個人情報保護マネジメントシステムを遵守させるために最も必要な「教育」に関する要求事項が「3.4.5 教育」です。
「3.3.6 計画書」が関連する要求事項となり、教育計画書の基本要件を規定しています。
「理解」させるとともに「自覚」させる
「3.4.5 教育」では、以下の内容を要求しています。
- 従業者に、定期的に適切な教育を行うこと
- 関連する各部門及び階層において、その従業者に、個人情報保護マネジメントシステムに適合することの重要性及び利点、役割及び責任、違反した際に予想される結果を理解させる手順を確立し、維持すること
- 教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任と権限を定める手順を確立し、実施し、維持すること
なお、従業者に「理解させる」ことを規格では求めていますが、適切な個人情報保護の取り組みを行うためには、個人情報保護体制における各々の役割・権限を確実に果たすことができるよう「自覚」させ、かつ先の内容を「理解」させる必要があります。
定期的に教育を実施する
Pマークの新規申請時には、周知徹底の教育等の実施(「教育実施記録」の提出)を申請までに年1回以上、求められています。
また、更新申請においても同様です。
教育効果は時間が経つにつれて薄れていくことが一般的には予想されますので、個人情報保護の取り組みについて意識を持続させるためには、やはり定期的な教育の実施というものが重要となります。
また、この規格要求事項は「不定期な」あるいは「一時的な」教育などの実施を妨げるものではありません。
個人情報保護マネジメントシステムの変更時や、従業者の変動時(中途入社社員やパート・アルバイトの入社時など)、あるいは、他社の個人情報の漏えい事件の発生時など、従業者に対して、周知すべき事項が発生した場合にも実施すべきです。
教育のテーマは何か?
自社の個人情報保護マネジメントシステムに「適合することの重要性及び利点」「適合するための役割及び責任」及び「違反した際に予想される結果」を、従業者に「理解」させるテーマとして規定していますが、これは必要最低限のテーマです。
「3.2 個人情報保護方針」及び「3.3.4 資源、役割、責任及び権限」という、規格要求事項で「~周知すること」と規定しているものについても、必ず含む必要があります。
教育の方法はどうするか?
「教育の方法」については、規格要求事項では、規定していません。
従業者が少ない企業においては集合研修で実施するかもしれませんし、全国に拠点がある、あるいは従業者数が多い企業ではEラーニングを利用するかもしれません。
また、個人情報を全く取り扱わない担当者と、取り扱いが多い担当者では、同じ内容の教育を実施することがはたして必要になるのかなど、内容についても検討する必要があります。
必要な情報を必要な人に周知することが、重要になるのです。
そのため、自社の特性や取り扱っている個人情報の特性も考慮して、教育計画を立案する必要があります。
あわせて「教育受講アンケート」などをとることにより、教育の計画及びその実行が適切であるのか等の見直しを行うことが必要です。
すなわち、結果の報告は単に教育実施の結果を報告するだけではなく、教育の有効性の確認を報告することが必要となります。