今や、業界や業種を問わず個人情報を扱う機会が増えており、その取り扱い方についての企業としての姿勢が問われています。そして、普段の業務で個人情報を取り扱うのは従業員一人一人です。
そんななか、従業員に求められるのは個人情報保護の正しい知識を持ち、意識を高く持つことです。そして、それを達成する手段が個人情報保護研修です。
では、具体的に個人情報保護研修とは何をするのか、どんな方法で実践すればよいのか。今回は、個人情報保護研修に使える資料や実施方法、効率的なツールまで紹介します。
また、個人情報保護教育などの情報セキュリティ教育を実施する際の流れがわかるTodoリストを無料で配布しています。ぜひご活用ください。
個人情報保護研修とは
個人情報保護研修とは、その名の通り、個人情報保護法について正しく理解し、適切な知識を身に着ける研修のことを指します。
個人情報保護法とは
個人情報保護法は、平成15年5月に公布され、平成17年4月に全面施行された個人情報を適切に保護することを目的とした法律です。
個人情報を保護するために、個人情報を収集・利用・提供する際には、原則として本人の同意が必要であると定められおり、万が一、個人情報漏えいや不正アクセスなどの事故が発生した場合には、早急に適切な対応が求められます。
個人情報保護研修は、この個人情報保護法を体系的に学び、企業全体での個人情報保護意識の向上に務めることで、個人情報保護の意識が高まるような考え方を育成する研修です。
個人情報保護研修の必要性と実施目的
個人情報保護法と個人情報保護研修について紹介しました。
では、個人情報保護研修は、なぜ必要であり、どんな目的をもって実施するべきなのでしょうか。
個人情報保護研修の必要性
個人情報保護研修は、情報管理の重要性を従業員に認識してもらうための研修です。
情報漏えいは個人情報の価値が重くなってきた時代では重要な研修であり、必要性は高いと言えます。
個人情報保護研修の目的
個人情報保護研修の目的は、正しく知識を身に着けて充分な対策を取れるようになることです。
個人情報にまつわる意識向上を図り、従業員一人ひとりが個人情報を問題なく扱えるようにするために研修を行います。
個人情報を取り扱うリスクを理解する
そもそも、企業における情報(データ)は情報資産とも言われ、現代では極めて重要です。
たとえば、データを集積・分析し、事業に役立てるデータサイエンスやビッグデータという概念はDXの一翼を担い、様々な分野から活用されているため、そんな状況下で個人情報の漏えいが起きてしまえば影響の及ぶ企業の範囲は無限に増えていきます。
企業の機密情報と個人情報が漏えいすれば賠償責任も生じますし、企業の情報セキュリティへの取り組みやコンプライアンス意識も強く問題視され、企業として信頼を大きく失ってしまうでしょう。
こういった個人情報を取り扱う上での大きなリスクの存在を理解するのも、個人情報保護研修の目的の1つといえます。
個人情報保護法の改正に伴う対応
2017年から適用された個人情報保護法の改正では、個人情報を取り扱うすべての事業者に個人情報保護法が適用されるようになりました。
また、個人情報漏えい時の報告義務、個人情報の不適正な利用の禁止などが2022年の改正法では事業者の責務として定められ、罰則も強化されています。
2022年の個人情報保護法改正については、弊社でも作成した解説書資料があります。参考までに、ご覧になってください。
特に医療機関における個人情報保護研修の必要性
医療機関は、病気にまつわる情報や料金支払いにまつわる情報で、個人情報を従業員レベルで扱う場合も多いです。
そのため、従業員の一人一人が個人情報に関する正しい知識と適切な対応や不適切行動などを理解して実践することが求められます。
医療機関では、患者個人や個人と医者でしか基本的には知りえない情報を多数取り扱います。
例えば生年月日や住所、電話番号といった「基本的な個人情報」、過去の手術歴や既往歴といった「医療履歴」、処方箋や検査結果といった「診断情報」、支払情報や加入している保険といった「医療保険情報」、患者以外の親族の電話番号といった「連絡先情報」など多岐にわたります。
個人情報の漏えいは、企業の信用失墜や経営そのものを揺るがすほどの大きなインシデントです。
ですが、このように医療機関では取り扱う個人情報が多岐にわたること、そして通常の企業よりも非常に多くの人材が個人情報に触れることから、個人情報と個人情報保護法の理解がより一層求められるのです。
個人情報の取り扱い方、情報保護の方法、万が一情報が漏えいした際の対処法など、個人情報保護法にまつわる教育を実践していきましょう。
個人情報保護研修に使える資料
個人情報保護研修の必要性について解説してきました。それでは、実際に個人情報保護研修に使用できそうな資料を紹介します。
研修資料等(行政機関等及び地方公共団体向け)
個人情報保護委員会とは、個人の権利や利益を保護するため、個人情報の適正な取扱いの確保を図る機関です。
具体的には、個人情報保護法及びマイナンバー法に基づき、個人情報の保護に関する基本方針の策定・推進、個人情報等の取扱いに関する監視・監督、認定個人情報保護団体に関する事務などを行っています。
そんな個人情報保護委員会では「全体的な研修資料」「適正な取扱いのポイント(各論)」「取扱要領の例」「漏えい防止、ヒヤリハット事例等」を公開しています。
マイナウサギを使った可愛らしいイラストで、図解されて分かりやすく解説されているので、楽しく研修できるかもしれません。
個人情報保護委員会 国の行政機関及び地方公共団体等向け研修資料等
