2023年2月3日
Pマークにおける教育とは、情報保護に対する意識の低下を防ぐために従業員に教育を施すことです。
Pマークの教育内容に含まなければならない4つの事項は、①個人情報保護方針②PMSの重要性及び利点③PMSのための役割及び責任④PMSに違反した際に予想される結果です。
Pマークの教育テストにはこの4つの内容を含む必要があります。
目次
- 1. プライバシーマーク(Pマーク)の教育とは
- 2. 個人情報保護教育の目的とは
- 3. プライバシーマーク(Pマーク)教育で必ず求められている4つのこと
- 4.個人情報保護教育の流れ
- 5. 個人情報保護教育の対象者は?
- 6. 理解度確認テストの4つの方法とメリット
- (1) 集合教育
- (2) テキストを配布し、テストを実施
- (3) eラーニング形式
- (4) 動画教育
- 7. 審査の時に審査員から確認される6つのポイント
- 8.個人情報保護教育の実施時期・頻度は?
- 9. Pマーク教育テスト後は保管を忘れない
- 10. 毎年同じ教育を行っても良いの?
- 11. よくあるPマーク教育テストのサンプル問題
- 12.ISMS(ISO27001)教育との違い
- まとめ
1. プライバシーマーク(Pマーク)の教育とは
企業は従業員に対して、企業で保持している個人情報を適切に取り扱えるよう定期的に教育を実施する責任があります。
教育は少なくとも年に一回、実施する必要があります。
プライバシーマーク(Pマーク)ではガイドライン「A3.4.5認識」に規定された4つの事項について、従業員が正しい認識を持つための手順を確立し維持するよう教育の計画と実施が求められています。
4つの事項については3. プライバシーマーク(Pマーク)教育で必ず求められていることで紹介していきます。
プライバシーマークについて詳しく知りたい方はこちらの記事で詳しく説明しております。
2. 個人情報保護教育の目的とは
個人情報保護教育の目的は、従業員に個人情報保護マネジメントシステムを実施するための力量をつけてもらうことです。
個人情報保護マネジメントシステム(PMS)とは、個人情報を保護する体制を整備し、定められた通り実行し、定期的な確認を行い、継続的に改善するための管理の仕組みを指します。
この教育は、少なくとも年に一回、実施する必要があります。
3. プライバシーマーク(Pマーク)教育で必ず求められている4つのこと
実施する教育については計画・実施を定期的に行うこととされています。
また、実施する教育内容については前述した4つの事項を含めることが重要となってきます。
4つの事項とは、
- 個人情報保護方針
- PMSの重要性と利点
- PMSのための役割と責任
- PMSに違反した場合の結果
です。
4.個人情報保護教育の流れ
計画 :個人情報保護教育の計画を作成しトップマネジメントに承認を得ることが必要です。
資料作成:教育テキストや資料を作成し、テストに向けて必要な準備を行います。
教育実施:全従業者に教育の実施を行います。従業員を集めて講義を行う、テキストを読んでもらう、動画を視聴してもらうなど方法は定められていません。
チェック:教育の有効性の確認を行います。紙のテスト、オンラインでテスト、アンケートなどテストを行う企業が多いです。
再教育 :チェックした結果、理解度不足の者に対して再教育を行います。再テストや面談などの方法があります。
報告 :教育が完了したことをトップマネジメントに報告します。必要に応じて教育内容の見直しをする場合があります。
5. 個人情報保護教育の対象者は?
パート、アルバイト、派遣社員、社長や役員も含む全従業員が教育を受けなければなりません。
なぜなら、直接個人情報を取り扱う業務がない部署でも、個人情報に触れる可能性があるからです。
例えば、従業者名簿・お客様リストなど、普段の業務で思い当たるものはありませんか?
また、長期休暇中(例:育児休暇中)で教育の受講ができない場合は、出社後に教育を実施していただければ構いませんので、現地審査の時点で教育を実施している必要はありません。
※人材派遣業を営む事業者の方々は雇用契約を締結している派遣スタッフの方(実働者)への教育も必要です。
6. 理解度確認テストの4つの方法とメリット
教育方法はいくつかありますが、弊社で推奨している教育方法をご紹介します。
それぞれどんな教育方法でどんなメリットがあるのか、下記にまとめましたので、ぜひ自社に合った方法を探し、参考にしてみてください。
(1) 集合教育
特徴
・従業者を集めて講義形式で教育を行う
・人数が多いときは複数に分けて実施する
メリット
・従業員が参加し、担当者の声をそのまま伝えられるので効果が大きい
(2) テキストを配布し、テストを実施
特徴
・テキストとテストを配布して各自で実施する
・システム関係で派遣を行っている企業に多い
・お手軽なため、多くの事業者が導入している
メリット
・従業者がなかなか集まれない場合や業務が忙しいときでも各自で取り組むことが出来る
(3) eラーニング形式
特徴
・インターネットを利用した学習形態
・実施状況を一覧管理できるものもあり、管理が簡単
メリット
・間違えた問題を正解するまで何度も行うなど、プログラムによって自由にカスタマイズできる
(4) 動画教育
特徴
・教育のDVDあるいはストリーミング動画等を利用して行う教育
・映像なので記憶に残りやすい
メリット
・空いている時間に各自で取り組むことが出来る
7. 審査の時に審査員から確認される6つのポイント
現地審査では、新規申請もしくは更新申請をおこなった事業者のもとに審査員が出向き、実際の運用状況を一日かけて審査します。
教育に関しては、教育の「計画書」、「報告書」、「実施した教育テストの記録」が確認されます。
- いつ
- 誰が(教育責任者)
- どんな教材で実施したか(4つの項目が含まれているか)
- 理解度がわかるもの
- 受講者
- 承認者
について審査で確認をとられます。
また、理解度が基準に満たせなかった場合は、フォローアップ方法や結果についても聞かれます。
教育、審査が不安、疑問をお持ちの方はお気軽にご相談ください。
8.個人情報保護教育の実施時期・頻度は?
