【個人情報保護管理者の方へ】PMS年次教育の着眼点 ~30人の会社のテレワーク Vol.88~
プライバシーマーク取得事業者は2年に1回のプライバシーマークの更新が必要です。弊社は2023/2が更新月となっているため、現在、更新申請に向けて鋭意準備中です。審査機関にもよりますが、個人情報保護規程などの規程類に加え、教育・監査・トップマネジメントレビュー・月次チェック等の運用記録も必要になります。今回は自社の教育の振り返りも含め、PMS教育の着眼点について、書いてみようと思います。
審査基準を知る!
一般財団法人日本情報経済社会推進協会(JIPDEC)が公開している「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」では、教育に関する審査基準を下記のように定めています。
J.4.3 認識
1.事業者は、従業者に対して、少なくとも年一回、及び必要に応じて適宜に教育を実施する手順(教育の理解度を確認する手順を含む。)を内部規程として文書化すること。
2.事業者は、従業者に対して、次の事項を認識させること。
一般財団法人日本情報経済社会推進協会(JIPDEC)
a)個人情報保護方針
b)個人情報保護マネジメントシステムに適合することの重要性及び利点
c)個人情報保護マネジメントシステムに適合するための役割及び責任
d)個人情報保護マネジメントシステムに違反した際に予想される結果
「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」
https://privacymark.jp/system/guideline/pdf/pm_shishin2022.pdf
PMS事業者は、内部規程として教育の手順と教育の理解度を確認する手順を定めた上で、少なくとも1年に1回、従業員に対して個人情報保護教育を行う必要があります。
教育にはJIPDECが求めるa)~d)の項目を含める必要があります。
a)個人情報保護方針
自社の規程やルールについて、従業員に理解してもらいましょう。自社にはどのような規程があるのか、それはどこにあるのかを記載すると良いでしょう。
b)個人情報保護マネジメントシステムに適合することの重要性及び利点
プライバシーマークとはJISQ:15001に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者であることを第三者機関が照明するマークのことです。認定を受けることにより、個人情報保護法遵守していることや個人情報を適切に取り扱っていることを客観的に証明することができる他、「高い信頼度を得られる」「安心して営業活動ができる」という大きな利点があります。この点を従業員に理解してもらい、PMSを適切に運用することへの意義付けを行いましょう。
c)個人情報保護マネジメントシステムに適合するための役割及び責任
個人情報を保護するための体制や役割を従業員に正しく認識してもらい、運用や緊急時の対応がスムーズに行えるようにしましょう。PMS体制図や緊急時の連絡体制などを再度周知すると良いでしょう。
d)個人情報保護システムに違反した際に予想される結果
不適切な個人情報の取扱いにより、個人情報の漏洩や紛失などの事故が発生した場合、個人のプライバシー侵害だけではなく、従業員本人に対しても、戒告や減給・懲戒解雇などの罰則が発生することがあります。また、会社への事故の影響は計り知れず、事故対応に伴う「経済的な損失」の他、「社会的な信用の失墜」も予測されます。結果として、事業活動そのものが継続できない状態に陥ることも考えられます。不適切な個人情報の取扱いによるリスクを従業員に認識してもらいましょう。個人情報に関するニュースをケーススタディとして取り上げるのも良いでしょう。
弊社での対応
弊社での対応をご紹介いたします。
関連記事:30人の会社のテレワーク Vol.80~改正個人情報保護法とテレワーク下でのPMS教育~
弊社では個人情報保護規程に年次教育について定めた上で、年次教育を実施しています。教育の実施前には、「教育計画書」で教育の内容と理解度チェックの方法を定め、教育実施後に「教育実施記録」で教育を実施した記録を残しています。
PMS年次教育を通して、従業員に認識してもらう必要があるa)~d)の項目については、教育資料に明記しています。
a)個人情報保護方針
弊社には「個人情報保護方針」「個人情報保護基本規定」「PMS運営要領」「個人情報取扱要領」「個人情報安全管理要領」の5つの規程があります。年次教育を通して、これらの規程を再認識してもらうために、保管場所も含め、周知しています。保管場所としてグループウェアのファイル管理機能を利用しているため、テレワークに伴う運用変更は特にありませんでした。
b)個人情報保護マネジメントシステムに適合することの重要性及び利点
プライバシーマークは運用し、運用しながらブラッシュアップしていくことにその意義があります。PMSの運用が形骸化しないように、PMSに適合することの重要性と利点を再認識しておきましょう。
c)個人情報保護マネジメントシステムに適合するための役割及び責任
個人情報を保護するための自社の体制と各人の役割を明確にしておきましょう。弊社では毎年、個人名を記載した体制図を作成し、自分がどのような役割を持つのか、どのグループに所属しているのかを確認しています。
d)個人情報保護システムに違反した際に予想される結果
違反した際に予測される結果についても教育資料に記載しています。会社の損害、個人の損害を認識することにより、個人情報保護に対する意識が高まると考えています。
教育の効果測定として、理解度を確認するため、自社アプリらくらくstudyを利用した理解度確認テストを実施しています。
今回は、PMS(プライバシーマーク)年次教育のご紹介でした。弊社では、PMS取得事業者様に向けて、年次教育をサポートする教育パックをリリースしました。2022年の改正個人情報保護法にも対応しております。