● 「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」解説 平成17年1月 文部科学省大臣官房総務課
平成17年1月 文部科学省大臣官房総務課
改訂 平成18年2月1日
「学校における生徒等に関する個人情報の適正な取扱いを確保
するために事業者が講ずべき措置に関する指針」解説
本解説書は、私立学校を設置する各民間事業者が、個人情報の保護に関する法律及び文部科学省が定めた「学校等における生徒に関する個人情報の適正な取扱いを確保するために事業者が構ずべき措置に関する指針」等を踏まえて、生徒等の個人情報の保護を図る際の参考としていただくため、基本的考え方や想定される参考事例などをまとめたものです。
なお、本解説書は、あくまで皆様の理解を助けるための参考資料であり、各事業者においては、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」を目的とした個人情報保護法の趣旨を踏まえつつ、個々の事案や状況に応じて、適切な措置を講じる必要があります。
(お問い合わせ先)
文部科学省大臣官房総務課
情報公開・個人情報保護室個人情報保護担当
電話03−5253−4111(代表)
目次
§1 解説
I 第一 趣旨
II 第二 用語の定義
III 第三 事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項
1 利用目的の特定に関する事項
2 本人の同意に関する事項
3 安全管理措置及び従業者の監督に関する事項
4 委託先の監督に関する事項
5 第三者提供に関する事項
6 保有個人データの開示に関する事項
7 本人の利便を考慮した適切な措置に関する事項
8 苦情の処理に関する事項
IV 第四 個人情報取扱事業者以外の事業者による生徒等に関する個人情報の取扱い
§2 参考資料
資料1 学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が構ずべき措置に関する指針(平成16年文部科学省告示第161号) [略]
資料2 個人情報の保護に関する法律(平成15年法律第57号) [略]
資料3 個人情報の保護に関する法律施行令(平成15年政令第507号) [略]
資料4 個人情報の保護に関する基本方針(平成16年4月2日閣議決定)
§1 解説
I.第一 趣旨
この指針は、個人情報の保護に関する法律(以下「法」という)に定める事項に関し、学校に。おける生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定めたものである。
なお、学校における生徒等に関する個人情報については、本指針によるほか、地方公共団体等が講ずる措置に留意するものとする。
【解説】
1.経緯
近年、情報通信技術の発展により、電子化された情報を情報通信ネットワークを介して大量かつ迅速に処理することが可能となり、個人情報の保護の必要性が一層高まってきています。
このような高度情報化社会の進展に伴って個人情報の利用が著しく拡大している状況にかんがみ、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として「個人情報の保護に関する法律」(平成15年法律第57号) (以下「個人情報保護法」という。)をはじめとする個人情報保護に関する5つの法律が、平成15年5月に成立し、平成17年4月1日より全面施行されることとなりました。
これまで、民間部門に対しては、個人情報保護に係る法的な義務はありませんでしたが、個人情報保護法の施行に伴って、私立学校(専修学校及び各種学校を含む。以下、同じ)を設置する学校法人等の民間事業者においても、個人情報保護に向けて適切に対応することが必要です。
個人情報保護法においては、民間事業者(個人情報取扱事業者)の義務として
(1) 利用目的の特定、利用目的による制限(第15条、第16条)
(2) 適正な取得、取得に際しての利用目的の通知等(第条、第条)
(3) データ内容の正確性の確保(第19条)
(4) 安全管理措置、従業者・委託先の監督(第20条〜第22条)
(5) 第三者提供の制限(第23条)
(6) 公表等、開示、訂正等、利用停止等(第24条〜第30条)
(7) 苦情の処理(第31条)
を定めています。
特に、個人情報保護法の運用に当たって、学校を設置する事業者にあっては、その取り扱う個人情報が、従業者のみならず、学校における生徒等に関するものであることから、個人情報の漏えい、滅失等があった場合の社会的影響も大きく、適切な対応をとることが強く求められています。
2.本指針の位置づけ
個人情報保護法第8条においては、「国は、(中略)事業者等が構ずべき措置の適切かつ有効な実施を図るための指針の策定その他必要な措置を講ずるものとする」と規定されており、同法第7条の規定に基づき決定された「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)(以下「基本方針」という。)においても、「各省庁は、法の個人情報の取扱いに関するルールが各分野に共通する必要最小限のものであること等を踏まえ、それぞれの事業等の分野の実情に応じたガイドライン等の策定・見直しを早急に検討する」こととされています。これらを受けて、文部科学省では、教育分野における民間事業者向けのガイドラインとして、私立学校を設置する民間事業者を対象とする「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が構ずべき措置に関する指針」を策定しました。
なお、本指針は国立大学法人や国立高等専門学校機構、公立学校を設置する地方公共団体等に直接適用されるものではありませんが、これらの国公立学校を設置する者も、本指針なども参考にしつつ、それぞれ「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)と各地方公共団体の定める個人情報保護条例等に基づいて生徒等の個人情報の取扱いについて適切な措置を講ずることが望まれます。
※教職員等の個人情報の取扱いについて
@教職員の個人情報の取扱い
教職員の個人情報の取扱いについては、学校教育以外の事業を行う民間事業者と同様に厚生労働省が策定した「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について」(平成16年厚生労働省告示第259号)によることとなります。
A学術研究活動における個人情報の取扱い
大学等が行っている学術研究活動の関連では、大学その他の学術研究を目的とする機関・団体又はそれらに属する者が学術研究の用に供する目的で個人情報を取り扱う場合については、個人情報保護法第50条第1項で適用除外とされており、個人情報保護法による個人情報取扱事業者の義務等は適用されないこととされていますが、同法第50条第3項により、当該機関等は自主的に個人情報の適正な取扱いを確保するための措置を講ずることが求められています。
Bその他
その他、各事業者の行う事務・事業の実情に応じて、医療(一般、研究)分野の指針等を踏まえた対応をとることが求められます。
3.本指針の趣旨
