Pマークにおいては従業員教育の実施が義務付けられていますが、なかなか、どんな教育をすればいいのか、どういった手順で進めたらいいのか、などなど検討することは非常に多いですよね。
本記事では、Pマークにおける従業員教育の進め方を解説します。
また、実践でご利用いただける効果的な従業員教育の手順書を無料で配布しています。適切な手順で効率的・効果的な教育実施をしましょう。
Pマークで求められる「従業員教育」とは
Pマークの規格であるJIS Q 15001:2017では、以下の内容を従業員に認識させるため、教育をおこなうことが求められています。
- 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
- 個人情報保護マネジメントシステムに適合することの重要性及び利点
- 個人情報保護マネジメントシステムに適合するための役割及び責任
- 個人情報保護マネジメントシステムに違反した際に予想される結果
つまり、これらの内容を必ず教育内容に含まなければ、Pマークは取得できないということになります(具体的な内容については後述します)。
では、なぜ教育を実施しなければならないのでしょうか。
それは、従業員のセキュリティに対する意識が低下し、セキュリティインシデントが起きやすい状況になることを防ぐためです。
社会人になったばかりの新卒者は、個人情報の重要性、個人情報の取扱い方法といった知識が乏しく、個人情報を保護しなければならないといった意識も低いことが予想されます。
そういった意味では、教育を受けていない新卒者は「歩くリスク」といっても過言ではないでしょう。
当たり前ですが、セキュリティインシデントが起きてしまった場合、新卒者だからといって恩赦が与えられるようなことはありません。セキュリティインシデントの結果、会社は信用を失い倒産につながることもあります。
セキュリティインシデントが起こったとき、「こんなリスクがあるなんて知らなかった」「まさかこんなことが起こるなんて思わなかった」では済まされません。
会社のリスク対策として、従業員に対する教育は必ずおこないましょう。
従業員教育実施の流れ
では、実際にPマークを取得・維持するにあたっては、従業員に対してどのように教育を実施する必要があるのでしょうか。
以下では、一般的な流れをご説明します。
1. 対象者を把握する
まずはPマークの教育を受ける人員を確認しましょう。
Pマークでは、全ての「従業者」に対して、少なくとも年1回の教育をおこなうことが定められています。「従業者」とは、JIS Q 15001:2017にて以下のように定義されています。
個人情報取扱事業者の組織内にあって直接間接に組織の指揮監督を受けて組織の業務に従事している者などをいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)だけでなく、雇用関係にない従業者(取締役、執行役、理事、監査役、監事、派遣社員など)も含まれる。
「JIS Q 15001:2017」より引用
つまり、社長であろうともアルバイトであろうとも、誰でもその企業で仕事をしている人であれば必ず教育を受けなければなりません。
※例外的に、育児休暇中などで長期的に業務から離れている社員は教育の対象になりません。
2. 教材を準備する
次に、教育で利用する教材を準備しましょう。
上述のとおり、Pマークでは従業員教育に盛り込まなければならない内容というのが定められています。それぞれ、具体的な内容を確認していきたいと思います。
「セキュリオ」では、eラーニング教材のサンプルを無料公開しています。参考にしてみてください。
a. 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
Pマークでは、「自社の個人情報保護方針の内容を常日頃から確認し、認識しておくこと」が求められます。そのため教育時は「常日頃から自社の個人情報保護方針にどのような内容が書かれているのか意識しましょう」といったような内容を含むことが求められています。
また、自社のコミュニケーションツールなどで、Webサイトで公開されている個人情報保護方針を確認するように定期的に通知するといった方法を取ることも有効です。
b. 個人情報保護マネジメントシステムに適合することの重要性及び利点
「なぜPマークを取得(個人情報保護マネジメントステムを構築・運用)するのか」ということを従業員に伝えることが求められています。例えば、下記のような内容です。
- 会社はたくさんの個人情報を扱っています。
- 個人情報が漏えいしてしまうと、顧客からの信頼を失い、場合によっては倒産に追い込まれることもあります。
