ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

プライバシーマークで年1回以上の教育を実施とされているかと思いますが、「情報セキュリティ基礎知識の確認テスト」の問題を抜粋して行うという形でもOKでしょうか?

2022/07/19 (2022/08/01)

「プライバシーマーク社員教育用テキスト」を購入させて頂きましたが、どのように使用したら良いか、悩んでおります。

プライバシーマークの監査で1年に1回以上の教育を実施とされているかと思いますが、「情報セキュリティ基礎知識の確認テスト」の問題を抜粋して行うという形で監査OKになるのでしょうか。

まず、プライバシーマークの教育に関してですが、JIPDECの構築・運用指針の「J.4.3認識(7.3, A.3.4.5)」が該当しており、以下のように記載されています。

従業員に対して、少なくとも年一回、及び必要に応じて適宜に教育を実施する手順を規程化すること。
次の事項を認識させること。

  • a) 個人情報保護方針
  • b) 個人情報保護マネジメントシステムに適合することの重要性及び利点
  • c) 個人情報保護マネジメントシステムに適合するための役割及び責任
  • d) 個人情報保護マネジメントシステムに違反した際に予想される結果

ポイントは、以下のとおりです。

  • a)~d)に関する教育の実施
  • 全従業員への実施
  • 年一回の実施

よって、同じ教材を使って、毎年、全従業員に実施することでも構わないということにもなります。
ですが、法律の改正や外部環境の変化を考慮すると、やはり内容の変更等を考慮した方が良いかと思います。

ちなみに、JIPDECのホームページでも、「社内教育用参考資料」として、a)~d)を含むテキストが掲載されていますが、同時に「メール誤送信」「紛失・盗難」「テレワーク」といったテーマごとのテキストも、追加掲載されています。

▼参考情報|制度案内 |プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
https://privacymark.jp/system/reference/index.html#tools

当店としては、以下のような対応をおすすめしております。
ご参考ください。

1.教育の対象者について

対象者は、全ての従業員となります。
「【申請様式3新規】事業者概要-従業者数」に記載した合計人数全てが対象になります。
詳細については「【記入上の注意】-④ 従業者数」に記載されていますので、ご参照ください。
なお、審査時には、記載した合計人数全員が教育を受講しているかを確認されますので、ご注意ください。

2.教育の内容について

①初回および新入社員、中途採用者などの場合
a)~d)の教育を1回も受けたことが無い人や a)~d)に変更があった場合、a)~d)は必須となります。これが無いと審査で指摘されるかと思います。
収録されている、「1.導入前教育」や「2.運用前教育」、「4.新入社員・中途採用者の社員教育」の各フォルダにあるテキストを利用しても良いですし、先のJIPDECのホームページの社内教育用参考資料のテキストを使用しても良いかと思います。
追加で、「情報セキュリティ基礎知識の確認テスト」の問題を抜粋したものなども教材として使用すると良いかと思います。

②上記①以外の場合
a)~d)の教育を1回以上受けたことがある人は、「情報セキュリティ基礎知識の確認テスト」の問題を抜粋したものや日々変化する事件事故(自社や他社)の事例などを教材として使用しても良いかと思います。
a)~d)の教育を繰り返し行うことも気の緩みなどの防止策として有効だと思います。

※参考
「情報セキュリティ基礎知識の確認テスト集」の利用方法に関してですが、「情報セキュリティのための基礎学習テキスト」と一緒に使用していただいても良いかと思います。
ご参考ください。

▼アップグレード前にあった「プライバシーマーク社員教育テスト集」の学習部分は、どこにありますか?
https://www.ismwebstore.com/support/archives/3163


※追記(2022.08.01)

「J.4.3認識(7.3, A.3.4.5)」のa)~d)に対応した教育テキストとして「プライバシーマーク定期教育のための共通テキスト」を作成しました。(ver PT01.220801 より)
このテキストは、JIS Q 15001:2017の「A.3.4.5 認識」で要求されるa)~d)に関する認識を定着させることを目的として、毎年共通して利用できるように上記①で実施した内容をまとめたものとなっています。
要求事項の各項に該当した作りになっているので、審査員への説明としては分かりやすい内容にもなっています。