本指針の第一は、学校における生徒等に関する個人情報の適正な取扱いを確保する観点から、学校を設置する民間事業者が講ずべき措置を適正かつ有効に実施するために必要な事項を規定することが本指針の趣旨であることを定めています。
学校を設置する民間事業者が講ずべき措置の内容については、各事業者に適正な個人情報の取扱いが実際的で実効的に行われることを確保するため、@個人情報保護法第3条の基本理念、A同法第4章第1節の各条で規定する個人情報取扱事業者の遵守すべき義務、B基本方針で示されている個人情報取扱事業者の講ずべき措置に沿ったものとなっており、本指針の第三において以下の事項を定めています。
(情報の取得)
1.利用目的の特定に関する事項
2.個人情報の取得や第三者提供の際の本人の同意に関する事項
(情報の管理)
3.個人情報の安全管理措置及び従業者の監督に関する事項
4.委託先の監督に関する事項
5.第三者提供に関する事項
(情報の開示等)
6.本人からの保有個人データの開示に関する事項
7.本人の利便を考慮した適切な措置に関する事項
8.苦情の処理等に関する事項
なお、本指針の第一において、「本指針によるほか、地方公共団体等が講ずる措置に留意するもの」とあるのは、下記のような地方公共団体が区域内の事業者に対して講ずる措置や、個人情報保護法第37条に基づく認定個人情報保護団体が策定する個人情報保護指針などを想定しています。各事業者においては、本指針のほかに、各区域の実情や事業者の業態等を踏まえて地方公共団体や認定個人情報保護団体が講ずる措置についても留意する必要があります。
(1)地方公共団体が区域内の事業者に対して講ずる措置
これは、地方公共団体が個人情報保護法第12条に基づき、区域内の事業者に対する条例等の措置を講ずる場合があることを想定したものです。また、同法第51条及び個人情報の保護に関する法律施行令(平成15年政令第507号)(以下「個人情報保護法施行令」という。)第11条において、他の法令により事業者の監督権限に属する事務(報告徴収、勧告等)が地方公共団体の長等の事務とされているため、地方公共団体所轄の学校法人等や学校については、地方公共団体の長等が同法第32条から第34条までに規定する主務大臣の権限に属する事務(報告徴収、助言、勧告及び命令)を行うこととされています。
(2)個人情報保護法第37条に基づく認定個人情報保護団体が策定する個人情報保護指針注)
認定個人情報保護団体は、個人情報保護法第43条に基づき、対象事業者を対象とした個人情報保護指針を策定し、公表するよう努めなければならないこととされており、各学校法人が特定の認定個人情報保護団体の対象事業者となった場合には、当該個人情報保護指針についても留意する必要があります。
注)認定個人情報保護団体とは、個人情報保護法第37条に基づき個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、業務の対象となる個人情報取扱事業者(以下「対象事業者という。)の個人情報の取扱いに関する苦情処理や対象事業に対する情報提供等の業務を行おうとするものとして、主務大臣より認定された法人のことです。
【参考】個人情報の保護に関する法律(抄)
第七条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本
方針(以下「基本方針」という。)を定めなければならない。
2 基本方針は、次に掲げる事項について定めるものとする。
一 個人情報の保護に関する施策の推進に関する基本的な方向
二 国が講ずべき個人情報の保護のための措置に関する事項
三 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
四 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
五 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
六 個人情報取扱事業者及び第四十条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
七 個人情報の取扱いに関する苦情の円滑な処理に関する事項
八 その他個人情報の保護に関する施策の推進に関する重要事項
3 内閣総理大臣は、国民生活審議会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなければならない。
4 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
5 前二項の規定は、基本方針の変更について準用する。
(地方公共団体等への支援)
第八条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
(区域内の事業者等への支援)
第十二条 地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。
(認定)
第三十七条 個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる。
一 業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関する第四十二条の規定による苦情の処理
二 個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三 前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
2 前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
3 主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。
(個人情報保護指針)
第四十三条 認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成し、公表するよう努めなければならない。
2 認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
(適用除外)
第五十条 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)報道の用に供する目的
二 著述を業として行う者著述の用に供する目的
三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者学術研究の用に供する目的
四 宗教団体宗教活動(これに付随する活動を含む。)の用に供する目的
五 政治団体政治活動(これに付随する活動を含む。)の用に供する目的
2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
3 第一項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(地方公共団体が処理する事務)
第五十一条 この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
