Pマークの力量認定において「教育・研修」は全員必須ですか?不足時のみ受講すればよいですか?
プライバシーマークサンプル文書集の「力量認定要件表」の「教育・研修」について、「必ず受ける必要がある」のか、「もし要件に満たないのであれば受ける」のかについてご教示ください。
例えば、サンプルには、個人情報保護管理者に必要な教育・研修は「管理者向け研修」との記載があるのですが、これは以下のどちらになりますでしょうか。
- 個人情報保護管理者として認定要件を満たしてない場合に受講する
- 個人情報保護管理者であれば、必ず1回は受講する
必ず受ける必要があるのであれば、年間計画に追加する必要もあるのではと思いまして、確認させていただきます。
結論から申し上げますと、力量(認定要件)としての教育は、「その職務に必要なスキルが備わっていると客観的に評価できるなら、必ずしも受講は必須ではない」という扱いになります。
1. 「7.2 力量」に基づく認定の考え方
規格(7.2 力量)では、特定の役割(管理者や監査員など)に就く者に対し、教育、訓練または経験に基づいた適切な力量を備えることを求めています。
7.2 力量では、「力量が備わっていることを確実にするために、適切な教育、訓練または経験に基づくこと、およびそれを評価し、記録すること」となっています。
よって、ご質問に関しては、個人情報保護管理者としての力量が確実だと評価できる(例えば、経験などから)なら、教育・研修の必要はありません。
- 受講が不要なケース:
すでに過去の経歴や実務経験から、管理者としての力量が備わっていると組織が客観的に評価・認定できる場合。 - 受講が必要なケース:
新任者などで経験が不足しており、研修を受けることで初めて「認定要件を満たす(力量がある)」と判断する場合。
つまり、サンプルにある「管理者向け研修」は、「力量を補完し、認定するための手段の一つ」という位置づけです。
2. 全社員対象の「7.3 認識(教育)」との違い
ご質問にある「年間計画への追加」に関しては、規格の「7.3 認識」の側面を区別して考える必要があります。
- 7.2 力量(個別):
特定の役割に必要な「専門スキル」の確保。要件を満たしていれば毎年の受講は不要。 - 7.3 認識(共通):
PMSの重要性や役割を理解させるための「全社教育」。こちらは年1回以上の実施が必須です。
ちなみに、「7.3 認識」においては「計画に基づき定めた間隔で年一回以上,更に必要に応じて適宜に行う」ことが明確に要求されています。
ここでは、個人情報保護マネジメントシステムに関すること(重要性や利点、役割及び責任、違反した場合に予測される事態など)に対して、認識を持たせるための教育となっております。
一般社員などには、この「7.3 認識」の教育が、一般社員としての力量を確保するための教育(「7.2 力量」の教育)となる場合も考えられますが、他の責務においては、力量を確保すするための教育とはなり得ませんので、ご注意ください。
3. 実務的な運用のアドバイス
「必ず受けるべきか」という点については、以下の運用が実務的です。
- 認定時:
実務経験等が要件を満たさない場合は研修を受講させ、その記録をもって力量認定を行う。 - 認定後:
基本的に毎年の受講は不要。ただし、規格改正時など力量を再評価すべきタイミングで計画に盛り込む。
もし、経験の評価基準を定めるのが難しい場合は、「新任時には必ず所定の研修を受講する」とルール化しておくことが、スムーズな審査通過のポイントとなります。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
