個人情報保護に関する研修を受けて・・

本日、法人の「個人情報保護に関する研修」を受講しました。法人の情報管理・ITに関する顧問が講師でした。
内容は、「マイナンバーカードについて」「個人情報保護法について」で組み立てられ、30分ほどの内容の動画でした。いやあ・・残念極まりない・・このレベルの研修を行っていることで、「組織としての個人情報保護体制の充実強化」ができると考えているとすれば、恐ろしいです。
いずれも、すでに、国が出しているパンフレットを読み返す程度で、あれなら、だれでも講師ができます。それで講師料など貰っているなら、殆んど詐欺です。
講師の問題は、これに留まりませんが・・これ以上は、止めておきます。職場のほとんどの職員が不信感を持っていて、恐らく、このままでは済まないでしょうから・・。

さて、個人情報保護に関して考える時、重要なのは何でしょう？
以前にも、同様の投稿をしていますが、やはり、「リスクマネジメント」がカギです。
福祉法人では、少なからず、センシティブな個人情報（病気や障害だけでなく、経済状況なども）を取り扱っています。ですから、「正しさ」と「秘匿」は絶対条件になります。

間違った情報は、個人の尊厳・人権を蹂躙することになります。

勿論、個人情報の漏えいや紛失などはもってのほかです。悪用されるだけでなく、今の社会ではSNSなどを通じて拡散し、時に、命に関わるような事態にもつながります。

そういう危機感を持っているでしょうか？

今回の研修では、ITにおける個人情報保護の留意点が主になっていました（彼の専門がITですので）が、それは、明らかに、組織がハード面で強化すべき課題です。外部からの侵入（VPNとかセキュリティ強化）やUSBなどによる持ち出し、メールからの流出といったもので、ある種方法論であり、資金的なバックアップも必要なことを、一般職員向けに話されても、はっきり言って、危機感を持つどころか、誰に向かって話してるの？と聞きたくなります。

それよりも重要なのは、個人が危機感を持って、個人情報を扱う事であり、ミス等で漏えいが起きた時、重大な責任を負わなくてはいけないくらい、厳しい姿勢を持つことです。

研修目的が、余りにぼんやりしていて、講師であるあなたは、いったい誰に向かって何を伝えたいのかと、声を荒げて聞きたくなりました。（いけません‥また、悪口になりました）

組織で、「個人情報保護」について研修を行う目的は「職員教育」です。

したがって、研修の成果物は、個人の意識改革と、日常業務プロセスの見直しになるはずです。目的達成のために必要な要素も、「個人の危機感を高める様な問いかけ」や「日常業務に潜むリスクの発見」ということに尽きると思います。
こういう視点で、研修は組み立てるべきですし、それは、現場に近い（あるいは現場経験がありマネジメント能力が高い）人が行うべきです。
ここの法人は、専門職が大半を占めています。有資格者集団であることを前提とし、有資格者だからこそ、疎かにしがちな点を指摘すべきです。私が見ている限り、専門職だからこそ、日常的にセンシティブな個人情報を扱っているという自覚が薄くなる傾向があります。例えば、会議の後に、廊下で当事者情報を口頭でやり取りする（聞き耳を立てている人が周囲にいるという自覚の欠如）とか、机の上に、個人情報が記載された書類を放置するとか、個人ロッカーに保管している等々、そういう問題事象を自ら発見する力をつける研修こそ重要だと思います。

少し整理すると、「個人情報保護とは？」という正面玄関的な研修ではなく、「リスク・コンプライアンス違反を起こさないために」という裏口的な入り方から研修を組み立て、「個人情報保護の重要性」をしっかり胸に刻み込めるような研修をお願いしたいと感じた次第です。

「リフレーミング」してみる（ひっくり返して組み立て直す）ことも意味のあることです。

まあ、あの講師にそういうことを言ってもおそらく理解できないはずですが・・。