Pマークを取得するためにJIS Q 15001の規格を読んでみると「従業者」といった単語が目に入ります。普段は、働いている社員のことを「従業員」と呼び、「従業者」と呼んだことがある人は少ないのではないでしょうか。ここでは、Pマークにおける、「従業者」と「従業員」の違いをご説明いたします。
従業員とは
従業員とは、企業と労働・就労契約を結んで雇用されている人のことです。
一般的な企業でいうと、正社員、契約社員、アルバイトの方などが当てはまります。
従業者とは
企業において、個人情報に関わる業務を行っている人のことをすべて従業者といいます。
規格に沿って言うと、「個人情報取扱事業者の組織内にあって直接間接に組織の指揮監督を受けて組織の業務に従事している者など(JIS Q 15001 3.42より)」と記載されています。
正社員、契約社員、アルバイトといった直接雇用関係を結んでいる従業員はもちろん、直接の雇用関係にないものも含まれることになります。例えば、取締役や監査役といった役員、派遣社員、出向契約によって出向してきて業務に当たっている出向元の社員も「従業者」となります。
つまり、従業員よりも従業者の方が当てはまる対象が広くなります。
Pマークにおける個人情報保護マネジメントシステムの対象は従業者となるので、個人情報に関わる業務を行っている者全員を含めた体制作りが必要になってきます。
どんな場面で従業者と出てくる?
Pマークを運用していくにあたり、従業者が対象になる場面を紹介します。
①従業者の監督
企業は、自社で取り扱う個人情報が適切に取り扱われるように、従業者がルールを守っているかを日々確認を行う必要があります。ルールの順守状況を確認する方法としては、モニタリングや、抜き打ちのセキュリティチェック、貸与しているPCでの個人情報へのアクセスログを取得し定期的に確認するといったことが挙げられます。また、企業の情報を取り扱うにあたり、機密保持誓約書を結ぶことも従業者の監督の方法の一つです。
企業として、取り扱う個人情報が悪用されたり、外部への漏えいが起きないように対策を行う必要があります。そのために策定されたルールというのは、個人情報を取り扱う者が役職、雇用契約の形態に関わらず守るためのルールである必要があり、企業はその監督をする義務があります。
②教育
Pマークを運用していくにあたり、少なくとも年に一回個人情報保護に関する教育を実施しなければなりません。個人情報を取り扱う重要性や、もしルールを守らなかったらどういった被害が予想されるのかといったことを教育の内容に含み、従業者が各々意識し業務に取り組むことが求められています。これらの教育についても、ルールの遵守と同様に、個人情報を取り扱う従業者全員が対象です。
まとめ
「従業員」と「従業者」の違いはおわかりいただけましたか。個人情報を取り扱うときに、取り扱う全員がルールを守っていることが、個人情報保護において重要になります。
教育の対象はどの範囲までなのかと悩まれた際にご参考になれば幸いです。