表3 情報セキュリティ教育に個人情報保護を組み込んだスケジュール例
日程 |
詳細 |
対象 |
1回目
2005年2月25日8時〜12時 | 第1限 9時(50分)
セキュリティ教育
(基礎編) | 2004年5月以後に入社した者 |
第3限 10時(50分)
差分教育 | 全従業員
・追加・改定された規定、手続、新たな脅威
・個人情報保護 |
第3限 11時(60分)
個人情報社内研修
(第1回) |
2回目
2005年3月7日10時〜12時 | 第2限 10時(50分)
差分教育 | 全社員
・追加
・改定された規定、手続、新たな脅威
・個人情報保護 |
第3限 11時(60分)
個人情報社内研修
(第2回) |
3回目
2005年4月4日9時〜12時 | 第1限 9時(50分)
セキュリティ教育
(基礎編) | 2005年4月入社社員
(新入社員研修)
前回の情報セキュリティー教育未実施者
(3月までに受講できなかった者) |
第2限 10時(50分)
差分教育 | 全社員
・追加
・改定された規定、手続、新たな脅威
・個人情報保護 |
第3限 11時(60分)
個人情報社内研修
(第3回) |
|
社内教育に使われている教材を見ると、事例と個人情報保護法の解釈から構成されているパターンを見かける。しかし、これだけでは不十分であり、企業に適した個別の教育内容を考えて欲しいところだ。
例えば、ある企業で自治体から漏えいしたケースを取り上げ、仮に全市民から訴えられた賠償額を算出してリスクの大きさを説明した教材を使用していたとする。しかし、これは自治体向けの教材ではない。もし、事例を取り上げるなら、企業に役立つ次のようなケースを取り上げるべきである。
- 個人情報が漏洩したことが原因で、ライバル会社に商談が流れたケース
- 迷惑をかけた顧客へのお詫び(経済的負担、信用回復の難しさ)のケース
- 自社で起きた個人情報漏洩の問題が、グループ会社にも悪影響を及ぼしたケース
個人情報に関する事例は、インターネットで数多く確認できるが、同じ業界やビジネスモデル、提供するサービスエリアで起きた事例であれば、より業務に身近な問題として理解しやすくなるはずだ。
次に、個人情報保護法を分かりやすく解説することが大切である。できれば、省庁からの個人情報に関する告示(ガイドライン)、自治体の定めた条例についても触れておく必要がある。建設会社であれば、国土交通省、プロバイダー業者なら、総務省の告示といったようにそれぞれの業種に適したガイドラインを活用したい。また、東京都や島根県のように、個人情報の保護に関する条例を定めた自治体もある。本社だけでなく、支店のある地域の条例も把握しておきたい。(各各省庁ガイドラインなどはこちら)
さらに、個人情報の保護に関して作成された社内文書(個人情報保護指針、社内規定)、企業が重要と認めている個人情報などがあれば、社内教育の教材に反映させておきたい。
社内教育の教材に含めた方が良いもの
社内規定(個人情報保護指針、個人情報保護管理ガイドラインなど) |
関連法規(個人情報保護法など) |
業界基準(省庁の告示)、自治体 |
同業界における事例 |
企業が特定している個人情報を保有する重要システムリスト |
個人情報の保護に関する各種制度(プライバシーマーク、ISMS、TRUSTe) |
|
参考条例
東京都個人情報の保護に関する条例
島根県個人情報保護条例
Copyright © ITmedia, Inc. All Rights Reserved.