従業者の教育等。会社がやるべきこととは?
前回の記事では、従業員、派遣社員、役員など社内で働く者全てを含めた概念である「従業者」を対象に、これら従業者を監督する際のポイントについて解説しました。
個人情報の保護においては、単に従業者を監督するだけにとどまらず、従業者教育についても重要になります。とはいえ、従業者教育とは具体的に何を指すのでしょうか。個人情報保護法(以下「法」)では、「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」としか定められておらず(法第21条)、具体的に何をすべきかについては事業者の判断に任されています。
具体的に何をすべきかについては、個人情報保護委員会が公表している個人情報保護法のガイドラインや、プライバシーマークの規格(JISQ15001:2017)で説明されています。この記事では、これらの説明に即して、定期的な研修といった会社が実施すべき従業者教育について見ていきます。
なお、以降で挙げる例はあくまでも参考であり、全てを実施しなくても違法とされるわけではありません。会社の実情に応じた方法を採用してください。
1 定期的な研修を実施する
定期的な研修の方法としては、全員を一堂に集めて専門家が講義をしたり、部署ごとで責任者が講話をしたり、eラーニングを利用して都合のよい時間に個別に受講したりすることなどが考えられます。実践的な方法として、標的型メールを疑似体験するといった危機体験型の訓練をすると、従業者の意識が高まります。
研修等には、次の事項を盛り込むとよいでしょう。
- 個人情報やマイナンバーの規制の概要の説明
- (社内規程がある場合)社内規程があることとその概要の説明
- 実際の漏えい事故の例
- 漏えいや法律違反の事実や、その可能性を知ったときの社内通報先
個人情報やマイナンバーの規制の概要の説明については、個人情報保護委員会が公表しているパンフレットなどを用いれば十分です。個人情報保護委員会のサイトには、個人情報については「中小企業サポートページ」があり、「個人情報保護法ハンドブック」や「個人情報保護法の5つの基本チェックリスト」などの資料が掲載されています。
マイナンバーについても「ガイドライン資料集」のページがあり、「小規模事業者必見!マイナンバーガイドラインのかんどころ」や「社長必見《ここがポイント》マイナンバーガイドライン(事業者編)」などの資料が掲載されています。これらの資料は数ページから20ページ程度のものが多く、研修にも利用しやすいと思います。
なお、研修等の目的は、情報セキュリティの重要性や安全管理に関する従業者の役割と責任を理解させて、それを従業者が確実に果たすことができるようにすることです。そのため、マイナンバーや重要情報を扱う従業者には、規制の内容や漏えい事故の例について解説して自覚を促すというように、従業者の担当業務、役割や責任に応じて研修等の内容を変更するのが適切といえます。
2 アンケートや小テストを実施する
研修等を行った後は、アンケートや小テストを実施するのが望ましいでしょう。これによって、従業者の理解度を把握して教育内容の見直しを図ったり、従業者の自覚を促したりすることができます。
アンケートや小テストの記録は、研修名、開催日時、講師、研修の概要等を記載した書面と一緒に保管するとよいでしょう。こうしておけば、従業者教育等を実施したことの証拠となり、取引先や金融機関等から個人情報保護体制についての問い合わせを受けた際の提出資料にできます。
3 人事上の評価等に用いる
入社時や昇進・昇格時の条件として、個人情報の保護や情報セキュリティに関する教育を受けることを求めたり、理解度が一定基準に達しない者を再教育することにしたりしている会社もあります。
重要な情報を扱う従業者については、理解度が一定基準に達しなければ当該業務から外すといった措置も考えられます。
4 モニタリングの実施
従業者の教育と併せて、従業者のモニタリング(メール・インターネットや電話の記録、カメラ撮影など)を実施する会社もありますが、モニタリングは、プライバシーや人格権の侵害による損害賠償請求訴訟で争われることもあるので注意が必要です。
モニタリングについては、「監視の目的、手段及びその態様等を総合考慮し、監視される側に生じた不利益とを比較衡量の上、社会通念上相当な範囲を逸脱した監視がなされた場合に限り、プライバシー権の侵害となると解するのが相当である」とする裁判例があります(東京地判H.13.12.3)。
そこで、モニタリングを実施する際には、次の点に留意すべきです。
- モニタリングの目的をあらかじめ特定し、社内規程に定めるとともに、従業者に明示すること。
- モニタリングの実施に関する責任者とその権限を定めること。
- モニタリングを実施する場合には、あらかじめモニタリングの実施に関するルールを策定し、その内容を運用者に徹底すること。
- モニタリングがあらかじめ定めたルールに従って適正に行われているか、確認を行うこと。
連載
個人情報保護への対応
以下の記事もあわせてご覧ください。
- 第1回 個人情報保護法の改正。中小企業の対応は?
- 第2回 過去の失敗に学べ。個人情報保護で重要な組織と人の問題
- 第3回 4つの安全管理措置の概要と押さえておくべきポイント
- 第4回 個人情報の取り扱い実務に携わる従業者の監督
- 第5回 従業者の教育等。会社がやるべきこととは?
- 第6回 本人による保有個人データの開示等の請求への対応
以上
※上記内容は、本文中に特別な断りがない限り、2019年8月2日時点のものであり、将来変更される可能性があります。
※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。
【電子メールでのお問い合わせ先】inquiry01@jim.jp
(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)
ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。
<所属・役職>
日本労働法学会所属・日本CSR普及協会所属・日本スポーツ法学会所属。一般財団法人個人情報保護士会特任講師・首都圏周辺地域ICT活用検討協議会法律顧問・働き方改革支援コンソーシアム顧問理事・一般財団法人日本ハラスメントカウンセラー協会顧問。
<著書>
「人事に役立つ ハラスメント 判例集50」(マイナビ出版)、「働き方改革の基礎知識」(マイナビ出版)、「ハラスメントマネジメントの知識と実務」(全日本情報学習振興協会)、「改正個人情報保護法対応規定・書式集」(日本法令)、「個人情報保護士認定試験公認テキスト」(全日本情報学習振興協会)、「マイナンバー社内規程集」(日本法令)