【テストサンプル付】Pマーク（プライバシーマーク）教育の実施マニュアル｜必須の4項目と流れを解説

Pマーク（プライバシーマーク）の運用において、年に一度必ず実施しなければならないのが「教育」です。 しかし、初めて担当になった方や運用の見直しを図る方の中には、

「具体的に何を教えればいいのか」

「テスト問題はどう作ればいいのか」と悩むケースも少なくありません。

結論からお伝えすると、Pマークの教育にはJIS Q 15001で定められた「必ず含めるべき4つの事項」があり、これらを押さえていれば教育手法や内容は各企業の裁量に任されています。

この記事では、Pマーク取得・更新企業に義務付けられている教育の目的や具体的な実施手順、審査でチェックされるポイントについて解説します。

すぐに使えるテスト問題のサンプルも掲載していますので、ぜひ自社の教育計画にお役立てください。

1.Pマーク（プライバシーマーク）の教育とは

Pマーク（プライバシーマーク）の教育とは、企業が保有する個人情報を適切に取り扱うために、全従業者に対して実施する定期的な教育のことで個人情報保護教育とも呼ばれています。

Pマークを取得・更新している企業には、JIS Q 15001に基づいた「個人情報保護マネジメントシステム（PMS）」の運用が義務付けられています。

この運用の一環として、従業者が正しい知識を持ち、ルール通りに行動できるよう教育を行うことが必須事項とされています。

また、「A3.4.5認識」に規定された4つの事項について、従業者が特定の事項（個人情報保護方針や違反時のリスクなど）を正しく理解し、認識している状態を作る手順の確立が求められています。

4つの事項については「4.個人情報保護教育で必ず求められている4つのこと」で紹介していきます。

Pマーク（プライバシーマーク）そのものの仕組みや取得メリットについて詳しく知りたい方は、以下の記事もあわせてご覧ください。

あわせて読みたい記事

Pマークとは？プライバシーマークの基本から取得要件までわかる

「Pマークとは何？」 そんな素朴な疑問を調べているところかもしれません。 Pマークとは「プライバシーマーク」の略称で、一般財団法人日本情報経済社会推進協会（JIPDEC）が付与する、個人情報を取り扱う…

2.個人情報保護教育の目的とは

個人情報保護教育を行う最大の目的は、従業員一人ひとりが「個人情報保護マネジメントシステム（PMS）」を適切に運用できる状態にすることです。

具体的に言うと、個人情報保護教育を通じて以下のような状態を目指します。

⑴ルールの形骸化の防止

「マニュアルに書いているけど、なぜこのようなルールがあるの？」という従業員のモチベーション低下を防ぎ、形式的なものではなく実務の中で活かせるマニュアルとして定着させることができます。

⑵個人情報漏えいなどのインシデントを防ぐ

情報漏洩事故の多くは、メールの誤送信や個人情報が記録された書類の紛失というヒューマンエラーが多くの原因です。

これらのリスクに対しての教育を行うことで従業員の意識向上を図り、事故を未然に防ぎます。

⑶対外的な信頼を獲得する

企業全体の個人情報に対する意識向上によって、企業としての信頼度、信用度のイメージ向上につながります。

漏洩事故を未然に防ぐことで、「この会社なら大切な情報を預けても安心だ」という顧客からの信頼獲得につながります。

3.個人情報保護教育の基本ルール

教育計画を立てる際、頻度・実施時期・対象者などルールを守る必要があります。

審査の段階で「対象者が漏れている」「実施回数が足りていない」などの不適合が発生するケースもあります。

まずは、規格で定められているルールを確認しましょう。

⑴頻度と実施時期

個人情報保護教育は「少なくとも年に一回」実施する必要があります。

実施時期に決まりはありませんが、多くの企業では「内部監査」の前に行っています。

監査の際、個人情報保護教育が計画通り実施され、従業員の理解度が十分かを確認できるため、このスケジュール感がスムーズです。

⑵対象者は「全従業者」

個人情報保護教育の対象は、正社員だけではありません。

以下を含む、業務に従事するすべての人が対象です。

• 契約社員、派遣社員
• パート、アルバイト
• 取締役などの役員

「個人情報を直接扱わない部署だから不要」という判断はできません。社員名簿や来客リストなど、社内にいる以上、何らかの個人情報に触れる可能性があるためです。 また、育児休暇などで長期休業中の従業員については、復帰のタイミングで個別に教育を実施すれば問題ありません。

4.個人情報保護教育で必ず求められている4つのこと

次に個人情報保護教育に組み込まなければならない内容を解説します。

プライバシーマークの規格要求事項A.3.4.5「認識」では、

組織は，従業者が7.3に規定する認識をもつために，関連する各部門及び階層における次の事項を認識させる手順を確立し，かつ，維持しなければならない。

a) 個人情報保護方針（内部向け個人情報保護方針及び外部向け個人情報保方針）

b) 個人情報保護マネジメントシステムに適合することの重要性及び利点

c) 個人情報保護マネジメントシステムに適合するための役割及び責任

d) 個人情報保護マネジメントシステムに違反した際に予想される結果

組織は，認識させる手順に，全ての従業者に対する教育を少なくとも年一回，適宜に行うことを含めなければならない。

引用：「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」

と記載されています。

組織の管理下で働く人々は、関連する各部門及び階層におけるa)b)c)d)に関して認識を持たなければならない、と定められています。そのため、下記で説明するa)b)c)d)の4つの項目について教育を実施し、従業者が認識を持っている状態にしなければなりません。