II.第二 用語の定義
法第二条に定めるもののほか、この指針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 事業者法第二条第三項に規定する個人情報取扱事業者であって、学校(学校教育法(昭和二十二年法律第二十六号)第一条に規定する学校、同法第八十二条の二に規定する専修学校及び同法第八十三条第一項に規定する各種学校をいう。以下同じ。)を設置する者をいう(第四規定する場合を除く。)。
二 生徒等次の各号に掲げる者をいう。
(一)前号に規定する事業者が設置する学校において教育を受けている者
(二)前号に規定する事業者が設置する学校において教育を受けようとする者
(三)過去において、前号に規定する事業者が設置する学校において教育を受けた者及び受けようとした者
【解説】
1.ここでは、まず、本指針において使用する用語について、個人情報保護法において使用する用語の例によるものとしています。具体的には、同法第2条に規定する「個人情報」、「個人情報データベース等」、「個人情報取扱事業者」、「個人データ」、「保有個人データ」及び「本人」の定義については、本指針においても同じ定義によることとしています。
(1)「個人情報」とは、個人情報保護法第2条第1項で規定する「生存する個人に関する情報であって当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」であり、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。」ものです。
例えば、氏名のような、それだけで特定の個人を識別できる情報だけでなく、生年月日、住所、電話番号、電子メールアドレス、印鑑の印、性別、学籍番号、学校の成績、人物評価、科目履修表のような、特定の個人の属性や所有物、関係事実等を表す情報であって、それらの情報とその個人の氏名等とが容易に照合できる結果、特定の個人を識別することができる情報は、すべてこれに該当します。
ここで、事業者の取り扱う個人情報には、事業者が本人から取得した生徒等の個人情報のみならず、例えば生徒が以前に在籍していた学校から提供された指導要録など、事業者が第三者から入手したものも含まれることに留意する必要があります。
(2)「個人情報データベース等」とは、個人情報保護法第2条第1項及び同法施行令第1条で規定する「個人情報の集合物」であって、コンピュータによって検索処理できるようにしたもの及び手作業で検索処理できるようにしたものの双方をいいます。例えば、成績表や履修登録を電算処理ができるようにした「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」だけでなく、書類を検索できるように束ねた「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」もこれに該当します。
(3)「個人情報取扱事業者」とは、個人情報保護法第2条第3項及び同法施行令第2条で規定する「個人情報データベース等を事業の用に供している者」であって、そのうち、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6ヶ月以内のいずれかの日において5千以上の者をいいます。(ただし、「国の機関」、「地方公共団体」、「独立行政法人等」、「地方独立行政法人」を除く。)
事業者が保有する個人情報によって識別される特定の個人の数を算出するに当たっては、次のことに留意する必要があります。
@ 複数の学校を設置する事業者にあっては、学校ごとではなく、設置するすべての学校における特定の個人の数の合算となること(学校以外の事業を行っている場合にあっては、その数も対象となる) 。
A 個人情報保護法第2条第3項第5号及び同法施行令第2条の規定により、他人が作成した個人情報データベース等で個人情報として氏名、住所若しくは居所又は電話番号のみが含まれる場合であって、これを編集・加工することなくその事業の用に供するときは、特定の個人の数から除外することとなっていること
B 同一の個人が複数識別される場合においては、重複して計算せず一人として数えること
なお、特定の個人の数から除外する具体的な事例としては、以下のものが考えられます。
事例II−1) 電話会社から提供された電話帳及び市販の電話帳CD−R等に掲載されている氏名及び電話番号
事例II−2) 市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在地を示すデータ(ナビゲーションシステム等が当初から備えている機能を用いて、運行経路等新たな情報等を記録する場合があったとしても、「特定の個人の数」には参入しないものとする)
事例II−3) 氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の氏名、住所又は居所の所在場所を示す情報
(4)「個人データ」とは、個人情報保護法第2条第4項で規定する「個人情報データベース等を構成する個人情報」をいいます。
例えば、電話等で対応したメモに含まれる生徒等に関する個人情報は、そのままでは直ちにはこれに該当しませんが、このような情報を検索可能なように整理したものは、これに該当します。
(5)「保有個人データ」とは、個人情報保護法第2条第5項及び同法施行令第3条並びに第4条で規定する個人情報取扱事業者に開示、内容の訂正等の権限がある個人データのことです。そのうち、その存否が明らかにされること自体が公益その他の利益を害することになるもの及び6ヶ月以内に消去することとなるものが除外されることとなっています。
(6)「本人」とは、個人情報保護法第2条第6項に規定するとおり、個人情報によって識別される特定の個人のことです。
なお、本人が、未成年又は成年被後見人である場合にあっては、その法定代理人(保護者等)も「本人」に含まれます。
2.本指針においては、上記に加え、本指針の対象となる「事業者」及び「生徒等」を用語として定義しています。
(1)「事業者」とは、個人情報取扱事業者であって、下記の学校を設置する者が対象となります。
@小学校 A中学校 B高等学校 C中等教育学校 D大学 E高等専門学校
F盲学校 G聾学校 H養護学校 I幼稚園 J専修学校 K各種学校
具体的には、学校法人、構造改革特別区域法(平成14年法律第189号)に基づき学校を設置する株式会社やNPO法人、学校教育法第102条により学校を設置している者が想定されます。
(2)「生徒等」とは、以下のものが該当します。
@「事業者が設置する学校において教育を受けている者」
学生、生徒、児童、幼児のほか、科目等履修生や聴講生、公開講座へ参加している者など、現時点で学校において教育を受けている者。
A「事業者が設置する学校において教育を受けようとする者」
学校説明会への参加者、入学試験や公開講座等に申し込みをしている者、合格者、入学ガイダンスへの参加者など、現時点で学校における教育を受けようとする者。
B「過去において、事業者の設置する学校において教育を受けた者」
卒業生、他校へ転出した者、中退者、過去に科目等履修生であった者など。
