教育の理解度を図るには「教育アンケート」で十分ですか?
近々弊社で全従業員に対しての教育を予定しております。
教育の方法としては、「プライバシーマーク構築パッケージ」内の「1_導入前研修(PM).ppt」「3_運用前研修(PM).ppt」を配布し、「P132-3.4.5-D 教育アンケート.xls」にて理解度を測ろうと考えております。
ただ、「P132-3.4.5-D 教育アンケート.xls」だけでは、従業員が理解した証明として不足しているでしょうか?
その点を審査で指摘されるのではという不安があります。
やはり、「情報セキュリティの基礎問題 200選」のような問題を全従業員に解かせて、「回答率何%以上」を全員がクリアしたという証明のほうが良いでしょうか?
「教育アンケート」でも不適合ではないが、小テストなどを組み合わせる方がより望ましい。
ご検討中の「教育アンケート」のみでも直ちに不適合(NG)となるわけではありませんが、「教育の有効性」を客観的に証明するという観点では、小テストなどを組み合わせる方がより望ましく、審査員からの信頼も得やすくなります。
JIS Q 15001:2023では、「7.3 認識」において、「計画に基づき定めた間隔で年一回以上,更に必要に応じて適宜に行う」が要求されています。
プライバシーマーク サンプル文書集では、この「7.3 認識」における教育訓練の計画する際に、「7.2 力量」における教育訓練もあわせて計画するように規定しています。
規格(JIS Q 15001:2023)の要求事項に基づき、以下の通り整理して解説いたします。
1. 「認識(7.3)」としての教育
JIS Q 15001:2023の「7.3 認識」では、組織の管理下で働くすべての人々に対し、計画に基づき年1回以上の教育を行うことが求められています。
ここでは、特にJIS Q 15001:2023の7.3 認識のa)からc)に定める事項である「個人情報保護方針」や「自社のルール」を理解し、各自の役割を自覚させることが目的となっています。
7.3 認識
組織の管理下で働く人々は,関連する各部門及び階層における次の事項に関して認識をもたなければならない。
- a) 個人情報保護方針
- b) 個人情報保護パフォーマンスの向上によって得られる便益を含む,個人情報保護マネジメントシステムの有効性に対する自らの貢献
- c) 個人情報保護マネジメントシステム要求事項に適合しないことの意味
組織は,認識させる手順に,組織の管理下で働く人々に対する教育を,計画に基づき定めた間隔で年一回以上,更に必要に応じて適宜に行うことを含めなければならない。
「JIS Q 15001:2023」より
B.7.3 認識
“認識” とは,従業者に,7.3のa)~c)に定める事項を理解させ,自覚させ,個人情報保護体制における各々の役割・権限を確実に果たすことが可能なようにすることをいう。
「JIS Q 15001:2023」より
この「認識」の理解度を確認する方法として、規格の解説(B.7.3)では、「アンケート又は小テストを実施することなど」と例示されています。
したがって、アンケートで「理解した」という回答を得ることも、一つの確認手段として認められてはいます。
B.7.3 認識
具体的には,従業者に対する教育を少なくとも年一回,計画書(6.3参照)に基づき実施するに当たり,受講者の理解度確認を行うこと,アンケート又は小テストを実施することなどによって従業者の理解度を把握し,必要に応じて教育内容の見直しを図ること,及び教育を受けたことを自覚させる仕組みを取り入れることが7.3に適合することとなる。
「JIS Q 15001:2023」より
2. 「力量(7.2)」と教育の有効性評価
規格の「7.2 力量」でも、業務を適切に行うための「力量」を備えていることを確実にするために、適切な教育訓練などを行うよう要求されています。
教育などの処置をとった場合には、その「有効性を評価する」ことが求められています。
7.2 カ量
組織は,次の事項を行わなければならない。
- b) 適切な教育,訓練又は経験に碁づいて,それらの人々が力量を備えていることを確実にする。
- c) 該当する場合には,必ず,必要な力量を身に付けるための処置をとり,とった処置の有効性を評価する。
注記1 適用される処置には,例えば,現在雇用している人々に対する,教育訓練の提供,指導の実施,配置転換の実施などがあり,また,力量を備えた人々の雇用,そうした人々との契約締結などもあり得る。
「JIS Q 15001:2023」より
プライバシーマーク サンプル文書集にあるアンケートは、「教育のやり方(教材の分かりやすさ等)」が適切だったかという教育方法の有効性評価の側面が強くなっています。
一方で、従業員が実際に知識を習得したかという処置(教育)そのものの有効性を測るには、アンケートよりも「小テスト」や「実技評価」などのやり方が適していると判断されるのが一般的です。
3. 審査におけるポイント
審査においては、単に「教育を実施した(出席した)」という記録だけでなく、「その教育によって、従業員が本当に必要な知識を身につけたか(=有効だったか)」という点に焦点が当てられます。
「情報セキュリティの基礎問題 200選」(現:情報セキュリティ基礎知識の確認テスト集)のようなセキュリティ問題を全員に解かせる方法もありますが、例えば配布した「導入前研修」「運用前研修」のポイントを絞った5問〜10問程度の小テストを実施し、「○点以上で合格」といった基準を設けることで、有効性評価の根拠は格段に強固になるかと思います。
4. まとめ
現在のアンケート形式でも運用は可能ですが、より確実に審査をクリアし、教育の効果を高めるためには以下の運用をご検討ください。
- アンケート
教育の分かりやすさや、今後の改善点の把握に使用する。 - 小テスト
重要なポイントの理解度を客観的に測定し、合格点に達しない場合は再教育を行う等の仕組みにする。
これにより、「7.3 認識」の徹底と「7.2 力量」の有効性評価の両方を、自信を持って審査員に説明できるようになります。もちろん、欠席者への補講を含め、全員が教育を完了した記録を残すことも忘れないようにしてください。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
