個人情報保護力量検定及び教育制度が創設されました

個人情報保護力量検定及び教育制度が創設されました

1.JIPDECと日本DPO協会 共同で個人情報保護力量検定及び教育制度を創設

JIPDECのホームページによると、一般財団法人日本情報経済社会推進協会(JIPDEC)と一般社団法人日本DPO協会(JDPOA)は、日本の個人情報・プライバシー保護人材の育成のための検定試験及び教育制度を創設するとのことです。

https://www.jipdec.or.jp/news/pressrelease/20240313.html

出題範囲は、公式テキスト1である「個人情報保護力量検定教科書」と公式テキスト2である「個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2023)-PマークにおけるPMS構築・運用指針対応-」からのようです。

検定試験は、スタンダードとエキスパートの二つで、難易度により選択できますね。

2.PMS導入・実践ガイドブック(JIS Q 15001:2023)

Pマークの審査指針を解説した「個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2023)-PマークにおけるPMS構築・運用指針対応-」が発売されています。
1月から開催している弊社のPマーク改定指針セミナーでも審査指針の解説を行っていますが、指針を理解する上でもガイドブックは必須ですし、理解度を確認する上でもこうした検定試験は、Pマーク担当者の力量確保の証明にもなるので、10月以降に申請する事業者の皆さんは審査までに合格しておくと審査員の心証もよくなると思います。

3.力量の確保とは

 Pマーク審査指針では、力量について次のように書かれています。

J.4.2 力量(7.2)

1 事業者は、次の事項を行うこと。

a)事業者の個人情報保護に影響を与える業務をその管理下で遂行する者に対して、個人情報保護の観点から、従業者に必要とされる能力を決定する。

b)a)の者に対して、a)で決定した能力及びJ.4.3を充足するための処置を行い、必要な能力を備えることを確実にする。

c)b)を実施した結果、必要な能力が備わっていない場合は、必要な能力を身につけるための処置をとるとともに、とった処置の有効性を評価する 。

d)a)~c)を実施した記録を利用可能な状態にする。

<<留意事項>>

※ a)で決定した能力及びJ.4.3を充足するための処置とは、例えば、現在雇用している者に対する、教育訓練の機会提供、指導の実施、配置転換の実施などがあり、また、力量を備えた者の雇用、そうした者との契約締結などもある。

J.4.3は「認識」についての要求事項です。厳密には日常業務において個人情報を取扱っていることや漏洩等の影響について認識し続けていることが必要です。単に年に1回の教育を実施しているから適合とか、上記の検定試験に合格したから適合という単純なものではありません。

個人情報の漏洩等のリスクは変化しており、新たなリスクについても認識できないと意味がありません。法令やガイドラインの改正についても、単に法律が改正されてから対応するのではなく、法改正の審議の段階からチェックをして、事前に法律の改正施行日までに必要な対応ができるようにしておくのが、本来的な意味でのコンプライアンス(法令順守)です。

 個人情報保護法は、2005年4月1日の全面施行以来、漏洩事件が減るどころか増えている現状を踏まえ、数度の改正をしてきました。加えて昨年の4月1日からは地方自治体も個人情報保護法の適応となりました。しかしながら、個人情報保護委員会では漏洩事件に伴い監督権限を発動した行政機関の公表をしています。

 ということからも、こうした検定試験をPマーク制度の普及拡大につなげようという狙いもあるのかもしれません。

 Pマーク審査にどのような影響が出るかはわかりませんが、いずれにしても学んで損はないと思いますので、ぜひチャレンジしてみてはいかがでしょうか。

4.付与事業者で発生した事故等への対応状況について

 報道等でもご存知の方も多いと思いますが、NTT西日本子会社(2社)の漏洩事件について、「両社の事業者に対し速やかな調査および適切な事故対応を求めております。当協会では、今後の調査結果等を踏まえ、適切な対応を行ってまいります。」とJIPDECがホームページで公表を行っています。

https://privacymark.jp/news/system/2024/0312.html

 Pマーク制度における事故等に対する措置としては、次の段階的措置があります。

 措置なし

 注意

 勧告

 一時停止

 取消

 過去においては、ベネッセコーポレーションが「取消」、その漏洩名簿を利用したジャストシステムが「勧告」の措置を受けています。
ちなみにメールの誤送信が1件といった事案では、「注意」の措置を受けることが多いようです。「勧告」以上は、かなり安全管理措置が杜撰、漏洩等の影響が大きい場合に適用されるようです。