先述の個人情報保護委員会が官公庁向けに公開している、個人情報保護法にまつわる研修資料です。改正にまつわるルールの変更が、イラストを交えて分かりやすく紹介されています。
現行の法律を正しく認識することができるので、こちらも研修に役立つでしょう。
「セキュリオ」個人情報保護研修
LRMが提供する情報セキュリティ教育クラウド「セキュリオ」の個人情報保護研修教材です。
パワーポイントのスライド形式でのeラーニングで、時間や場所を選ばずに、効率的・効果的に個人情報保護研修を利用できます。
教材のコンテンツも現役ISMSコンサルタント監修のハイクオリティなものです。
教材サンプルをこちらで公開していますので、参考にしてみてください。
個人情報保護研修の実施方法
個人情報保護研修の実施方法には、様々なタイプがあります。各実施方法について詳しく解説するとともに、メリットや特徴を紹介していきます。
公開型講座
公開型講座は、企業が主催する個人情報保護研修に参加する形式で、所謂セミナーです。
開催している企業が時間を指定し、会場も抑えて、講師と資料も用意しています。そのため、なんの準備もせず、参加費のみ払ってその日時に会場へ行くだけで講義を受けられます。
手軽に受講できる反面、他の企業の人々が参加するため、自社にあわせた講座にすることはできないこと、会場までの移動が必要なことがデメリットです。
移動にかかる時間を捻出するのが厳しい場合、Web上で参加できる講座を選ぶのはアリかもしれません。
講師派遣型講座
講師派遣型講座は、専門の講師を招いて研修を行う形式です。
専門講師による豊富な知識を生かした講座を直接受けられるので、研修の習熟度はより高くなります。
ただし、講師を呼ぶ費用や会場を押さえる手間・費用はかかります。
社内研修
社内研修は、社内で手配する研修です。社内のセキュリティ担当者ないしは情シス担当者が講師役を務めることも多いです。
社内で社員が研修をすればよいため費用はかかりませんが、社内に専門的分野に詳しい人材が必要であること、実施にかかる人的コストが高いこと、講師役担当者の力量に効果が大きく左右されてしまうこと、などがデメリットとして挙げられます。
eラーニング
eラーニングは、PCやスマートフォンなどのデバイスで従業員が各々研修を受講する形式です。スライド形式や動画形式、文書形式など、受講の形式はツールによって様々ありますので、従業員のリテラシーや教育環境によって自社に合ったものを選択しましょう。
ちなみに、LRMの「セキュリオ」はスライド形式の教材と選択式の確認テストで構成されていますが、動画形式の視聴にすることも可能です。別機能で、文章をベースとしたクイズ形式での教育方法も提供しております。
研修実施の際のポイント
個人情報保護研修の実施手順
個人情報保護研修の実施は、以下の手順を踏んで実施する必要があります。
- 研修のカリキュラムを作成する
- 研修対象者を決定する
- 研修の形式を決定する
- 研修を実施する
- 研修成果を評価する
詳細な実施手順については、「個人情報保護のための研修とは?そのメリットや役立つデータも解説」で解説しているので、あわせてご覧ください。
個人情報保護研修実施の際に押さえるべきポイントは
- 個人情報保護法への正しい共通理解
- 企業全体での対策・部署ごとの対策
- 万が一の際の対応方法
の3つです。
それぞれ解説します。
個人情報保護法への正しい共通理解
個人情報保護法はすべての従業員に関係するものです。
つまり従業員全員が当事者意識をもって、個人情報保護法の共通した正しい理解を持つことが重要です。
企業全体での対策・部署ごとの対策
同じ企業でも、部署によって取り扱う個人情報は異なります。
つまり、自身の所属する場所によっても、個人情報の取り扱い方法や対策方法は大きく異なるので、その差分を認識し、自分たちの現場ではどのような対策を取るべきなのか、その現場の誰もが分かる状態にしておくことが重要です。
万が一の際の対応方法
どれだけ気を付けていても、人間が業務にあたる以上、情報漏えいのリスクをゼロにすることはなかなか難しいです。
そのため、万が一情報漏えいが発生してしまった際の対応もしっかり準備しておく必要があります。
誰にどんなことを報告するのか、マルウェア感染があった場合はどんな応急処置を取るべきなのか、ステークホルダーへの共有はどの範囲・どの手段で実施するのか、などです。
弊社では、インシデント発生時にビジネスへの影響を最小限に抑えるためのインシデント管理台帳を無料で配布しています。もしものためにダウンロードしておいてください。
個人情報保護研修なら「セキュリオ」
LRMの情報セキュリティ教育クラウド「セキュリオ」では、個人情報保護研修がかんたんに実施できます。
- コンサルタント監修の濃密でハイクオリティな研修内容
- スライド形式の教材と選択式の確認テストで効率的・効果的
- 3ステップでらくらく教材配信
- 標的型攻撃メール訓練・毎週配信ミニテストでセキュリティ意識向上
- アンケート送信で定期的なセキュリティチェックもできる
まずは無料でお試しください。
まとめ
個人情報保護研修について紹介しました。
個人情報を取り扱う業種が増えていること、個人情報保護法の改正という煽りも受け、個人情報保護の必要性はどんどん高まっています。
個人情報を取り扱う事業者は、個人情報保護研修を実施して、従業員に個人情報の重要性を説き、当事者意識をもって、情報漏えいに留意して、企業の信頼を失わないように、事前の対策をしておきましょう。
また、個人情報保護教育などの情報セキュリティ教育を実施する際の流れがわかるTodoリストを無料で配布しています。ぜひご活用ください。
