この項目では力量の習得と維持が求められます。
- 組織の個人情報保護に影響を与える人(個人情報保護管理者など)に個人情報保護上、備えてほしい知識やスキル(能力)を決めて、その能力を身につけれるように組織は対応する。また、能力獲得のために実施した対応は記録を残す
- 組織は、従業者に自組織での個人情報の取り扱いや、適切な個人情報の取り扱いの大切さを学べるように最低でも年に1回教育を実施する
規格対応箇所
J.4.2 力量
J.4.3 認識
用語の説明
- 力量
- 目標などを達成するために必要な知識やスキル(能力)を使うことができる力
要求されていること
必須な教育事項
- 個人情報保護方針
- 自組織の個人情報の取り扱いを個人情報保護方針で確認してもらう
- 個人情報保護マネジメントシステム(PMS)に適合することの重要性とメリット
- PMSを作り上げ、運用すればどのようなメリット(例えば、適切な個人情報の取り扱いにより体外的な信頼度を獲得し、新規顧客獲得の可能性が高まるなど)が自組織にあるのかを説明
- PMSに適合するための役割と責任
- トップマネジメント、個人情報保護管理責任者、個人情報保護監査責任者の役割を説明
- PMSに反した場合に予想される結果
- PMSに反したら、どのような事故・事件が起きるのか、その結果どのような被害が生じるのか。実際の個人情報漏えい事件でのケーススタディなどで説明
力量の設定と習得
- 個人情報保護に関わる業務を行う者(個人情報保護管理者など)が持つべき、個人情報保護の観点から必要とされる能力(=力量)を決める
- 個人情報保護管理者などが必要な能力を身につけるようにする(教育や配置転換、能力を備えた者を雇用 など)。教育や理解度確認の方法に指定はない
- 教育方法例:e-ラーニング、講師による講義、ワークショップ
- 理解度確認方法例:テスト、アンケート、ワークショップでの成果物
- 個人情報保護管理者などに必要な能力が身につけられなかった場合、能力を身につけられるようフォローアップの対応を行う。また、そのフォローアップの対応が、個人情報保護管理者などの能力獲得に有効な内容だったかを評価する
- 必要な能力が身につけられたかどうかの判断は、組織独自の判断基準で決めることができる
- 必要な能力が身についているかの確認方法の例:確認テスト、アンケート
- フォローアップの例:再テスト
- 1~3を実施した記録をそれぞれ残すこと
教育計画
最低年1回または適宜必要に応じて実施する、従業者への教育や理解度確認の手順をテキスト化して見れるようにする
- 教育実施の頻度:最低年1回
- ”適宜必要に応じて実施”とは、年1回とは別に、例えば休職から復帰したタイミング、入社したタイミングなどの、業務に従事する前に教育を実施することを指す(要は、直近1年間に1回以上教育を受講した者だけが業務に従事できる)
- 教育対象者:役員、パート・アルバイトなど含め全従業者
- 教育実施当日の欠席者にも必ず別日に教育実施し、全従業者へ教育実施しなければならない
- 例外:
- 監査役は、教育を受けなくてもOK。監査役は監査の独立性を保つために、会社の指揮命令を受けられないから(=教育を強制できない)
- 長期休暇者は休暇中に教育を受けなくてもOK。休暇明けに教育を必ず受ける
- 教育の進め方:指定なし
- 教育方法や理解度確認方法は全従業員同一でなくても良い
- 従業員の業務内容や働き方に合わせて教育方法等を変更しても良い
- 従業者数・拠点数などの自社の都合を踏まえて、都合の良い方法で実施すればOK
- 一度の教育で全従業員に受講させなくても良い
- 拠点ごとや部署ごとなどで教育実施日を分けても良い
- 教育方法や理解度確認方法は全従業員同一でなくても良い
やること
従業員向けの教材を作る
SecureNaviでは本項目で要求されている事項をまとめて「従業員に求められる PMSに関する知識・認織」という教材を用意していますので、配信用の教材を作成ください。もちろん、自社で教材作成いただくことも可能です。
スライドと運用指針の対応関係は以下の通りです
- 個人情報保護方針
- P8 個人情報保護に関するルールの遵守
- 個人情報保護マネジメントシステムに適合することの重要性及び利点
- P5 PMSの重要性を理解
- 個人情報保護マネジメントシステムに適合するための役割及び責任
- P7 PMS体制の理解
- 個人情報保護マネジメントシステムに違反した際に予想される結果
- P5,6 PMSの重要性を理解
その他、役割ごとにSecureNaviで用意している教材をご利用いただけます。
役割 | 教材名 | |
1 | すべての人 | 従業員に求められる PMSに関する知識・認織 個人情報保護の基礎 |
2 | 個人情報保護管理者 | JIS Q 15001:2023の基礎 |
3 | 個人情報保護監査責任者、個人情報保護監査員 | 内部監査の基礎(Pマーク向け) |
4 | 特定個人情報取扱事務担当者 | 特定個人情報(マイナンバー)の基礎(Pマーク向け) |
5 | 窓口担当者 | 個人情報受付窓口担当者の基礎 |
従業員向けの教育計画をつくる
以下画面から、教育期間、使用する教材、受講者数を指定してください。
受講者数は「計画」で構いません(実績は後工程で入力欄があります)
教育計画に従って作成した教材を配信し、受講してもらう
上記で作成した教材を、以下画面で役割に紐付けます。
右側の「・・・」ボタンから、役割ごとに教材を選択ください。
「従業員に求められる PMSに関する知識・認織」は「すべての人」に紐づければ、他の役職の人も受講できます(各役割ごとに紐づける必要はありません)
教育の受講が完了したら作成した教育計画を「完了」にする
受講が完了したら、上記で作成した受講計画を編集して、
「実施期間(実績)」を入力し、画面下の「更新ボタン」をクリックしてください。
実施期間(実績)を入力することで、完了となります。
完了後、個人情報保護管理者にて承認を実施しましょう。
よくある質問
オンサイトの業務委託(フリーランス)メンバーも教育対象となりますか?
なりません。教育対象となるのは「指示命令系統下にいるかどうか」になるため、
- 雇用関係にあるか(正社員、契約社員、アルバイト)
- 派遣や出向など、雇用関係はないが指示命令下にいる
が判断基準になります(そのため、業務として関係性が強いが、業務委託である限りは、オンサイト or リモート問わず教育対象にはなりません)
厳密には、Pマークの審査基準である「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の「J.2.1 リーダーシップ及びコミットメント(5.1) 」に以下の記載がありますのでご参考ください
従業者とは、個人情報取扱事業者の組織内にあって、直接若しくは間接に、組織の指揮監督を受けて組織の業務に従事している者などをいう。これには、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)だけでなく、雇用関係にない従事者(取締役、執行役、理事、監査役、監事、派遣社員など)も含まれる。