横浜産業新聞
larger smaller reset larger
Home arrow 連載/コラム arrow プライバシーマーク入門講座(連載:第20回)

注目記事

先進企業のCSR


広域産学連携


100年企業の条件


MH_cornor


SP_cornor

RSS配信

プライバシーマーク入門講座(連載:第20回) プリント
2007/11/25 日曜日 21:33:35 JST
「個人情報保護マネジメントシステム」の構築に向けて(第15回)
     ~内部規定の作成(第12回)~


i)教育に関する規定
 "JIS 3.4.5教育"に規定された事項である。
 教育としては、定期的に(年1回以上)従業者全員に対し適切な教育を実施することが求められている。
 また、教育する内容としては、次の3項目を含めることを要求している。これらは、定期的に実施される教育に必ず含まれなければならない。
 a)    個人情報保護マネジメントシステムに適合することの重要性及び利点
 b)    個人情報保護マネジメントシステムに適合するための役割及び責任
 c)    個人情報保護マネジメントシステムに違反した際に予想される結果
 当然、教育内容としては、上記に加えて貴社がPDCAのルーチンを回す上において必要な項目や、従業員のスキルアップを図るための項目等々も盛り込むことが望ましい。

 また、規格では、"従業者に関連する各部門及び階層における"と述べている。
 この中では、"従業者"とは、役員、正社員、契約社員、パート・アルバイト等、全ての人を含む概念であることを認識すること。
 また、関連する各部門及び階層と述べているように、部門及び階層によって教育の内容は自ずと異なることも理解する必要がある。
 規格の中では、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれに伴う記録の維持に関する責任及び権限を定めることを要求している。
 すなわち、これらを実施する手順を手順書として作成することを求めている。

 先ず、教育の計画であるが、3.3計画の3.3.6計画書に対応する規定として、この中に、教育計画書の作成手順も具体的な手順として含めると良い。
 教育の計画としては、年間計画としての計画と、実施計画が考えられる。
 すなわち、事業者として一番大きなPDCAサイクルを回す上における教育の位置づけを考えた計画と、その個別の実施計画を考える必要がある。
 事業者として一番大きなPDCAサイクルを回す上における教育は、代表者による見直し(マネジメントレビュー)での指示を受け、改善計画を立て、実施し、その中で必要な教育を実施し、PMSの運用状況を内部監査によって確認し、それを代表者による見直し(マネジメントレビュー)で報告・討議してゆくルーチンにおける位置づけである。
そ のような意味で、教育計画書の承認は事業者の代表者(社長)による必要がある。
 もう一つが、実施計画で、具体的に実施日時や個別のテーマ、担当者や使用テキスト等を明確化した計画書を作成する。
 手順書には、上記のような二つの計画を策定する手順を含めて規定する。

 次に実施であるが、教育の実施において使用するテキストの作成を誰がどのように行なうかについても明確に定めておくと良い。
 教育すべき内容としては、上記のように最低限"重要性及び利点""役割及び責任""違反した際に予想される結果"を教育することを求めている。
 教育テキストの内容は、一般的な教科書的なものではなく、貴社としての内容を含めたテキストとすることが重要である。
 "重要性及び利点"は貴社にとっての重要性や利点であり、"役割及び責任"は貴社の業務運営上での役割と責任であり、また、"違反した際に予想される結果"も違反した際に"貴社または従業者個人"に対して起こりうる(降りかかる)ことが予想される結果である。
 従って、テキストや教育の内容は、部門及び階層によっても異なる可能性があることを認識すること。
 教育は、役員、社員、契約社員、パート・アルバイト等々を含めた、全ての従業者に対して実施することが求められており、全員が教育を受講したことが管理できる仕組みを作ることも必要である。
 また規格においては、理解させる手順を確立し、と述べており、教育の成果としての理解度を確認することも要求している。
 どのような方法で理解度の確認を行なうのかも規定しておくこと。
 更に、欠席者の取扱いや、理解度を確認した結果、理解が不足している者へのフォローアップ教育等も規定しておく。
 また、教育の結果をどのように事業者の代表者(社長)に報告するか、報告書をレビューし、どのように計画の見直しに結び付けて行くか並びにこれに伴う記録の維持に関しての責任及び権限も手順書として明確に定めることも必要である。
 新入社員や、途中で入社するパート・アルバイト等に対する教育の実施についても定めておくこと。
 ここで、人材の派遣を行なっている企業の場合であるが、派遣するスタッフの教育は派遣元が行なうことが求められており、派遣するスタッフに対する個人情報の保護に関する教育を行なうことが必要である。
 しかも、年に1回程度の教育の実施が求められており、遠隔地に勤務する派遣中のスタッフに対する教育の実施方法については色々検討を行い、遺漏なく実施できる仕組みを構築する必要がある。
 近年のIT技術の発達でe-ラーニングの採用も盛んになってきており、検討してみると良い。
 次回は、文書管理から述べる。

         (中小企業診断士 中村 隆昭)
 
< 前へ   次へ >

支援企業・団体

連載/コラム

広告主募集

 
ホーム  |  スタッフ募集
Copyright 2004-2007 横浜産業新聞 - 横浜における情報産業の情報発信「ハマビズ」 - All rights reserved.
横浜産業新聞に掲載の記事・写真・図表などの無断転載を禁止します。
著作権は横浜産業新聞またはその情報提供者に属します。