ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

力量認定要件表の「教育・研修」について、「必ず受ける必要がある」のか、「もし要件に満たないのであれば受ける」のか?

プライバシーマーク サンプル文書集
2024/05/07

プライバシーマークサンプル文書集の「力量認定要件表」の「教育・研修」について、「必ず受ける必要がある」のか、「もし要件に満たないのであれば受ける」のかについてご教示ください。

例えば、サンプルには、個人情報保護管理者に必要な教育・研修は「管理者向け研修」との記載があるのですが、これは以下のどちらになりますでしょうか。

  1. 個人情報保護管理者として認定要件を満たしてない場合に受講する
  2. 個人情報保護管理者であれば、必ず1回は受講する

必ず受ける必要があるのであれば、年間計画に追加する必要もあるのではと思いまして、確認させていただきます。

ご質問の件、JIS Q 15001の「7.2 力量」に該当する質問だと思われます。

7.2 力量では、「力量が備わっていることを確実にするために、適切な教育、訓練または経験に基づくこと、およびそれを評価し、記録すること」となっています。
よって、ご質問に関しては、個人情報保護管理者としての力量が確実だと評価できる(例えば、経験などから)なら、教育・研修の必要はないと思います。

但し、例えば、どのような経験があれば良いかといった基準(認定要件)がないのであれば、受講することで要件を満たすといった基準にする方が良いかと思います。

ちなみに、教育に関しては、「7.3 認識」においても要求事項があり、「計画に基づき定めた間隔で年一回以上,更に必要に応じて適宜に行う」こととされています。

ここでは、個人情報保護マネジメントシステムに関すること(重要性や利点、役割及び責任、違反した場合に予測される事態など)に対して、認識を持たせるための教育となっております。

一般社員などには、この「7.3 認識」の教育が、一般社員としての力量を確保するための教育(「7.2 力量」の教育)となる場合も考えられますが、他の責務においては、力量を確保すするための教育とはなり得ませんので、ご注意ください。