C「過去において、事業者の設置する学校において教育を受けようとした者」
不合格者や入学辞退者など。
【参考】個人情報の保護に関する法律(抄)
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
3 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
5 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
6 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
III.第三 事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項
1 利用目的の特定に関する事項
一 法第十五条に規定する利用目的の特定に関する事項
事業者は、利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。
【解説】
1.個人情報保護法第15条では、個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならないこと、また、利用目的を変更する場合においては、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて取り扱ってはならないことが定められています。
2.ここでは、個人情報保護法第15条第1項に基づき、事業者が個人情報を取り扱う場合に、個人情報において識別される本人が、自己の個人情報の利用範囲を予想できるようにするために、どのような目的で個人情報を取得し、取得した個人情報をどのように利用するかをできる限り明確にすることとしています。
「利用目的の特定」とは、個々の処理の目的を特定するにとどめるのではなく、あくまで、事業者において最終的に達成しようとする目的を特定することをいいます。
なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければなりません。
以下のとおり、利用目的を特定している例としては事例III−1−1及びIII−1−2のような場合が、利用目的を明確に特定していない例としては事例III−1−3及びIII−1−4のような場合が想定されます。
【利用目的を特定している例】
事例III−1−1) 学生による授業評価アンケート等の実施にあたって、アンケート用紙への趣旨目的の記載について、「このアンケートは、来年度における○○の授業の教育方法を検討する際の参考とするために行います」として取得する場合
事例III−1−2) 卒業生の氏名及び就職先の情報を、「卒業生の就職状況を統計としてまとめ、パンフレット等に掲載するため。また、これらの情報は○○○(同窓会の組織名)にも提供します。」として取得する場合
【利用目的を明確に特定していない例】
事例III−1−3) 学生による授業評価アンケート等の実施にあたって、「このアンケートは、本学の教育の改善に役立てるために実施する」として取得する場合(使途を明確に特定していない例)
事例III−1−4) 卒業生の氏名及び就職先の情報を、学校外の第三者(同窓会等)に渡す予定であるが、「卒業生の就職状況を統計としてまとめ、パンフレット等に掲載するため」として取得する場合(あらかじめ予定されている提供先を明確に特定していない例)
ここで「本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に」とは、事業者の行う活動内容等と照らし合わせて、本人が自己の個人情報の利用結果を合理的に予測できる程度の具体性が求められるという意味です。
なお、利用目的を変更する場合は、個人情報保護法第15条第2項にあるように「変更前の利用、目的と相当の関連性を有すると合理的に認められる範囲」でなくてはなりません。「合理的」とは、事業者が主観的に合理的と認めるのではなく、社会通念に照らして客観的に合理的と認められることを意味します。相当の関連性を有すると合理的に認められる範囲を超えた利用は、目的変更としては認められず、目的外の利用となるため、原則として本人の同意を得る必要があります。具体的には、目的変更が明らかに認められる例として、以下のものが想定されます。
事例III−1−5) 「入学手続きのため」という利用目的で取得した個人情報(氏名)について、「氏名からクラス名簿を作成し、クラスに配布する。」という利用目的を追加すること
事例III−1−6) 「○○の資格試験に関する講座の受講者を登録するため」という利用目的で取得した個人情報(氏名、住所)について、「いただいた名前と住所に、当該資格試験の情報を送付することがあります。」という利用目的を追加すること
【参考】個人情報の保護に関する法律(抄)
(利用目的の特定)
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
2 本人の同意に関する事項
二 法第十六条及び法第二十三条第一項に規定する本人の同意に関する事項
事業者は、本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。
【解説】
1.個人情報保護法第16条では、事業者に対して、あらかじめ本人の同意を得た場合及びその他一定の場合を除いて、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないこと、また、他の事業者から事業を承継することに伴って個人情報を取得した場合は、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて当該個人情報を取り扱ってはならないことが定められています。
ここで「特定された利用目的の達成に必要な範囲」か否かについては、個人情報の取扱いの類、型(取得、利用等)、個人情報の内容、個人情報の量等に照らして判断する必要があり、「特定された利用目的の達成に必要な範囲」を超える例としては、少数のサンプルで十分目的を達しうるにも関わらず、多数の個人情報を取得することなどが挙げられます。
また、個人情報保護法第23条では、同法第16条同様にあらかじめ本人の同意がない場合には、原則として取得した個人データを第三者へ提供してはならないことが定められています。「第三者」とは、個人データを第三者に提供しようとしている事業者又は当該個人データの本人以外の者をいい、自然人、法人その他の団体であることを問いません。ただし、同法第23条第4項各号に規定する者は含まれません。
2.本指針では、個人情報保護法第16条に定められる利用目的による制限と同法第23条に定められる第三者提供の制限において、事業者が本人の同意を得るに当たっては、あらかじめ利用目的を本人に知らせた上で、当該本人から明確な意思表示を得ることが望ましいとしています。
具体的には以下の通りです。
(1)あらかじめ「当該本人に当該個人情報の利用目的を通知し、又は公表」すること
ここでは、利用目的を本人に知らせるための方法について記述しています。
