こんにちは、プライバシーマークコンサルタントの勝部です。
( >>勝部プロフィール )

本日はPマークの認証取得、維持(更新)に必要なセキュリティ教育(個人情報保護教育)についてのお話です。

Pマークの教育研修の要点

会社によって、日々取り扱う個人情報はそれぞれ異なりますが、Pマークを取得・維持更新をしていく上でどの会社も必ずしなければならないことがいくつかあります。その中の一つがいまからお伝えする”セキュリティ教育“です。

まず、この教育を行う上でおさえておくポイントは以下の３つです。

１．すべての従業者を対象に実施していること
２．最低年に１度実施していること
３．教育後、効果測定(テスト等)を実施していること

まとめると、「年に１度、全従業者を対象に、効果測定を含めて実施していること」となります。
それぞれの詳細をみていきましょう。

【１．すべての従業者を対象に実施していること】

ここで気をつけなれければいけないのは、”すべての従業者”というところです。

よく誤解されているのは、「直接業務に携わることのない役員は対象にならないんじゃないか」とか「直接雇用していない派遣社員や、雇用していても社員のみでいいんじゃないか」と社内で教育を行わなくてよい人がいると思われていることがある点です。

これらはすべてNGで、役員や派遣社員、アルバイトの方もすべて教育の対象となります。
“従業者”という文言を”従業員”と同義だととらえてしまうと、役員を除くのは当然と考えてしまいがちですが、従業者とは”その会社にかかわる全ての人”ということをおさえておいてください。

【２．最低年に１度実施していること】

Pマークのセキュリティ教育は最低でも年に１回は実施する必要があります。
もちろん年に２回、３回とそれ以上の頻度でおこなってもOKです。

ただし、年に１度実施しているからそれだけで万全というわけではありません。
新しく雇用した人や受け入れた人材に対しても入社後速やかに教育を実施する必要があります。
ここが結構漏れがちなところなので注意が必要です。

【３．教育後、効果測定(テスト等)を実施していること】

最後のポイントとして、セキュリティ教育研修を行ったあとに効果測定を行う必要があります。
有効性評価ともいいますね。
これはテストを行うのが一般的だと思います。

まれに”理解したことの同意書”をとっているケースがあり、それでPマークの審査で認定を受けているケースもありますが、あまりオススメできません。
せっかく時間をかけているのですが、それほど難易度は高くなくていいのでテストを実施した方がよいでしょう。

【Pマーク教育研修の実施の仕方】

上記でお伝えした３つのポイントをおさえていれば、あとは会社ごとにどのように教育を行うかは自由です。
一般的には「集合研修」・「テキスト資料配布の自習」・「eラーニング」のどれかを行うことが多いですね。

どのように教育研修を行うかは会社ごとの考え方によって様々です。
具体例でいくつかみていきましょう。

[例１]業務上個人情報の取扱いを行うことがないシステム会社の場合

このような会社のケースですと、仕事で個人情報を取り扱わないということですから、
社内で取り扱う個人情報は”自社の従業員情報”のみということになると思います。

これは部署によって携わる個人情報に差があるケースですね。
その場合、全従業者に一律に同じ教育をおこなっても当然OKですが、そうじゃなくても自社の従業員を取り扱う人事・総務といった部署にだけ少し詳細な教育を実施して、その他の部署の従業員についてはそれよりは平易な資料により教育を行う、といった形でもOKです。

[例２]従業員が入れ替わる頻度が高い会社の場合

長く勤めている従業員が限られており、その他は従業員の出入りが他に比べて多い会社の場合です。
この場合は新しく入ってくる従業員の教育が漏れがちなので、そういった方に対しては”採用時に同時に教育を行うこと”をフロー化してしまうのも一つのやり方ですね。

[例３]全国、または海外にも支店がある会社の場合

支店が複数あるような会社の場合、教育の一斉実施が難しいケースがあります。
このような場合は厳密に教育実施日を決めるのではなく、例えば全社的には「３月中に実施する」というルールを設けて具体的な日程は拠点ごとで調整するのがいいでしょう。

また、このほかにも仕事内容的に教育の一斉実施が難しい場合は集合研修ではなく、
テキスト配布の自習にした方がスムーズに実施できることもあります。

【Pマーク教育研修資料について】

いざ教育を実施する際、教育研修の資料をイチから作るのは骨が折れる作業になると思います。
たまにクライアントから「毎年違う教育資料を作らなければいけないんですか？」とご質問いただきますが、そんなことはありません。

というより個人情報保護教育において、根幹となる重要な部分は毎年かわるようなものではありません。
社内の個人情報の保護体制や業務の中で気をつけるようなことは仕事内容がコロコロ変わったりしない限り毎年同じだと思います。

人はどうしても忘れてしまうので、年に一度、そういったことを思い出す機会にするだけでも十分個人情報保護の観点において価値はあります。

個人情報保護教育の根幹となる部分だけはおさえて毎年同じものを、そしてその年ごとに見られる環境の変化があればそこだけ修正する、といった形で十分です。

ここでの環境の変化とは、例えば最近だとスマホの所持者の増加がありましたね。
これは持ち運びできたりアクセスできるデータが大きくなったといえるので、その点を追加してもいいかもしれません。

ただ同時にお伝えしなければいけないのが、この環境の変化も全体としての傾向がそうだからといってあなたの会社に必ずあてはまるものではない、ということです。

スマホの例でも、そういうリスクが増したからといって、あなたの会社でスマホを使って大量のデータ保有・アクセスを行うことがないのに、無理に教育資料に盛り込む必要はないのです。

Pマーク教育資料については「仕事内容が変わらない限り、重要な部分は同じである」ということをおさえておいてくださいね。
最後に参考として、公的機関「情報処理推進機構(IPA)」の情報セキュリティ普及啓発資料のページをご紹介します。　>>こちら

ご不明点やご質問等あれば、お気軽にお問合せください＾＾

Pマークコンサルタント勝部

 

Ｐマークは難しいと誤解していませんか？

Ｐマークの取得を検討している方の多くが、Ｐマークについて誤解をしています。実はＰマークの取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「Ｐマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

セミナーの詳細や日程については下記よりご参照ください。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

勝部隆太

大手社会保険労務士法人のコンサル部門にて、年間1000名以上の経営者・総務担当者のサポートに携わる。 これまでにプライバシーマークやISOの認証取得・更新をサポートした企業は150社以上。 社内で多岐にわたる業務をこなす必要のある人事・総務担当者や経営者を減らすべく「分かり易いコンサルティング」をモットーとしている。

最新記事 by 勝部隆太 (全て見る)

• 企業を取り巻くセキュリティリスク事例とPマークの必要性 - 2018年6月30日
• Pマーク・情報セキュリティ担当者が情報収集に使えるサイト集【「バグ」・「脆弱性」調査確認編】 - 2018年5月31日
• Pマーク・情報セキュリティ担当者が情報収集に使えるサイト集【政府(国)運営編】 - 2018年3月29日