- そういったことを防ぐためには、個人情報保護マネジメントシステムを構築し、日々個人情報保護を意識しなければなりません。
また、合わせて「Pマークを取得(個人情報保護マネジメントステムを構築・運用)するメリット」も伝えなければいけません。例えば、下記のような内容です。
- 「委託先が自社の顧客の個人情報を漏えいした結果、自社が倒産に追い込まれた」「利用したECサイトから情報が漏えいし、クレカを不正利用された」といった事件が跡を絶たない
昨今、企業も消費者も、今まで以上に「この会社は情報セキュリティに力を入れているのか?」といった点を重視するようになっています。 - Pマークを取得し、それをうまくPRすることができれば、取引先・消費者から信頼を得ることができます。
- もし情報漏えいが発生してしまった場合でも、個人情報保護マネジメントシステムに沿った対応をすることで、被害の拡大を防いだり、取引先や消費者に対して的確・迅速な対応をおこなうことが可能になります。
c. 個人情報保護マネジメントシステムに適合するための役割及び責任
個人情報保護マネジメントシステムの運用上必要とされる、
- 個人情報保護管理者
- 個人情報保護監査責任者
といった役職とは何なのか、どのようなことをおこなうのか、どのような責任・権限があるのか、といったことを教育に含む必要があります。
また、教育担当者や個人情報保護マネジメントシステム運用のサポート人員などがいる場合には、必要に応じてそれら役職の説明を教育に含めることで、より社内の役割及び責任への理解が深まります。
d. 個人情報保護マネジメントシステムに違反した際に予想される結果
「個人情報保護マネジメントシステムで定めたルールを破るとどうなるのか」ということも教育の内容に盛り込みましょう。
例えば、定められている個人情報保護マネジメントシステムから逸脱した場合、個人情報の漏えい、改ざん、紛失といったリスクの高い状態となり、インシデントが起きやすい状態になってしまうことが予想されます。
また、インシデントが発生することによって、
- 損害賠償の発生
- 取引先からの信頼失墜
- 取引停止
- 倒産
といった事態が発生することも予想されますので、そのような内容を教育に盛り込みましょう。
実際に起きたインシデント事例などを使用することで、ことの重大さや深刻さをイメージしやすくなるため、理解が深まります。
特に、同業他社で実際に起きたインシデントをもとに、自社で発生した場合にはどのような事態になるのか、どのような罰則があるのか、といった内容にも言及できるとなお良いでしょう。
3. 教育を実施する
教材の準備ができたら、実際に教育を実施しましょう。
教育の実施方法は様々ありますので、それぞれ自社に合った教育方法を選択すると良いでしょう。
なお、Pマークでは、「どのような教育をおこなったのか」という記録が必要となります。
そのため、教育内容を証明できる「教材」を使用した教育方法を採用することになります。
代表的な教育方法としては、以下のものが挙げられます。
eラーニング
- メリット
-
- 受講者の管理がしやすい
- クラウドサービスであれば場所を選ばず受講することができる
- 一度に全従業者へ教育をおこなうことができる
- 受講期限の設定ができる
- デメリット
-
- 回答を暗記するなど、ズルができる場合がある
- ネット環境が必須
- 教材が提供されないタイプの場合、自社で教材を準備する必要がある
外部セミナー
- メリット
-
- その場で質問が可能
- 専門家の話を聞くことができる
- デメリット
-
- 交通費や参加費が発生する
- 日程調整が難しい
- 教育内容が講師の質に左右される
- 事前に教育内容の打ち合わせが発生する
社内集合研修
- メリット
-
- 習得まで自社の裁量で繰り返すことができる
- 教育内容を自社で自由に決められる
- デメリット
-
- 日程調整が難しいので、場合により教育を受けれなかった人へのフォローが必要となる
- 教材や講師、会場の手配が必要
- テスト等の採点をおこなう手間がかかる
ビデオ研修
- メリット
-
- 一度教材を用意してしまえば、繰り返し使える
- デメリット
-
- 視聴環境を準備する必要がある
- ルールが変わった場合など、都度編集する必要がある
- 外部のビデオの場合、自社のルールに内容が沿わない場合がある
従業員教育の実施時期、頻度
ところで、Pマークに関する教育はいつ、どれくらいの頻度で実施すればよいのでしょうか。
実際のところ、年に1度の教育さえ実施していればPマーク上は問題ありません。