「通知」の方法については、口頭、書面、電子メール等で個別に伝達することが想定されます。また、「公表」の方法については、学校の掲示板やホームページに継続して掲示するなど、本人が容易に知り得る状態におくことが想定されます。
(2)「当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うこと」
ここでは、本人から同意を得るにあたって明確な意思表示を得る際の留意事項を記述しています。
本人の同意を得る方法としては、例えば、書面により同意の意思を確認すること、本人の参加が確認できる説明会等において、当該本人の個人情報の取扱いについて異論がないことを口頭で明確に確認すること等が想定されます。
なお、書面による同意にあたっては、個別の同意書によるものだけでなく、各種手続きに必要な提出書類のうち本人が記述していることが確認できるものにおいて、そこに含まれる個人情報の取扱いについて、あわせて同意を得る場合などが想定されます。例えば、入学願書等において、個人情報の取扱いに関して同意する意思が確認できるように、取得する個人情報の使途等を明記するとともに、意思確認のチェック欄を設けるなどの方法が考えられます。
ただし、個人情報保護法第16条第3項、同法第23条第1項では、以下の場合には、あらかじめ本人の同意を得ないで当該本人の個人情報を取り扱うこと(利用目的制限の例外)が認められています。
a)「法令に基づく場合」
法令上の明確な根拠をもって行われる場合であり、例えば、以下のような場合が想定されます。
事例III−2−1) 個人情報保護法第32条の規定に基づく文部科学大臣の報告徴収に応じる場合
事例III−2−2) 学校教育法施行規則(昭和22年文部省令第11号)第12条の3第3項に基づき指導要録の写し等を転学先の校長に送付する場合
事例III−2−3) 私立学校法(昭和24年法律第270号)第6条の規定に基づく文部科学省の求めに応じて、生徒等の個人情報を含む資料を提出する場合
事例III−2−4) 刑事訴訟法(昭和23年法律第131号)第197条第1項の規定に基づく取調に応じる場合
事例III−2−5) 所得税法(昭和40年法律第33号)第225条第1項が定める税務署長に対する支払調書の提出を行う場合
b)「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」。
当該要件には、人の生命、身体又は財産に関する具体的な権利利益が侵害されるおそれが存在するとともに、当該個人データを利用することにより保護が図られることについての合理性が認められる場合であり、例えば、以下のような場合が想定されます。
事例III−2−6) 生徒等が急病になったり、大ケガを負った際に、治療の必要上、血液型や健康診断の結果、家族の連絡先等に関する情報を医療機関等に提供する場合
事例III−2−7) 生徒等への児童虐待に関する情報を、児童虐待防止に関係する機関(児童相談所等)と情報交換する場合(下記c)にも該当)
c)「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人
の同意を得ることが困難であるとき」。
「公衆衛生の向上」としては、がんの疫学的研究のように、疾病の予防、治療のための研究等が、「児童の健全な育成の推進」としては、心身の発達途上にある児童の健全な育成を阻害する児童虐待等を防止することや非行の防止等が想定されます。このような目的のために個人情報を利用することが特に必要な場合であっても、原則としては、目的外利用についてあらかじめ本人の同意を得るべきですが、それが困難な場合には、個人情報の利用によりもたらされる利益が大きいことにかんがみ、同意なしの目的外利用又は第三者提供を認めることはやむを得ないとされています。
事例III−2−8) 疾病予防・治療に関する疫学調査のために調査機関に情報を提供することが特に必要な場合
事例III−2−9) 非行のおそれのある生徒等の情報を、生徒等本人及びその家族等の権利利益を不当に侵害しないことを前提に、非行防止に関係する機関との間で情報交換等を行うことが特に必要な場合
d)「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。」
国の機関等からの情報提供の要請が法令の定める事務の実施のために行われるものであり、協力する事業者が目的外利用を行うことについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合がこれにあたります。
なお、上記の利用目的についての本人の同意は、個人情報の取得、利用目的の変更又は第三者への提供の際に行う必要はありますが、法定代理人(保護者等)の同意により取得した未成年である生徒等の個人情報について、事業者が当初の利用目的の範囲内で利用している場合には、生徒等が成年になった際に改めて本人の同意を取る必要はありません。
【参考】個人情報の保護に関する法律(抄)
(利用目的による制限)
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
3 安全管理措置及び従業者の監督に関する事項
三 法第二十条に規定する安全管理措置及び法第二十一条に規定する従業者の監督に関する事項
事業者は、生徒等に関する個人データの安全管理のために次に掲げる措置を講ずるよう努めるとともに、当該措置の内容を公表するよう努めるものとすること。
(一)生徒等に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。
(二)生徒等に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。
(三)生徒等に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。
(四)生徒等に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。
(五)生徒等に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。
【解説】
1.個人情報保護法第20条では、事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全のため、必要かつ適切な措置を講じなければならないことを定めるとともに、同法第21条において、事業者が従業者に個人データを取り扱わせるに当たっては、個人データの安全管理が図られるよう必要かつ適切な監督を行わなければならないことを定めています。ここで「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業者(正職員、契約職員、嘱託、パート職員、アルバイト等)のみならず、理事、監事、派遣職員、学校が主催する活動に参加する個人(学校ボランティア等)等も含まれます。ただし、学校内の組織であっても事業者の指揮監督が及ばない場合(例えば、学生自治会等)は、従業者からは除かれます。
事業者の講ずる安全管理措置としては、大きく分けて以下の3つのものが考えられます。
a) 組織的管理措置
個人情報の保護のための人員の配置、内部規程の整備、その運用が確実に行われるための監査体制の整備など、個人情報の安全管理のための組織体制の整備のこと。