4つの認識を持たせるために、教育資料には4つの内容が含まれており、なおかつ実施した教育テストにも4つの内容が含まれている必要があります。

a)個人情報保護方針

方針は将来のビジョン、目指すべきイメージということです。そのため、その方針をきちんと従業者が理解できその方向へ進んでいくようにする必要があります。

個人情報保護方針の認識ということは、どのような内容が記載されているのか、どういう方針なのかということが基本となりますが、まずは「個人情報保護方針がどこに掲載されているか」を把握させるのも良いでしょう。

b)個人情報保護マネジメントシステムに適合することの重要性及び利点

個人情報保護のルールを守ることは、会社にとって漏洩事故のリスクを軽減することに繋がります。

またルールを守り漏洩事故を防ぐことでお客様からの信頼を得られたり、企業としての信頼度、信用度のイメージ向上に繋がったりします。

c)個人情報保護マネジメントシステムに適合するための役割及び責任

従業者としては、ルールを守り漏洩事故を起こさない努力をする必要があります。

その他にも漏洩事故が発生した場合に個人情報保護管理者が誰なのか知らなければ報告ができない可能性もあります。

個人情報に関連する役割でそれぞれ誰が担当になっているかも認識として含めるとよいでしょう。

d)個人情報保護マネジメントシステムに違反した際に予想される結果

ルールを守らなかったらどんなことが予想されるのかを従業者に認識させましょう。

漏洩事故が発生した場合、そこに悪意がある、ないに関わらずどんな影響があるでしょうか。

始末書で済む場合もあれば、降格や減給になることもあるでしょう。さらに退職になる可能性も考えられます。

事故の大きさにもよりますが、明日は我が身ですので、自分事に認識をしてもらえる内容だと効果的です。

5.個人情報保護教育の流れ6ステップ

Pマークの個人情報保護教育は概ね以下の6ステップで進行します。

教育して終わりではなく、テストなどで教育の有効性を確認しトップマネジメントに報告する必要があります。

①計画

個人情報保護教育の計画を作成し、トップマネジメントに承認を得ることが必要です。

②資料作成

教育テキストや資料を作成し、テストに向けて必要な準備を行います。

③教育実施

全従業者に教育の実施を行います。実施方法に定めはなく、講義、テキストの配布、動画の視聴などがあります。

④チェック

教育の有効性の確認（効果測定）を行います。多くの企業では、紙のテスト、オンラインでのテスト、アンケートなどの方法で理解度を確認しています。

⑤再教育

チェックの結果、理解度不足の者に対して再教育を行います。再テストや面談などの方法が考えられます。

⑥報告

教育が完了したことをトップマネジメントに報告します。必要に応じて教育内容の見直しを行う場合があります。

教育が終了した後は、教育の方法や教材に問題はなかったか、従業員の理解は深まったかなどを見直し、次回の教育で生かすための振り返りを必ず行いましょう。

6.個人情報保護教育の実施方法

個人情報保護教育を実施する際、「4.個人情報保護教育で必ず求められている4つのこと」で紹介した、4つの教育すべき内容を満たしていれば各企業で自由に方法を決めて問題ありません。

主な教育方法には、以下のようなものがあります。

当社のPマークコンサルティングサービスでは業種や従業員数、理解度重視もしくは効率性重視などのリクエストに応じて、教育方法をご提案しています。

7.審査の時に審査員から確認される6つのポイント

審査の際に審査員から確認される6つのポイントは以下の通りです。

1. いつ
2. 誰が（教育責任者）
3. どんな教材で実施したか（4つの項目が含まれているか）
4. 理解度がわかるもの
5. 受講者
6. 承認者

⑴いつ (教育の実施時期・頻度)

個人情報保護教育は、少なくとも年に一回実施する必要があります。

全従業員が同じ時期に受ける必要はなく、1年以内に全員が教育を受けていれば条件を満たせますが、教育実施の期間を決めてその間に受けさせるのが一般的です。

⑵誰が（教育責任者）

教育責任者が誰であるかが確認されます。

また、教育の対象者は、パート、アルバイト、派遣社員、社長や役員を含む全従業員です。

⑶どんな教材で実施したか（4つの項目が含まれているか）

教育で使用した教材や資料が確認されます。

この教材には、Pマークの規格であるJIS Q 15001の要求事項に基づき、以下の必須の4つの事項が盛り込まれている必要があります。

• 個人情報保護方針（内部向けおよび外部向け）
• PMS（個人情報保護マネジメントシステム）に適合することの重要性や利点
• PMSに適合するための役割や責任（例：「個人情報保護管理者」「個人情報保護監査責任者」など）
• PMSに違反した場合起こりうる結果（例：顧客への損害賠償、会社の信頼性の損失、降格、減給、退職など）