個人情報保護教育の実施時期は、各企業で設定いただいて問題ないです。
できれば毎年の内部監査の前に個人情報保護教育を完了させ、内部監査で実施状況をチェックできると良いでしょう。
実施頻度は、前述の通り、少なくとも年に一回実施する必要があります。
新入社員の入社や、長期休暇から復帰の方には、その都度個別で個人情報保護教育を行いましょう。
9. Pマーク教育テスト後は保管を忘れない
Pマークの教育テストは、最低でも2年分を保管しておく必要があります。
審査の時に「教育を実施した」という証拠(エビデンス)として、審査員に見せられるようにしておきましょう。
紙での保管、データでの保管、どちらでも構いません。
Googleフォームなどでテストを行う場合は、Pマーク担当者が退職・異動する際にデータの引継ぎ漏れがないようにしておきましょう。
10. 毎年同じ教育を行っても良いの?
毎年、同じ内容の教育でも問題ありません。
全員が受講していること、4つの事項が含まれているかがPマークの要求事項として求められています。
レベルアップを図ることも大切ですが、難しくする必要はありません。
全従業員が個人情報の扱いについて重要性を認識し、自社で定めたルールを守っていくことが必要です。
しかし、ごく稀に審査員によっては審査指摘であがることもあります。
11. よくあるPマーク教育テストのサンプル問題
1.個人情報保護教育
①~③のうち、正しいものを全て選択してください。
(1)当社の個人情報保護方針はどこに掲載しているか。
①WEBサイトに掲載されている。
②社内ポータルに掲載されている。
③事務所入り口に掲載されている。
【答え】①・②・③
(2)Pマークにおいて決めたルール通りにすることの重要性及び利点はどのようなものがあるか。
①取引先や社会からの信用を得ることができ、会社の利益にもつながる。
②業務効率が上がる。
③ 社内での個人情報取り扱いに対する意識が高まる
【答え】①・③
(3)お預かりしている個人情報を保護するために自分は何をしなければならないか。
①ルールよりも良いと思う保管方法で個人情報を保護する。
②社内で決められたルールに従って行動する。
③個人情報の事故は起きていなくても危ないと思ったことは報告する。
【答え】②・③
(4)Pマークにおいて決めたルールに違反した際、会社・自分に対してどういったことが起こり得るか。
①罰金
②解雇
③懲役
【答え】①・②・③
2.運用ルール問題
文章の内容が合っているなら「〇」、間違っている場合は「×」を記してください。
(1)業務中、すぐに戻ってくるので個人情報が書かれた書類を机の上に置いたまま離席した。
【答え】×
【解説】すぐに戻るからといっても個人情報が見えている状態で席を離れるのは危険です。
また、机の上に多くの書類を置きっぱなしにすることも紛失のリスクが高まるので整理整頓を心がけましょう。
(2)業務効率化のために、PCのスクリーンセーバー設定をなくした。
【答え】×
【解説】離席した際に画面を盗み見られて重要な情報が漏れてしまう可能性があります。
スクリーンセーバーの設定は必ず行いましょう。
(3)「重要情報」と書かれた件名のメールが届いたのですぐに添付データを開封した。
【答え】×
【解説】フィッシングや詐欺メールの可能性があります。
一度メールアドレスを確認してからデータの開封等を行いましょう。
(4)会社の管理する個人情報を営利目的などで故意に持ち出した場合、懲戒処分になる場合がある。
【答え】〇
【解説】機密情報保持契約を結んでいるため、
個人情報を営利目的や故意に流出した場合は懲戒処分となることもあります。
(5)パソコンにウィルス対策ソフトを入れたとしても更新しないとウィルス感染のリスクが高まる。
【答え】〇
【解説】ウィルス対策ソフトが入っていても更新をしていないと感染する危険性があります。
(6)業務中に知り得たお客様の情報をSNSにアップした。
【答え】×
【解説】お客様情報の漏えいにつながります。SNS等にアップすることは絶対にしてはいけません。
12.ISMS(ISO27001)教育との違い
ISMS(ISO27001)はプライバシーマーク(Pマーク)と違い、対象範囲が個人情報のみならず、情報セキュリティ全般に及びます。
それに伴い、プライバシーマーク(Pマーク)の則った個人情報保護教育だけでは網羅できず、職務に関連する組織の方針及びセキュリティ手順についての適切な意識向上のための教育訓練などもISMS(ISO27001)教育には必要です。
まとめ
プライバシーマークを保持する企業は取り扱う個人情報について全従業員に教育しなければなりません。
教育を行う前には必ず計画を立て、教育を行った後は報告書を作り保管をし、次回の教育に繋げられるよう見直して、引き継ぎを行いましょう。
プライバシーマークの社内教育についてお悩みでしたらまずは無料でご相談も可能ですので、お気軽にお問い合わせください!
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