2024年4月号 ＜リスクの芽を摘む！　個人情報管理のイロハ＞

基礎編

第4回

形骸化、形式化しない「従業員研修」とは──
記録・情報収集・確認の機会と捉える

従業員のヒューマンエラー・不正を防ぐうえで、研修は欠かせない。しかし、守るべき指示・ルールを伝えるだけでは、従業員の意識・行動を変化させることはできない。企業が、個人情報の「使用者の責任」を果たすには、研修の場を業務実態の把握やVOE（従業員の声）収集の場としても活用し、情報管理のPDCAサイクルを回すことが重要だ。

　「年に１回の従業員研修で大丈夫ですか？」と、企業から質問を受けることがある。「適切な業務手順の周知と情報に対する安全意識の向上が出来るまでです」と回答している。無論、年に一度も従業員研修をしなければ、それ自体が法的に問題になる。本来、業務手順に変化がある度、あるいはヒヤリ・ハットが発生する度に、研修を設ける必要がある。

　注意喚起だけで済ませている程度では、個人情報に関するトラブル発生時に会社の“認識不足と怠慢”が追及される。かつて派遣社員が大量の個人データを持ち出した情報漏えいの裁判では、企業側がその派遣社員にどのような教育を行っていたのか、その具体的内容と実績が徹底的に追及された。

　現在、企業が問われるのは「（個人情報の）使用者の責任」を果たすことであり、研修や教育が目指す目的は“漏えい事故・社内不正の防止”である。「勉強しなさい」だけでは教育ではないのと同様、「注意しなさい」は具体性がなく教育ではない。書類配布やメールだけの注意喚起。また一般的な動画視聴で済ませるだけのアリバイ程度の研修では、目的の実効性に欠ける。

　漏えい事故および社内不正を防止するための教育6つのポイントを提示する。

（1）方針・ポリシーの把握
　全社員が自社の個人情報保護方針またはプライバシーポリシーを理解していないことは、決定的な瑕疵（かし）となる。個人情報の保護方針やポリシーが業務と整合しているかに留意したい。

（2）契約書条項
　顧客および委託先との契約書上の個人情報に関する条項を実際の業務で守っているかどうかを把握しておく必要がある。契約内容と異なる汎用的な社内の業務手順で作業していたら、契約違反となる。円滑な業務の遂行には、先輩社員の経験に基づいた手順の伝承も必要だが、契約内容と業務の整合性は当然のことだ。

（3）業務手順書の作成と遂行
　個人情報あるいは社内情報・機密情報の取扱い手順をまとめ、その手順書に基づき業務を遂行する。これにより、重要情報がどのような工程で移動するかを追跡可能にする。また、業務手順に従わず、安全確保を怠ることは服務規程違反であることも周知したい。

（4）手順書の修正
　手順書は、業務の変更に合わせて管理手順を修正し、業務を止めて、その都度社内で遅滞なく周知する。

（5）安全意識の向上
　手順書にない日頃の注意行動、情報に対する安全意識の向上も重要だ。業務手順とそれ以外の場面で、危険なデータの取り扱いや移転はないか意識を向ける。重要データを見守り、「大丈夫だろうか」と常に問うことが事故の確率の減少につながる。とくに有効なアクションの１つに「指差呼称」がある。メール送信ボタンを押す際やデータを移転させる際に、指さしチェックと声に出す行動でリスクは大幅に減少し、周りの人への実行アピールにもなる。

（6）漏えい時の対応手順周知
　初動の在り方が被害の大きさを決める。トラブルの相手方に速やかに対応できないことは、体制の不徹底が露見することに他ならない。クレーム対応および情報漏えい事象の報告、本人や委託元、個人情報保護委員会への報告などの手順も準備する。業務中の個人情報漏えい事象に対して、軽微だからと個人的な謝罪で密かに済ますことはあってはならない。企業として対応をせずに時間が経過すると、隠ぺい体質を疑われる。委託先の従業員にも同様の周知を求めるべきだ。