経営層の皆様は、皆様の組織の管理職や役員に向けた個人情報保護に関する教育・訓練の実施状況を把握されていますか?
たまに耳にするのが、全従業員向けやパート・アルバイト向けの教育は実施しているが、管理職や役員向け教育は未実施、というお話です。
その理由として、教育担当の社員が役員向けに研修することに無理がある、やろうとしたら役員から「なんで社員が教育するんだ」とクレームが出た、適切な講師が見つからない、といった内容が散見されます。
ここで「個人情報の保護に関する法律についてのガイドライン(通則編)」を紐解きますと「第24条(従業者の監督)」には次のような解説がされています。
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たって、法第23条に基づく安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい。
「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
更に同ガイドラインの「10 (別添)講ずべき安全管理措置の内容」における「10-4 人的安全管理措置」を紐解きますと「○従業者の教育 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。」とあります。
また、手法の例示には「個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。」とあり、中小規模事業者における手法の例示の内容も同様のこと(注.中小規模事業者だからという例外が認められていない。)が求められています。
参考までに、個人情報保護に関するJIS規格であるJIS Q15001:2017の「附属書B(参考)管理策に関する補足」を紐解きますと、次のような記載を見つけることができます。
“人的安全管理措置”とは,従業者(個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい,雇用関係にある従業員(正社員,契約社員,嘱託社員,パート社員,アルバイト社員など)だけでなく,取締役,執行役,理事,監査役,監事,派遣社員なども含まれる。)に対する,業務上秘密と指定された個人データの非開示契約の締結,教育・訓練などを行うことをいう。
特に保健・医療分野においては日常的に要配慮個人情報(以前の「特定の機微な個人情報」)を取り扱うことから、2世代前のJIS Q15001:1999の時点で組織内の役割に応じた適切な教育・研修を計画し実施する必要がある、と規格要求事項を解釈していましたし、実際、プライバシーマークの審査にあたってはその解釈を適用していました。
この考え方は現在の規格要求事項になって、業界を問わずプライバシーマークの審査で適用されているようです。
さて、皆様の組織はいかがでしょう?
対象者ごとに適切な教育・訓練が実施されていますか?
まさか「しているはず」なんてことはないですよね?
中小規模事業者だし、個人情報保護法の通則編はよくわからないから自分たちには関係ないとお考えですか?
もし、皆様の組織の教育・訓練について疑問な点など有りましたら、お気軽にご相談いただければと思います。