b) 人的管理措置
実際に個人データを取り扱うこととなる従業者等に対して、個人データの適切な管理を行うよう意識の啓発を図り、その取扱いに関する教育・訓練を行うこと。
c) 技術的・物理的管理措置
学校内のコンピューターシステムへの外部からの不正な侵入を防止するためのシステム構築や第三者に容易に個人データを識別されないために行うデータの暗号化や、個人情報を含む帳簿等の保管庫の設置など、個人データの取扱いに関する技術的・物理的措置のこと。
各事業者が実際にどの程度の安全管理措置を講ずるかを判断するにあたっては、保護しようとする個人情報の内容又は性質・量、利用方法等に照らしてどの程度の必要性があるかということとのバランスを考慮することが必要です。具体的な保護措置のレベルは、事業者の業種・業態等に応じて、各事業者が適切に判断する必要があり、また、時代の変化や事業規模の拡大等に応じて、適宜、見直しを行うことが重要です。この際に、過剰な措置を講ずる必要はありませんが、実状を踏まえ、各事業者が責任を持って取り組むことが求められます。
2.本指針においては、事業者が講ずべき安全管理措置及び従業者の監督に関する事項の内容について、前記のa)組織的管理措置及びb)人的管理措置に関する事項として下記の(1)〜(5)の措置を講ずるよう求めています。なお、c)技術的・物理的管理措置については、本指針において言及していませんが、各事業者の実情に合わせて、適切な対応をとることが望まれます。
(1)生徒等に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。
ここでは、個人の権利利益を保護する観点から、個人情報を取り扱う従業者の範囲やその従業者の権限を明確にするとともに、従業者間の責任関係を明らかにして業務を行わせることとしています。例えば、後述の個人データ管理責任者を選任して管理体制を整えることや、安全管理規定等を定め、各従業者の職務(学校長、クラス担任、教務係等)における責任の範囲を明記することなどの安全管理措置が必要です。また、事業者にあっては、個人情報の保護や開示等の手続きが実効性のある形で行われるよう、必要に応じて、一部の事務(開示・非開示の決定等)について理事長等の責任者から校長等に委任することも考えられます。
(2)生徒等に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。
さらに、ここでは、適切に個人データが取り扱われるようにするため、個人データを取り扱う者の権限を業務遂行上必要な範囲内に限定して取り扱わせることとしています。
個人情報の安全管理の観点から、業務遂行上必要ない者や権限外の者が不正にアクセスすることがないよう、従業者の取扱状況のフォローアップ等によるセキュリティー上の措置を適切に講ずることが必要です。例えば、教員が担当のクラス以外の個人情報を取り扱う際に個人データ管理責任者等の許可を要することとすることや、教員が成績表等の個人情報が含まれる資料を学校外に持ち出す際に個人データ管理責任者等の許可を得るとともに資料の持ち出し記録を帳簿に記載するようにすることなどが考えられます。
(3)生徒等に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。
教職員による不正使用や悪質な漏えい等が生じないようにするため、個人データを取り扱う従業者が業務上知り得た個人データの内容をみだりに第三者へ知らせたり、不当な目的に使用することがないよう必要な措置を講ずるとともに、退職後においても同様に個人情報を適切に取扱うよう必要な措置を講ずることとしています。具体的措置としては、例えば、就業規則に定めたり、教職員との雇用契約において記載することなどが想定されます。
また、従業者の監督に当たって、校長又は教員が生徒等の個人情報を取り扱う際には、個人情報保護法以外にも公職選挙法(昭和25年法律第100号)第137条において教育上の地位を利用した選挙運動が制限されていることから、このようなことが行われることがないよう十分に留意する必要があります。
(4)生徒等に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。
部署や法人内部の個人データの取扱いの管理に関する事項を行わせるために、個人データ管理責任者を選任することとしています。個人データ管理責任者は、従業者が与えられた権限の範囲内において個人データを適切に取り扱うようにするとともに、担当部署における総括的な管理を行う必要があります。
例えば、個人データ管理責任者は各事業者に一人である必要はなく、各学校において必要に応じて学部、学年ごとに担当者などの範囲を決め、適切な管理が行われるよう、各事業者の実態に合わせて、配置することが考えられます。
(5)生徒等に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。
生徒等に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うことが望まれます。実施方法としては、事業者が自ら行う研修の他に外部の研修を活用するなども考えられます。
また、学校が主催する活動に参加するボランティアや保護者に対しても、生徒等の個人データを取り扱う場合には、事前に個人データの取扱いについての説明会を行うなど、学校が講ずる安全管理の措置について周知することにも留意する必要があります。
なお、ここでは、事業者がとる安全管理等の措置の内容について、公表するよう努めることとしています。これは、事業者が利用目的の通知、公表、開示等の個人情報の取扱いに関する諸手続等を、あらかじめ、対外的にわかりやすく説明しておくことは、事業活動に対する社会の信頼を確保する上で重要であることから、学校を設置する事業者にあっても、安全管理のために講ずる措置について、漏えい等の事件が起こった際の対応措置の整備、事件処理の公表方法等とともに、セキュリティ上、問題ないと考えられる範囲において、積極的に公表することが求められます。
【参考】個人情報の保護に関する法律(抄)
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
4 委託先の監督に関する事項
四 法第二十二条に規定する委託先の監督に関する事項
事業者は、生徒等に関する個人データの取扱いの委託に当たっては、次に掲げる事項に留意するものとすること。
(一)個人データの安全管理について十分な措置を講じている者を委託先として選定するための基準を設けること。
(二)委託先が委託を受けた個人データの安全管理のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。
@ 委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
A 当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること。
B 委託契約期間等を明記すること。
