新・従業者教育に関する要求事項
プライバシーマーク付与適格性審査において基準となっている JIS Q 15001「個人情報保護マネジメントシステム-要求事項」は、2017年に改訂されました。JIS Q 15001:2017では、文書体系が変わっていて、附属書A(規定)には、以前は本文に記載されていた管理策が書かれていて、こちらがプライバシーマーク付与適格性審査基準となっています。
(ご参考)『プライバシーマーク付与適格性審査基準』
平成30年1月12日(平成30年7月17日改訂)
一般財団法人日本情報経済社会推進協会(JIPDEC) プライバシーマーク推進センター
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
『付属書 A.3.4.5』には、以下のように書かれています。
組織は、従業者が7.3に規定する認識をもつために、関連する各部門及び階層における次の事項を認識させる手順を確立し、かつ、維持しなければならない
a) 個人情報保護方針
b) 個人情報保護マネジメントシステムに適合することの重要性及び利点
c) 個人情報保護マネジメントシステムに適合するための役割及び責任
d) 個人情報保護マネジメントシステムに違反した際に予想される結果
組織は、認識させる手順に、全ての従業者に対する教育を少なくとも年一回、適宜に行うことを含めなければならない。※7.3: 個人情報保護方針、個人情報保護マネジメントシステムの有効性に対する自らの貢献、要求事項に適合しないことの意味
『付属書 A.3.4.5』
「教育」が「認識」へ
この 3.4.5 は、これまで「教育」だったものが「認識」に変わっています。この意味を考えてみましょう。
なんとなく、直感的にわかりにくくなったようにも思えますが、これまで教育の機会を設けるだけのようなことで済ませていないか? それではダメで、しっかり従業者全員に「認識」をさせなさい、ということなのではないかと思います。
『付属書 B.3.4.5』には以下のように記載されています。
“認識”とは、従業者に、A.3.4.5 の a)~d) に定める事項を理解させ、自覚させ、個人情報保護体制における各々の役割・権限を確実に果たすことができるようすることをいう。
『付属書 B.3.4.5』
具体的には、従業者に対する教育を少なくとも年一回計画書に基づき実施するにあたり、従業者の理解度確認を行うこと、アンケート又は小テストを実施するなどによって従業者の理解度を把握し、必要に応じて教育内容の見直しを図ること、及び教育を受けたことを自覚させる仕組みを取り入れることが A.3.4.5に適合する。
また、従業者に対する教育を実施した場合の欠席者を把握し、欠席者を対象としたフォローアップ教育及び/又は理解度確認を行うなどの措置を講じることも A.3.4.5に適合する。
上記の中で重要だと考えられる箇所を太文字にしました。
それらをかみ砕いて書くと、従業者教育に求められていることとして、以下のようになるかと思います。
- 全従業者に対して、1年に1回以上、認識を確認し高める機会をもて
- ちゃんと認識しているか、理解度を確認をせよ
- 全従業者に教育を受けたことを自覚させろ
- 毎年、教育内容の見直しを図れ
- 欠席者や中途入社者もちゃんとフォローせよ
そして、従業者全員がが「常に認識」している状態にしなさい、ということなのだと思います。
個人情報保護方針も重要に
あわせて、これまでからお馴染みの個人情報保護マネジメントシステム(PMS)適合の重要性や、役割、違反時の3点セットとともに、「個人情報保護方針」もしっかり認識させなさい、というのが加わりました。今回から、個人情報保護方針は、内部向けと外部向けの設定がなされていますが、これらの区別はほとんどしなくてよいので、そんなことよりも、自社の個人情報保護方針にはどんなことが書かれているのか、その内容と意味、さらに自社Webサイトのどこに書かれているかなども全従業者に認識させることが求められているものと考えられます。
だとすると、そもそも個人情報保護方針自体が、今の自社の状況や要求されていることがちゃんと書かれているか、そこから確認しておかなければならないでしょう。
これらについては、プライバシーマークを取得しているかどうかにかかわらず、これらの内容に沿った対応をすべきでしょう。