個人情報保護マネジメントシステム文書(方針・基本規程・管理規程)を作成・制定すると、次の段階は実際の導入です。「教育」と「自覚」が、導入にあたり必要な事項となります。
規格では、要求事項の理解を求めていますが、個人情報保護マネジメントシステムの維持・運用は、従業者にこの「自覚」がなければ困難なものとなります。
教育計画を立てる
教育計画は、年次単位でその年に「どのようなテーマ」で「どのような教育を行うか」を計画する「年間教育計画」(年間カリキュラム)と、その計画書に基づき実施前に作成される「個別教育計画」(個別研修プログラム)の二つに分けられます。
前述しましたが、教育計画の策定にあたり「その教育が本当に個人情報保護マネジメントシステムを遵守させるために適切なのか?」という視点に基づき事前に計画を立てることが、JIS Q 15001の規格の解説3.2.6では「研修名」「開催日時」「場所」「講師」「受講対象者及び予定参加者数」「研修の概要」「使用テキスト」「任意参加か否かの別」及び「予算」を含めることを要求していることから、重要になってきます。
「教育計画書」の例については、別掲する「年間教育計画書」及び「教育予定表兼実施結果報告書」を参照してください。
欠席者へのフォローアップ
教育の実施管理及び欠席者へのフォローアップが、教育の実施において重要なこととなります。
特に申請時には全従業者への教育が要求されていることから、欠席者に対して「つフォローアップ教育を行うか」また「すべての熟考対象者に教育が完了しているか」などの管理は確実に行わなければなりません。
自覚させるための手順を確立する
個人情報保護体制における各々の役割・権限を確実に果たすことができるように、教育内容を理解させ、自覚させることが、教育の目的です。
①理解させる対象を決定する
「自覚(理解、認識させること)」こそ、個人情報保護マネジメントシステムを組織内に浸透させるために一番重要な手段です。JIS Q 15001の規格要求事項では「関連する各部門及び階層における」と規定していることから、まず、理解させる対象を決定しなければなりません。
事業者の個人情報保護マネジメントシステムにおいて重要な役割を担う階層や部門はどこなのか?という本質を考えることが、対象を決定する上で重要なポイントとなります。
たとえば「委託先を評価・選定する担当者が理解、認識せず、該当する手順を遵守しなければ、不適切な委託先に個人情報を委託し、その結果、個人情報の漏えいにつながるかもしれない」などです。もちろん従業者の全員に自覚が必要と考え、自覚の対象を全従業者と定義している事業者もあります。
②自覚の手順を決定する
自覚のテーマにおいても、ただ単に手順を教育するだけでは、JIS Q 15001の規格要求事項では個人情報保護マネジメントシステムに「適合することの重要性及び利点」「適合するための役割及び責任」及び「違反した際に予想される結果」と規定していることから、「自覚させる」という手段としては乏しいでしょう。
したがって、以下の二つの手段が必要となります。
- 「自覚教育用テキスト」などを作成し、専門の教育を実施する
(市場のセキュリティ事故やその要因を解説し、その対策として有効な手段が自社の個人情報保護マネジメントシステムであるというような内容)
- 「理解、認識したのか」の確認を「テスト」や「アンケート」などを用いて行う