特集2

社員への教育

　ＣＰＯやプライバシーオフィサー、ファシリテイターらがプライバシー保護について勉強するのは当たり前ですが、プライバシー保護やコンプライアンス・プログラムの内容については全社員にきちんと理解してもらわねばなりません。これは、きちんとした法律があり、警察署や、その支部である交番などが充実していたとしても、最終的に「防犯」を達成するのは家庭である、というのと同じことです。

　このタイミングで教育を行うのは、これまでに行われたコンプライアンス・プログラム文書のたたき台の作成過程を通じて、プライバシー保護の内容についての疑問点が沸いてきた人や保護の重要性についての認識が高まった人が出てきているはずで、このタイミングで彼らに生じている知識欠乏感を満たすようにしてやると、教育効率が良いからです。そしてそれがそのまま、次のステップでの「コンプライアンス・プログラム文書のたたき台の試行や検討、修正」の際に役立つことになります。
　教育の内容は、コンプライアンス・プログラムを周知徹底することがメインとなりますが、教育担当者が教育テーマを策定するにあたっては、具体的には、「JIS Q 15001（コンプライアンス・プログラム）」「プライバシーポリシーの内容とその解釈」「個人情報保護に関わる自社の体制」「自社コンプライアンス・プログラムの内容とそれに付随する規程類や運用細則」を盛り込む必要があり、これに質疑応答を加える形で教育プログラムや講義プログラムを組み、実行し、教育実施報告書の作成・保管をすることになります。
　第１回目の教育はキックオフの際に既に行われており、経営者による宣言、経営者の任命によるコンプライアンス・プログラムを実践するための組織体制・責任体制の構築など、全社員一丸での取り組みが述べられているはずです。そしてその際に、JIS Q 15001（コンプライアンス・プログラム）についての内容およびコンプライアンス・プログラムがなぜ重要か、また、これを遵守することで自社にはどのようなメリットがあるか、コンプライアンス・プログラムに違反した場合に対外的に企業が被るデメリットおよび社内罰則はどうなるかなどの教育も行われており、これで第２回目となる教育訓練には、第１回目の教育で既に行われたものと重複することも多いと思われます。しかしながら、重要なことは繰り返して教授することにより周知徹底する必要がありますので、繰り返しとなることはやむをえないことでもあります。ただ、第１回目の教育は経営者による宣言や全社員一丸での取り組みについてのことがメインになるのに対し、第２回目の教育は自社コンプライアンス・プログラムの内容についてそれを全社員に周知徹底することを目的とすると考えたほうが良いと思います。この場合、具体的に社員が日々業務を行ううえで関係する様式（フォーム）の使用方法や具体的な運用細則、入退館（室）管理やサーバー室の入退室等についてなど、社員の業務のうえで身近なものの紹介や説明等から行っていくのも有効な方法のひとつです。

コンプライアンス・プログラム文書のたたき台の試行運用

　教育の後ないしは教育の実施に並行させて、策定したコンプライアンス・プログラム文書のたたき台を試行運用し、社内監査を実施します。具体的には、自社作成のコンプライアンス・プログラム文書のたたき台での決定事項を１～２ヶ月間、全社単位で試行運用してみます。そして、内部監査で問題点を洗い出します。なお、監査に関する参考資料としては、（財）日本情報処理開発協会（JIPDEC）のホームページに「プライバシーマーク制度における監査ガイドライン」があります。これが監査の基準となりますので、このガイドラインに従って、自社の業務内容に鑑みて必要事項について監査を行うとよいでしょう。
　コンプライアンス・プログラム文書のたたき台の試行運用に際して、２回目の教育で内容を周知された社員を中心に、全社員が、決定された諸規程を遵守することを通じて、試行運用がなされることになります。社員が日々最も身近に行う事項は、個人情報の登録や入退館（室）管理、各契約書など様式類（フォーム）の運用ということになると思いますが、決められたことを決められたとおりに実行することが必要です。
　そしてその上で、経営者により指名されたＣＰＯの命に応じて、プライバシーオフィサーが中心となって、ファシリテイターらが各部署ごとに内部監査を行うことになります。プライバシーオフィサーとファシリテイターは、自社コンプライアンス・プログラムの試行運用が終了した時点で、監査規程に則って社内監査を実施します。なお、監査の回数について、JIPDECでは、「個人情報の取り扱いおよび保護の状況」に関して年１回以上監査を行うとしています。また、監査の案内文書は、実施文書とともに保管する必要があります。
　監査の内容は、策定されたコンプライアンス・プログラム文書のたたき台の整備状況の確認が中心となります。そして、社内体制や入退館（室）管理状況などの総括的事項の確認をとり、各部署ごとのコンプライアンス・プログラム文書の規定類（スタンダード・マニュアル・フォーム）の浸透状況や実施運用状況を調査することになります。そうした上で、これらがJIS Q 15001要求事項に合致しているか、また問題点は何かなどを、部署責任者へのヒアリングや諸資料類の確認により評価することになります。その結果明らかになった問題点に関しては、社員からのさまざまな意見を取り入れ、その改善をはかるためにコンプライアンス・プログラム文書内に取り込んで行くことになります。
　最後に、ファシリテイターは、監査実施状況（いつ・どこに対し・だれが・何を・どのように行ったかなど）、問題点の把握事項、改善すべき問題点事項などをまとめた監査報告書を作成し、プライバシーオフィサーとＣＰＯを通じて会社の代表者に報告します。

問題点の改善のための再試行

　今回のステップの最終段階として、監査により浮き出た問題点を改善するために、再試行を行います。つまり、これまでに行ったものは、あくまでコンプライアンス･プログラムの「試行運用」なわけですから、問題点がいくつかは出てくるはずです。代表者は、その報告を受け、改善・見直し事項を決定し、ＣＰＯは、プライバシーオフィサーとファシリテイターを通じてその結果を対象部署にフィードバックします。
　各部署はファシリテイターの指導のもと、監査で指摘された不適格事項およびフォローアップ事項に従って業務手順書等を見直し、コンプライアンス･プログラムの再試行を行います。そして、プライバシーオフィサーは、各部署の再試行状況を確認し、内部監査是正処置要求・回答書を作成します。この内部監査是正処置要求・回答書は、対象部署ごとに発生した問題点を改善した状態で再試行された後、監査責任者が監査対象部署を巡回し、ヒアリングや現地調査などを行い、その改善が行われたことを確認したうえで作成します。
　コンプライアンス・プログラム内部監査是正処置要求・回答書の構成は、「不適合事項（不適合事項に対するJIS Q 15001の要求事項）の記述」「不適合事項の内容」「不適合事項区分としての重欠陥、軽欠陥の確定」「是正処置計画として、不適合の処置、原因、再発防止策、是正処置実施予定日」「是正処置実施報告として、実施した是正処置の内容、是正処置実施完了日、フォローアップの要否」「フォローアップ処置・効果の確認として、是正処置の実施内容の確認、是正処置の効果の確認」などからなり、各項目ごとに誰が確認して承認したのかを明確にする必要があります。

　こうして、一連のPDCAサイクルが終了し、その会社特有のコンプライアンス・プログラム（広義のコンプライアンス・プログラム＝マネジメントシステムとしてのコンプライアンス・プログラム）が策定され、これを基にして自社に該当する審査機関にプライバシーマークの申請を行うことになるわけです。