⑷理解度がわかるもの（効果測定の結果）

教育を実施した後に行う効果測定（テスト）の結果が確認されます。

従業員が教育内容をきちんと把握・理解できている状態の証明として、一定の点数以上を獲得していることが求められます。

紙のテスト、オンラインテスト、アンケートなど、理解度を確認する方法は企業によって異なります。

⑸受講者

教育を受けた従業員（受講者）が誰であるかが確認されます。全従業員が対象となります。

⑹承認者

教育の計画や報告書を承認した者（通常はトップマネジメント）が確認されます。

教育実施前には教育の計画を作成し、トップマネジメントに承認を得ることが必要です。

⑺審査後のフォローアップについて

また、審査では、効果測定の結果、理解度が基準に満たなかった従業員がいた場合、その者に対するフォローアップ方法や結果についても聞かれます。

理解度不足の者に対しては、再テストや面談などの方法で再教育を行う必要があります。

⑻記録の保管期間

教育記録は最低でも「2年分」の保管が必要です。

前回の審査以降の記録はすべて提示できるように整理しておいてください。Googleフォーム等でテストを実施した場合も、データまたは印刷物としていつでも取り出せるようにしておきましょう。

8.個人情報保護教育の内容は毎年同じでも構わない

全員が受講していること、4つの事項が含まれているかがPマークの要求事項として求められています。

レベルアップを図ることも大切ですが、難しくする必要はありません。

全従業員が個人情報の扱いについて重要性を認識し、自社で定めたルールを守っていくことが必要です。

しかし、ごく稀に審査員によっては審査指摘であがることもあります。

9.よくある個人情報保護教育のテスト：サンプル問題

⑴個人情報保護教育

①～③のうち、正しいものを全て選択してください。

①当社の個人情報保護方針はどこに掲載しているか。

①WEBサイトに掲載されている。

②社内ポータルに掲載されている。

③事務所入り口に掲載されている。

【答え】①・②・③

②Pマークにおいて決めたルール通りにすることの重要性及び利点はどのようなものがあるか。

①取引先や社会からの信用を得ることができ、会社の利益にもつながる。

②業務効率が上がる。

③ 社内での個人情報取り扱いに対する意識が高まる

【答え】①・③

③お預かりしている個人情報を保護するために自分は何をしなければならないか。

①ルールよりも良いと思う保管方法で個人情報を保護する。

②社内で決められたルールに従って行動する。

③個人情報の事故は起きていなくても危ないと思ったことは報告する。

【答え】②・③

④Pマークにおいて決めたルールに違反した際、会社・自分に対してどういったことが起こり得るか。

①罰金

②解雇

③懲役

【答え】①・②・③

⑵運用ルール問題

文章の内容が合っているなら「〇」、間違っている場合は「×」を記してください。

①業務中、すぐに戻ってくるので個人情報が書かれた書類を机の上に置いたまま離席した。

【答え】×

【解説】すぐに戻るからといっても個人情報が見えている状態で席を離れるのは危険です。また、机の上に多くの書類を置きっぱなしにすることも紛失のリスクが高まるので整理整頓を心がけましょう。

②業務効率化のために、PCのスクリーンセーバー設定をなくした。

【答え】×

【解説】離席した際に画面を盗み見られて重要な情報が漏れてしまう可能性があります。スクリーンセーバーの設定は必ず行いましょう。

③「重要情報」と書かれた件名のメールが届いたのですぐに添付データを開封した。

【答え】×

【解説】フィッシングや詐欺メールの可能性があります。一度メールアドレスを確認してからデータの開封等を行いましょう。

④会社の管理する個人情報を営利目的などで故意に持ち出した場合、懲戒処分になる場合がある。

【答え】〇

【解説】機密情報保持契約を結んでいるため、

個人情報を営利目的や故意に流出した場合は懲戒処分となることもあります。

⑤パソコンにウィルス対策ソフトを入れたとしても更新しないとウィルス感染のリスクが高まる。

【答え】〇

【解説】ウィルス対策ソフトが入っていても更新をしていないと感染する危険性があります。

⑥業務中に知り得たお客様の情報をSNSにアップした。

【答え】×

【解説】お客様情報の漏えいにつながります。SNS等にアップすることは絶対にしてはいけません。

10.まとめ

Pマークにおける教育は、単なる審査対策ではなく、従業員一人ひとりが個人情報保護の重要性を理解し、会社全体のリスクを低減させるための重要な取り組みです。 JIS Q 15001が求める「4つの認識」を個人情報保護教育に含め、パートやアルバイトを含む全従業者へ漏れなく実施しましょう。

また、教育内容は毎年更新する必要はありません。

重要なのは、基本的なルールが形骸化せず、実務に定着しているかどうかを確認することです。

今回ご紹介したテストのサンプル問題などを活用し、効率的かつ実効性のある教育計画を立ててみてください。