C 利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。
D 委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること。
E 委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。
F 委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。
G 委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
【解説】
1.個人情報保護法第22条では、事業者が個人データの取扱いを委託する場合は、当該個人データの安全管理が図られるよう、委託先に対する必要かつ適切な管理を行うことが事業者に義務付けられています。
学校を設置する民間事業者においては、事務の簡素・合理化の観点からアウトソーシングが積極的に進められているところですが、これに伴って、学生の学力テスト等を始めとして、学生の膨大な個人データの処理を外部の専門業者に委託している例が少なくありません。この場合、各事業者は、自らの安全管理ばかりでなく、委託先においても個人情報の漏えい等が無いよう適切な方法で、安全管理がしっかりとした業者を選択し、適切な監督を行わなければならないこととなります。
2.ここでは、個人データの取扱いの委託を行うに当たって、委託先に対する必要かつ適切な監督を行うために事業者が留意すべき事項を定めています。
第一に、事業者が委託先を選定するに当たって、個人データの安全管理について十分な措置を講じている者を委託先として選定するための基準を設けることとしています。
第二に、委託先において個人データの安全管理が確実に行われるようにするため、委託先が安全管理のために講ずべき措置の内容を委託契約において明確化するよう求めています。
具体的な内容としては、以下の事項が考えられます。
@委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること
A当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること
B委託契約期間等を明記すること。
C利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること
D委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること
E委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること
F委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと
G委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること
【参考】個人情報の保護に関する法律(抄)
(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
5 第三者提供に関する事項
五 法第二十三条に規定する第三者提供に関する事項
事業者は、生徒等に関する個人データを同窓会、奨学事業を行う団体その他の第三者に提供する(法第二十三条第一項第一号から第四号までに該当する場合を除く。)に当たっては、次に掲げる事項に留意するものとすること。
(一)提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(二)当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。ただし、当該再提供が、法第二十三条第一項第一号から第四号までに該当する場合を除く。
(三)提供先における保管期間等を明確化すること。
(四)利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。
(五)提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
【解説】
1.ここでは、個人情報保護法第23条に規定する第三者提供に関する事項として、事業者が生徒等の個人データを第三者へ提供する場合に留意すべき事項を定めています。
ここで第三者には、事業者、本人、委託先及び合併等による事業の承継先を除くすべての者が該当します。本指針では、学校を設置する事業者が学生等の個人情報を提供することが想定される典型例として同窓会や奨学事業を行う団体を挙げたところですが、その他第三者の具体的な例としては、学術的な調査研究を行う者、事業者が設置する学校以外の学校、予備校、児童相談所、保護者会等が含まれています。また、学校内の組織であっても、事業者の指導監督が及ばないもの(例えば学生自治会等)も第三者に含まれます。
(私立学校を設置する事業者が第三者に個人データを提供する例)
事例III−5−1) 同窓会に生徒等の進学先や就職先の情報を提供する場合
事例III−5−2) 奨学団体に当該団体が支援する奨学生の成績を提供する場合
事例III−5−3) 保護者会で生徒等の学力テストの結果一覧を配布する場合
事例III−5−4) 学術研究のために、卒業生等の個人情報が含まれる学校所蔵の資料を教育学の研究者へ提供する場合
事例III−5−5) 保護者等に緊急連絡網等の連絡名簿を配付する場合
事例III−5−6) 卒業生に卒業生名簿や卒業アルバム等を配付する場合
上記の事例のように、事業者が第三者に対して個人データを提供する場合は、個人情報保護法第23条第1項に基づき、原則として、あらかじめ本人の同意を得る必要があります。これらの事例については、事業者にあっては、これまで学校運営上必要なこととして、本人の同意を得ることなく取り扱われてきたところですが、個人情報保護法上では、取得時等に事業者が適切に同意を得る手続きを取ることにより、従来どおり個人情報の提供を行うことができます。ただし、本人の同意が得られないときは、個人情報保護法第23条第1項に規定される例外(本人の同意を得ないで提供できる場合)に該当しなければ、第三者提供はできませんので、同意する者の範囲で作成、配付するなど、適切に対処する必要があります。
なお、第三者提供を行う際の具体的な手続きとしては、以下のような例が考えられます。
(第三者提供を行う際の手続きの例)
緊急連絡網等の連絡名簿の作成・配付の場合
学校が、緊急連絡網や住所録等を提供することについて、あらかじめ生徒又はその法定代理人である保護者から同意を得るとき。
・入学時の案内等で、学校が取得した生徒の個人情報を緊急連絡網として保護者や地域の関係団体等に提供することを本人又は保護者(法定代理人)に明示し、同意の上で、所定の用紙に必要な個人情報を記入・提出してもらう。
・新学期の開始時に、保護者会での配付資料や連絡プリント等で、学校が保有している生徒等の個人情報を緊急連絡網として保護者や地域の関係団体等に提供することを本人又は保護者(法定代理人)に明示し、同意の書面を提出してもらう。
なお、緊急連絡網等の連絡名簿を各家庭等へ配付する時の安全管理への配慮としては、印刷は必要部数に限り、利用目的又は保有期間の終了とともに学校に返却、あるいは各自で確実に破棄するなどの対応が考えられます。
