得する上で、どの教育方法を行っても問題はないが、かならず行うべきことが1つある。
それは、「教育の効果測定」だ。

「教育の効果測定」とは平たくいうと”テスト”である。
実施した教育の内容が、受講者にどの程度浸透したのか確認する必要がある。

このテストについては特別難しいものを作成する必要はない。
形式についても選択式・記述式・二者択一など、どの形式をとっても問題はないので実施しよう。

また、このテストについては一定の効果を得るために「80点未満の者は再受講とする」といったルールを規程に盛り込んでおこう。

 

4.教育記録を作成して、保管する

最後にここまで行ってきた「計画」「教育実施」「効果測定(テスト)」を記録として保管しておく。
「教育実施」についての記録は以下のような名簿の形式にして、そこに効果測定を行ったかどうかのチェック項目を作っておくと管理しやすいのでオススメする。

 

【教育リスト(例)】
プライバシーマーク教育資料

 

この定期的な教育は最低でも年に1度行う必要がある。

 

プライバシーマーク教育【臨時で行う教育】

プライバシーマークにおける教育には、ここまで見てきたような定期的な教育の他に「臨時で行う教育」がある。

「臨時で行う教育」を行う必要があるケースは以下のようなものがある。

・従業員の採用など、新しい人材が入ってきたとき
・自社の個人情報マネジメントシステムに変更があったとき
・同業他社などで個人情報漏えい事件等があったとき
・その他従業者に対して周知すべき事項が発生したとき

これらのケースが発生した場合には、その都度教育を行うことになる。

その際、教育の内容は「定期的な教育」のときに使用した資料をそのまま転用してもいいし、新規採用者用の教育資料を別途用意する、といったように分けてしまってももちろん問題はない。

 

プライバシーマーク教育は自社を守るために必要

自社が個人情報の漏えい事件を起こしてしまった場合、どのぐらいの損害が生じるかご存知だろうか。

過去の判例によれば個人情報の漏えい1件につき1万円の賠償が必要となったケースもある。万が一大量の個人情報が漏えいした場合、会社の経営に大打撃となりかねない。

そして、個人情報漏えい事故の発生原因の多くは、情報セキュリティへの理解度不足によって従業員からもたらされている。

ここに挙げたプライバシーマークの教育を通じて、自社の情報セキュリティへの取組み等を理解させるとともに、個人情報を取扱うことの責任を自覚させることが必要であり、ひいてはそれが自社を守ることにつながるので、是非取り組んでみてほしい。

プライバシーマーク取得セミナーを開催します

プライバシーマークは難しいと誤解していませんか?

プライバシーマークの取得を検討している方の多くが、「プライバシーマーク」について誤解をしています。実は「プライバシーマーク」の取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「プライバシーマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。
セミナーの詳細や日程については下記よりご参照ください。

セミナー紹介はこちら

SNSでもご購読できます。

コメントを残す

*