教育実施にあたっては、すべての従業者が教育を受け、テストなどによって一定の基準を満たしている必要があります。
しかし、実際には多くの会社で、上述のとおり「年1回の啓蒙教育」をおこなうだけではなく、「都度の入社教育」も実施されています。
年1回の啓蒙教育は、その時期に在籍する全ての従業者に対しておこないます。実施する時期は、会社毎で自由に決めてOKです。また、全員が同じ時期に教育を受講する必要もありません。
極端な話、1年間かけて全従業員が一通り教育を受ければOKです。ただ、実際には時期を定めて、その期間中に全員に受けてもらう方式を採用している会社が大半です。
一方、入社教育とは、上記の啓蒙教育実施時期以外に、『新しく自社に入ってくる従業者』に対して、入社のタイミングで教育を実施することです。入社教育を実施することによって、啓蒙教育実施時期以外に入ってきた従業者に対しても個人情報保護の教育を実施することができるようになります。
他にも社内でインシデントが起きた際などには、再発防止策として、計画された教育とは別に追加で教育をおこなうこともあります。
Pマークにおける「効果測定」とは
教育実施後は、受講者の理解度を確認するために、効果測定を実施します。
Pマークでは、規格に明記されているわけではありませんが、一般的に「教育内容を網羅的に理解しているか」が問われます。
また、理解度を把握するための指針として、明確な合格基準を設定することが求められます。
そのため、教育内容を網羅したテストを実施して評価するのが、主な効果測定方法となります。
理解した内容をアンケートや作文といった形式で記述して提出することによる効果測定方法もありますが、実際には、テストに比べて合否の判定や採点基準の設定が難しいため、実用的ではありません。
従業員教育を実施した後にやるべき「見直し」
教育・効果測定を終えたら、教材・テストの内容や教育の実施方法について、見直しをおこないます。
例えば教材・テストを見直す場合は、テスト結果をチェックして受講者がよく間違えた場所などを洗い出し、どういった点がわかりづらかったのか、どうすればより理解してもらえるのかを検討します。検討した内容は、次回の教育に活かしましょう。
教育の実施方法を見直すというのは、具体的には「教育方法」「実施時期」などを検討します。
例えば、集合研修を実施したが参加率が低く、一部の従業員には補講や別対応をおこなう必要があったという場合には、eラーニングを利用した教育への移行や、研修開催時期の変更などを検討する必要があります。
従業員教育記録の保管は必須
教育を完了したら、教育実施記録を残しておく必要があります。
具体的には、
- 教育をおこなった期間
- 使用した教材
- 評価方法
- 受講者の内訳
といった情報をとりまとめておきましょう。
これらは、Pマークの更新審査のため、最低2年間保管する必要があります。紙でも電子データでも、保管方法に指定はありません。
Pマーク教育を効率的・効果的に実施したい、従業員のセキュリティリテラシーを向上したいというという企業様にはセキュリティ教育クラウド「セキュリオ」でのeラーニングがオススメです。
- 90種類以上の中からの教材選定
- ボタン一つで教材・テスト配信
- 自動集計された受講結果・採点結果の確認
という3ステップでの従業員セキュリティ教育が可能です。
もちろんPマーク教材も多数取り揃え、他にも標的型攻撃メール訓練、セキュリティトレーニングを通じた従業員のセキュリティレベルアップが実現できます。
ISMS教育との違い
Pマークと比較されることの多いISMSとの違いについて、最後に少しだけご紹介します。
上述のとおり、Pマークでは必ず年に1回下記内容の教育を実施しなければなりません。
- 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
- 個人情報保護マネジメントシステムに適合することの重要性と利点
- 個人情報保護マネジメントシステムに適合するための役割と責任
- 個人情報保護マネジメントシステムに違反した際に予想される結果
また、Pマークでは全従業員に対して教育をおこなうことが求められています。
しかし、ISMSにおいては教育の内容は特に決まっていません。
「どういった内容の教育をするか」「教育の実施範囲はどこまでにするか」「誰にどんな知識・技能を身に付けてほしいのか」といったことを、自社で判断して自由に設定することが可能です。
なお、PマークとISMSの両方を取得されているところでは、年に1度、Pマークで求められている内容が含まれた教材で教育をおこない、その結果をもってISMS、Pマーク双方の審査をパスされているパターンが多いです。
