1. プライバシーマーク（Pマーク）の教育とは

企業は従業員に対して、企業で保持している個人情報を適切に取り扱えるよう定期的に教育を実施する責任があります。
教育は少なくとも年に一回、実施する必要があります。

プライバシーマーク（Pマーク）ではガイドライン「A3.4.5認識」に規定された４つの事項について、従業員が正しい認識を持つための手順を確立し維持するよう教育の計画と実施が求められています。

４つの事項については3. プライバシーマーク（Pマーク）教育で必ず求められていることで紹介していきます。

プライバシーマークについて詳しく知りたい方はこちらの記事で詳しく説明しております。

2. 個人情報保護教育の目的とは

個人情報保護教育の目的は、従業員に個人情報保護マネジメントシステムを実施するための力量をつけてもらうことです。

個人情報保護マネジメントシステム（PMS）とは、個人情報を保護する体制を整備し、定められた通り実行し、定期的な確認を行い、継続的に改善するための管理の仕組みを指します。
この教育は、少なくとも年に一回、実施する必要があります。

3. プライバシーマーク(Pマーク)教育で必ず求められている4つのこと

プライバシーマークの規格要求事項A.3.4.5「認識」では、

組織は，従業者が7.3に規定する認識をもつために，関連する各部門及び階層における次の事項を認識させる手順を確立し，かつ，維持しなければならない。
a) 個人情報保護方針（内部向け個人情報保護方針及び外部向け個人情報保護
方針）
b) 個人情報保護マネジメントシステムに適合することの重要性及び利点
c) 個人情報保護マネジメントシステムに適合するための役割及び責任
d) 個人情報保護マネジメントシステムに違反した際に予想される結果

組織は，認識させる手順に，全ての従業者に対する教育を少なくとも年一回，適宜に行うことを含めなければならない。

引用：「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」

と記載されています。

組織の管理下で働く人々は、関連する各部門及び階層におけるa)b)c)d)に関して認識を持たなければならない、と定められています。そのため、下記で説明するa)b)c)d)の4つの項目について教育を実施し、従業者が認識を持っている状態にしなければなりません。

4つの認識を持たせるために、教育資料には4つの内容が含まれており、なおかつ実施した教育テストにも4つの内容が含まれている必要があります。

a)個人情報保護方針

方針は将来のビジョン、目指すべきイメージということです。そのため、その方針をきちんと従業者が理解できその方向へ進んでいくようにする必要があります。
個人情報保護方針の認識ということは、どのような内容が記載されているのか、どういう方針なのかということが基本となりますが、まずは「個人情報保護方針がどこに掲載されているか」を把握させるのも良いでしょう。

b)個人情報保護マネジメントシステムに適合することの重要性及び利点

個人情報保護のルールを守ることは、会社にとって漏洩事故のリスクを軽減することに繋がります。
またルールを守り漏洩事故を防ぐことでお客様からの信頼を得られたり、企業としての信頼度、信用度のイメージ向上に繋がったりします。

c)個人情報保護マネジメントシステムに適合するための役割及び責任

従業者としては、ルールを守り漏洩事故を起こさない努力をする必要があります。
その他にも漏洩事故が発生した場合に個人情報保護管理者が誰なのか知らなければ報告ができない可能性もあります。
個人情報に関連する役割でそれぞれ誰が担当になっているかも認識として含めるとよいでしょう。

d)個人情報保護マネジメントシステムに違反した際に予想される結果

ルールを守らなかったらどんなことが予想されるのかを従業者に認識させましょう。

漏洩事故が発生した場合、そこに悪意がある、ないに関わらずどんな影響があるでしょうか。
始末書で済む場合もあれば、降格や減給になることもあるでしょう。さらに退職になる可能性も考えられます。

事故の大きさにもよりますが、明日は我が身ですので、自分事に認識をしてもらえる内容だと効果的です。

４．個人情報保護教育の流れ

 

