重要なポイントは4つだけ!個人情報保護教育とは

この記事は約6分で読めます。

個人情報を適切に取り扱っている企業であることの証として、Pマーク(プライバシーマーク)制度が設けられていますが、Pマークの維持には、社内で定期的な個人情報保護教育を実施することを求めています。この記事では個人情報保護教育のポイントと教育形式について詳しく解説します。

個人情報保護教育とは

Pマーク(プライバシーマーク)を取得した組織の事業者は、すべての従業員に対して、個人情報保護の教育を実施する必要があります。Pマーク取得後は、Pマークを維持するために、最低でも年に1度は従業員教育を実施しなければなりません。

個人情報保護のためには、単純に従業員を監督するだけではなく、従業員に対する個人情報保護に関する教育を行うことが重要です。しかし現状では、個人情報保護教育に求められている具体的な内容については、各事業者の判断に委ねられていますが、個人情報保護委員会が公表しているガイドラインや、プライバシーマークの規格(JISQ15001:2017)により、ある程度の方針については定められています。

自社で個人情報保護教育を実施する際には、まずはこれらのガイドラインや規格を基に、内容を練り上げていくと良いでしょう。

個人情報保護教育の内容で重要な4つのポイントとは

JIS Q 15001:2017(JIS規格)により、個人情報保護教育の内容は決まっており、以下の4つのポイントが重要です。

  • 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
  • 個人情報保護マネジメントシステムに適合することの重要性
  • 利点個人情報保護マネジメントシステムに適合するための役割
  • 責任個人情報保護マネジメントシステムに違反した際に予想される結果

日本規格協会発行 JIS15001:2017から抜粋

事業者は教育を行う前には、教育の計画を立て教育を実施して、その結果の報告とレビューを行わなければなりません。その際、計画書と報告書を作成し保管が必要です。

個人情報保護教育は、この4つのポイントを押さえておけば、その他の教育内容については、特に定められておりません。そのため、ほかには企業ごとに必要性のある内容について教育を実施すれば良いでしょう。具体的には以下のような内容です。

  • 個人情報漏えい事故/事件などの事例
  • 会社で実際に発生した事故やヒヤリハット
  • 最近の個人情報保護に関するニュース
  • 個人情報漏洩に関連する法律の知識
  • 個人情報の取扱い関する社内規定

などです。これらの教育の際には、毎年同じ教材を使っても構いませんが、法律の改正や外部環境の変化により、内容が古くなることがあるため、少なくとも毎年の改版は必要でしょう。

個人情報保護教育のポイント

個人情報保護教育のポイントを、もう一度おさらいしましょう。要するに個人情報保護教育の実施者は、以下の4つのポイントを押さえて教育を実施すれば良いというわけです。

  • 年に1回はかならず教育をする。
  • 全員が行えるように計画をたてる。
  • 教育を実施する(必要な4項目は絶対にいれる)。
  • 報告書をつくる。

この4つのポイントを押さえて個人情報保護教育を実施すれば、あとは教育の実施者の好きなようにできます。

従業員に対する個人情報保護教育の効果を、昇進や昇格の条件として用いることもできるでしょう。例えば、個人情報保護や情報セキュリティに関する一定の理解度を昇進や昇格の条件とするなどです。

特に重要な情報を業務で取り扱う従業員に対しては、個人情報保護教育の内容の一定の理解が求められるため、その基準を満たしていない従業員については、個人情報を取り扱う業務から外すといった措置も検討すべきです。

個人情報保護教育の形式

教育内容のポイントを押さえたところで、次は個人情報保護教育の形式について見ていきましょう。具体的には以下のような形式があります。

講義型教育

講義型教育は、従業員を集めて講義形式で実施する教育方法です。従業員が多い場合は、複数回の講義に分けて実施します。教育担当者の声を直接、従業員へと伝えられるため、教育の効果は大きいでしょう。

テキスト配布の自習

従業員にテキストとテストを配布して、各自の空いた時間で実施してもらう方法です。従業員が集まりにくい企業や、業務が忙しい時期などに効果的です。手軽な方法なので、多くの企業で取り入れられている方法です。

eラーニング形式

インターネットを利用する教育方法です。間違えた問題を正解するまで繰り返すなど、自由なカスタマイズが可能です。管理者用のプログラムを使うと、従業員の教育実施状況などを一元管理できます。

DVD教育

個人情報保護教育に関する市販されているDVDを利用して教育する方法です。映像を使った教育であるため、従業員の記憶に残りやすく効果的です。また好きな時間を使って教育できる点もメリットの一つです。

ディスカッション形式

講師を呼んで、班ごとのディスカッションによる教育方法です。個人情報保護教育の専門家を講師として呼ぶため、ある程度の予算が必要ですが、教育効果が高いのでおすすめです。

具体的には、講師が決めたお題について、従業員全員で対策などを話し合います。ディスカッションの結果について、講師から具体的なフィードバックを貰えるため、改善にもつなげやすいでしょう。また、個人情報の管理に関する日頃の悩みを相談する機会も得られます。

個人情報保護教育の資料はひな形がある

JIPDEC(一般財団法人 日本情報経済社会推進協会)より、個人情報保護教育で利用されることを目的とした「社内教育用参考資料(お役立ちツール)」が公開されています。

参考:プライバシーマーク制度 お役立ちツール

参考情報|制度案内 |プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
参考情報|プライバシーマーク制度は、事業者の個人情報の取扱いが適切であるかを評価し、基準に適合した事業者に”プライバシーマーク”の使用を認める制度です。

社内教育用参考資料は以下の2つの資料が公開されています。

  • 「基本編:個人情報管理の重要性」
  • 「基本編:個人情報の取扱いに関する事故を起こさないために」

「基本編:個人情報管理の重要性」は、全従業員を対象とした、個人情報保護マネジメントシステム(PMS)に関する基本的な内容です。個人情報の管理の必要性や、個人情報取扱時のルールなどについてです。

「基本編:個人情報の取扱いに関する事故を起こさないために」は、プライバシーマーク推進センターに提出された、個人情報の取扱いに関する事故報告書をもとに、事故の種類別に、その原因や再発防止策をまとめて整理したものです。

この資料は、そのまま使うのではなく、個人情報保護教育を実施する企業ごとに、具体的な運用ルールなどの追記などの変更を行い利用しましょう。

まとめ

この記事では、個人情報保護教育のポイントや教育の形式について紹介しました。個人情報教育は情報漏洩事故や法律に関する内容がメインなので、どうしても座学による教育が主体となってしまいます。そのため個人情報の重要性を理解していない従業員にとっては、退屈な内容に感じられるかもしれません。

しかしこの記事でも紹介したように、教育形式はある程度事業者の自由にできます。従業員に個人情報の大切さをしっかりと理解してもらい、セキュリティを強化するためにも、わかりやすく親しみやすい個人情報保護教育を実施することを心がけましょう。

認証取得を目指す Pマーク
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ特化eラーニングサービス「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました