ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

特定個人情報事務担当者研修は必須ですか、また審査項目として指摘されますか。

09.15.2020

PMS運用上で、特定個人情報事務担当者研修は必須でしょうか。

外部審査時に、審査項目として指摘されますか。

ご質問に関してでございますが、JIPDECが公表している審査基準において、具体的に該当する項目はございません。

しかし、JIPDECでは「特定個人情報の取扱いの対応について」という文書を公表しており、この中の「1.規格に基づき対応を必要とする事項」の「(3) 資源、役割、責任及び権限」にて「事務取扱担当者の役割・権限が内部規程として文書化されていること。」となっています。
よって、研修ではありませんが、“役割・権限を明確にすること”は必須となります。

(3) 資源、役割、責任及び権限(規格 A.3.3.4)

《対応を必要とする事項》

● 事務取扱担当者の役割・権限が内部規程として文書化されていること

《留意事項》

規格 A.3.3.4(資源、役割、責任及び権限)では、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めている。

特定個人情報ガイドライン(「(別添)特定個人情報に関する安全管理措置(事業者編)」を含む)では、特定個人情報等を取り扱う事務に従事する従業者(以下、「事務取扱担当者」という。)の明確化を求めている。

よって、プライバシーマーク付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要がある。

特定個人情報の取扱いの対応について」より

ただ、ご質問の“研修”についてですが、先のJIPDECの公表文書の冒頭で、『特定個人情報の取扱いに際しては、番号法及び個人情報保護委員会より特定個人情報の適正な取扱いを確保するための具体的な指針として公表されている「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の遵守が必要です。』と書かれています。

そして、この「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「2 講ずべき安全管理措置の内容」の中で、「D 人的安全管理措置」として「b 事務取扱担当者の教育」のいう記載があります。

そこには、例として、「定期的な研修等の実施」および「特定個人情報等についての秘密保持に関する就業規則等を盛り込むこと」と書かれています。
また、JIS Q 15001 の「A.3.4.5 認識」とも関連するとも思われます。

b 事務取扱担当者の教育

事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。

≪手法の例示≫

* 特定個人情報等の取扱いに関する留意事項等について、従業者に定期的な研修等を行うことが考えられる。

* 特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込むことが考えられる。

特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より

よって、直接、審査基準としては明記されてはいないが、ご質問への回答としては、「研修」としては必須ではないが、何らかの対応(簡単な教育または秘密保持契約など)を実施しておく方が良いと思われます。