計画　　：個人情報保護教育の計画を作成しトップマネジメントに承認を得ることが必要です。

資料作成：教育テキストや資料を作成し、テストに向けて必要な準備を行います。

教育実施：全従業者に教育の実施を行います。従業員を集めて講義を行う、テキストを読んでもらう、動画を視聴してもらうなど方法は定められていません。

チェック：教育の有効性の確認を行います。紙のテスト、オンラインでテスト、アンケートなどテストを行う企業が多いです。

再教育　：チェックした結果、理解度不足の者に対して再教育を行います。再テストや面談などの方法があります。

報告　　：教育が完了したことをトップマネジメントに報告します。必要に応じて教育内容の見直しをする場合があります。

５. 個人情報保護教育の対象者は？

パート、アルバイト、派遣社員、社長や役員も含む全従業員が教育を受けなければなりません。
なぜなら、直接個人情報を取り扱う業務がない部署でも、個人情報に触れる可能性があるからです。

例えば、従業者名簿・お客様リストなど、普段の業務で思い当たるものはありませんか？

また、長期休暇中(例：育児休暇中)で教育の受講ができない場合は、出社後に教育を実施していただければ構いませんので、現地審査の時点で教育を実施している必要はありません。

※人材派遣業を営む事業者の方々は雇用契約を締結している派遣スタッフの方(実働者)への教育も必要です。

６. 理解度確認テストの4つの方法とメリット

教育方法はいくつかありますが、弊社で推奨している教育方法をご紹介します。
それぞれどんな教育方法でどんなメリットがあるのか、下記にまとめましたので、ぜひ自社に合った方法を探し、参考にしてみてください。

(1) 集合教育

特徴
・従業者を集めて講義形式で教育を行う
・人数が多いときは複数に分けて実施する

メリット
・従業員が参加し、担当者の声をそのまま伝えられるので効果が大きい

(2) テキストを配布し、テストを実施

特徴
・テキストとテストを配布して各自で実施する
・システム関係で派遣を行っている企業に多い
・お手軽なため、多くの事業者が導入している

メリット
・従業者がなかなか集まれない場合や業務が忙しいときでも各自で取り組むことが出来る

(3) ｅラーニング形式

特徴
・インターネットを利用した学習形態
・実施状況を一覧管理できるものもあり、管理が簡単

メリット
・間違えた問題を正解するまで何度も行うなど、プログラムによって自由にカスタマイズできる

(4) 動画教育

特徴
・教育のDVDあるいはストリーミング動画等を利用して行う教育
・映像なので記憶に残りやすい

メリット
・空いている時間に各自で取り組むことが出来る

７. 審査の時に審査員から確認される6つのポイント

現地審査では、新規申請もしくは更新申請をおこなった事業者のもとに審査員が出向き、実際の運用状況を一日かけて審査します。
教育に関しては、教育の「計画書」、「報告書」、「実施した教育テストの記録」が確認されます。

1. いつ
2. 誰が（教育責任者）
3. どんな教材で実施したか（４つの項目が含まれているか）
4. 理解度がわかるもの
5. 受講者
6. 承認者

について審査で確認をとられます。

また、理解度が基準に満たせなかった場合は、フォローアップ方法や結果についても聞かれます。
教育、審査が不安、疑問をお持ちの方はお気軽にご相談ください。

８．個人情報保護教育の実施時期・頻度は？

個人情報保護教育の実施時期は、各企業で設定いただいて問題ないです。
できれば毎年の内部監査の前に個人情報保護教育を完了させ、内部監査で実施状況をチェックできると良いでしょう。

