認証制度に教育は必須
研修資料に悩まれるご担当者様は多いのではないでしょうか。
今後はそういったお悩みにもお応えしていけるよう、参考資料や、汎用性の高い研修資料を提供していければと思っています。
Pマークの審査時に指摘として上がりやすい下記項目
| 事業者は、従業者に対して、次の事項を認識させること。
a)個人情報保護方針 b)個人情報保護マネジメントシステムに適合することの重要性及び利点 c)個人情報保護マネジメントシステムに適合するための役割及び責任 d)個人情報保護マネジメントシステムに違反した際に予想される結果 |
a)はHPに掲載されている「プライバシーポリシー」の文面が社外、社内向けに整備されている企業様が多いですから、研修時に改めて読み合わせする、というところからの“教育”は大事ですよね。
b)は認証マークマネジメントシステムの運用維持がなんのためなのか、会社としての方針含め再認識する機会として重要なポイント。これも「プライバシーポリシー」や「会社理念」といった文面や、代表の想いを実現するための道しるべの一つであるという説明でチェック可能です。
c)については、組織図の更新、周知をいたしましょう。
d)については、就業規則や個人情報保護規程のような社内ルールとして明文化されているものがあれば研修時に「研修資料」として読み合わせしていきましょう。
という要求事項です。
JAPHICでは(個人情報保護法では)そこまで細かい要求事項はございません。
ざっくり教育していきましょう、という要求事項になりますので、どこまでゆるく、どこまで厳しく教育実施するかは企業判断になります。そのため、スモールステップを踏んでステップアップしていきやすいと言えます。
JAPHICで必須ではない「テスト」を実施すれば、それは「グッドポイント」として評価されます。
できていない点を探す審査と、できているところを増やしていく審査と、どちらがお好きですか?
ISMSへのステップアップフォローやPマークコンサルも実施している弊社ならではの、JAPHIC審査の在り方かもしれません。
運用に落とし込むことが大事
中小企業にとって、スモールステップでセキュリティ体制を構築していくことは、
従業員への負担を少なく体制構築できるよい仕組であると、認証事業者様たちを審査していると実感します。
皆さん、本業の業務の合間に「体制構築」の筋トレをしている状態ですから。
いきなりキツイ筋トレは故障の原因にもなります。
少しづつ筋トレをしていくことで、今の筋トレメニューが「ラク」になってきたタイミングで次のメニューに行く。
そんな「更新審査」を目指しています。
資料へのお問合せや、その他、セキュリティ体制構築へご興味をお持ちいただけましたら