実施頻度は、前述の通り、少なくとも年に一回実施する必要があります。
新入社員の入社や、長期休暇から復帰の方には、その都度個別で個人情報保護教育を行いましょう。

9. Pマーク教育テスト後は保管を忘れない

Pマークの教育テストは、最低でも2年分を保管しておく必要があります。

審査の時に「教育を実施した」という証拠（エビデンス）として、審査員に見せられるようにしておきましょう。

紙での保管、データでの保管、どちらでも構いません。

Googleフォームなどでテストを行う場合は、Pマーク担当者が退職・異動する際にデータの引継ぎ漏れがないようにしておきましょう。

10. 毎年同じ教育を行っても良いの？

毎年、同じ内容の教育でも問題ありません。
全員が受講していること、4つの事項が含まれているかがPマークの要求事項として求められています。

レベルアップを図ることも大切ですが、難しくする必要はありません。

全従業員が個人情報の扱いについて重要性を認識し、自社で定めたルールを守っていくことが必要です。

しかし、ごく稀に審査員によっては審査指摘であがることもあります。

11. よくあるPマーク教育テストのサンプル問題

１．個人情報保護教育

①～③のうち、正しいものを全て選択してください。

（１）当社の個人情報保護方針はどこに掲載しているか。

①WEBサイトに掲載されている。

②社内ポータルに掲載されている。

③事務所入り口に掲載されている。

【答え】①・②・③

（２）Pマークにおいて決めたルール通りにすることの重要性及び利点はどのようなものがあるか。

①取引先や社会からの信用を得ることができ、会社の利益にもつながる。

②業務効率が上がる。

③ 社内での個人情報取り扱いに対する意識が高まる

【答え】①・③

（３）お預かりしている個人情報を保護するために自分は何をしなければならないか。

①ルールよりも良いと思う保管方法で個人情報を保護する。

②社内で決められたルールに従って行動する。

③個人情報の事故は起きていなくても危ないと思ったことは報告する。

【答え】②・③

（４）Pマークにおいて決めたルールに違反した際、会社・自分に対してどういったことが起こり得るか。

①罰金

②解雇

③懲役

【答え】①・②・③

２．運用ルール問題

文章の内容が合っているなら「〇」、間違っている場合は「×」を記してください。

（１）業務中、すぐに戻ってくるので個人情報が書かれた書類を机の上に置いたまま離席した。

【答え】×

【解説】すぐに戻るからといっても個人情報が見えている状態で席を離れるのは危険です。

また、机の上に多くの書類を置きっぱなしにすることも紛失のリスクが高まるので整理整頓を心がけましょう。

（２）業務効率化のために、PCのスクリーンセーバー設定をなくした。

【答え】×

【解説】離席した際に画面を盗み見られて重要な情報が漏れてしまう可能性があります。

スクリーンセーバーの設定は必ず行いましょう。

（３）「重要情報」と書かれた件名のメールが届いたのですぐに添付データを開封した。

【答え】×

【解説】フィッシングや詐欺メールの可能性があります。

一度メールアドレスを確認してからデータの開封等を行いましょう。

（４）会社の管理する個人情報を営利目的などで故意に持ち出した場合、懲戒処分になる場合がある。

【答え】〇

【解説】機密情報保持契約を結んでいるため、

個人情報を営利目的や故意に流出した場合は懲戒処分となることもあります。

（５）パソコンにウィルス対策ソフトを入れたとしても更新しないとウィルス感染のリスクが高まる。

【答え】〇

【解説】ウィルス対策ソフトが入っていても更新をしていないと感染する危険性があります。

（６）業務中に知り得たお客様の情報をSNSにアップした。

【答え】×

【解説】お客様情報の漏えいにつながります。SNS等にアップすることは絶対にしてはいけません。

12．ISMS（ISO27001）教育との違い

ISMS（ISO27001）はプライバシーマーク（Ｐマーク）と違い、対象範囲が個人情報のみならず、情報セキュリティ全般に及びます。

それに伴い、プライバシーマーク（Ｐマーク）の則った個人情報保護教育だけでは網羅できず、職務に関連する組織の方針及びセキュリティ手順についての適切な意識向上のための教育訓練などもISMS（ISO27001）教育には必要です。

まとめ

プライバシーマークを保持する企業は取り扱う個人情報について全従業員に教育しなければなりません。
教育を行う前には必ず計画を立て、教育を行った後は報告書を作り保管をし、次回の教育に繋げられるよう見直して、引き継ぎを行いましょう。

プライバシーマークの社内教育についてお悩みでしたらまずは無料でご相談も可能ですので、お気軽にお問い合わせください！

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約