※学校行事で撮影された写真等の展示・提供について
個人情報保護法において、第三者提供に際して本人の同意を得なければならないのは、個人情報データベース等を構成する個人情報(個人データ)の取扱いです。
学校行事で撮影された写真等については、そのまま保存するような場合は、通常、特定の個人情報を容易に検索できるものとは言えません。このような場合、当該写真等は「個人データ」には該当しないため、学校が、それを展示したり、生徒や保護者に提供したりすることについて、個人情報保護法第23条の本人の同意を求める手続きは必要ありません。
(第三者提供の制限の例外)
個人情報保護法第23条第1項第1号から第4号及び第23条第2項では、例外的に本人の同意なく提供できる場合を規定しています。(同法第23条第1項の各号の例外の解説については、本解説のIII.2.を参照のこと) 。
個人情報保護法第23条第2項では、第三者提供を利用目的とする個人データについて、次のa)、b)の双方の条件を満たしており、本人の意思が反映され得るような状態にある場合には、例外的に、本人の同意なく第三者へ提供できることとしています。
a)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合
b)次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
@ 第三者への提供を利用目的とすること。
A 第三者に提供される個人データの項目
B 第三者への提供の手段又は方法
C 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
このうち「第三者に提供される個人データの項目」又は「第三者への提供の手段又は方法」を、変更する場合には、個人情報保護法第23条第3項の規定により、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならないこととなっています。
また、個人情報保護法第23条第4項においては、情報を提供する個人情報取扱事業者と密接な関係のある者であって、当該個人情報取扱事業者と一体の者と把握して、第三者提供の制限を課さないことに合理性が認められる場合には、情報の移転がなされても第三者提供とは見なさないこととし、例外として取り扱われる旨が定められており、具体的には、次の三つの場合に、個人データの提供を受ける者を、「第三者」に該当しないものとしています。
(1)個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
上記(3)で、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くことが求められている「共同して利用する者の範囲」は、個人情報保護法23条第4項第3号に規定するとおり、その共同利用者の氏名又は名称を個別列挙するなど、客観的にその共同利用者の範囲の外縁が可能な限り、具体的・個別的に特定できる方法で表示される必要があります。
また、「利用する者の利用目的」や「当該個人データの管理について責任を有する者の氏名又は名称」を変更する場合には、同法23条第5項の規定により、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くことで足りることが定められています。
ここでいう「通知」する方法としては、例えば、口頭による説明、書面の手交、郵便、電話、電子メールなどが該当し「本人が容易に知り得る状態」に置くための手段としては、例えば、ホー、ムページへの掲載、事務所の窓口への掲示、新聞・官報への掲載などが継続的に行われている状態が該当します。
2.本指針においては、上記に加え、第三者に個人情報を提供するにあたって、事業者が留意する事項として、
@提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
A当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。ただし、当該再提供が、個人情報保護法第23条第1項第1号から第4号までに該当する場合を除く。
B提供先における保管期間等を明確化すること。
C利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。
D提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
を定めており、提供先である第三者において適切な安全管理措置がとられるよう、事業者と提供先とがそれぞれの安全管理責任を明確にした上で、個人情報の提供を行うよう求めています。具体的には、提供先を十分な措置を講じている者に限定することや、提供時に事業者と提供先との間で当該個人情報の取扱いに関する同意書を作成するなどの対応が考えられます。
なお、事例III−5−3、III−5−5、III−5−6のように、個人データを保護者や卒業生等の特定多数の者に配付する場合については、各事業者は、これらの者において利用目的に沿った利用と適切な保護、管理が行われるよう配慮が求められます。例えば、次のような留意事項を明示することにより個人情報の保護を求めることなどが考えられます。
(明示する留意事項の参考例)
a)名簿等に記載された生徒や保護者等の個人データは個人情報保護法によって保護される対象であり、慎重に取り扱われるべきものであること
b)名簿等に含まれる個人データをむやみに第三者へ公表・開示したり、不当な目的に利用させたりしないこと
c)名簿等を破棄する場合は、適切、確実に行うこと
d)名簿等の複写及び複製を禁じること
など
(第三者提供の制限に関する違反)
個人情報保護法第23条第1項の規定に違反した場合には、同法第34条第1項の規定に基づく文部科学大臣若しくは地方公共団体の長等の勧告又は同条第2項若しくは第3項に規定する文部科学大臣若しくは地方公共団体の長等の命令の対象となり得る場合があること、同法第18条第3項の規定に違反した場合には、同法第34条第1項の規定に基づく文部科学大臣若しくは地方公共団体の長等の勧告又は同条第2項に規定する文部科学大臣若しくは地方公共団体の長等の命令の対象となり得る場合があることに留意する必要があります。
【参考】個人情報の保護に関する法律(抄)
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
6 保有個人データの開示に関する事項
六 法第二十五条第一項に規定する本人からの保有個人データの開示に関する事項
事業者は、保有個人データの開示に関し、次に掲げる事項に留意するものとすること。
(一)事業者は、本人から当該本人の成績の評価その他これに類する事項に関する保有個人データの開示を求められた場合におけるその開示又は非開示の決定に当たっては、学校における教育活動に与える影響を勘案すること。
(二)事業者は、本人の法定代理人から当該本人に関する保有個人データの開示を求められた場合におけるその開示又は非開示の決定に当たっては、当該本人に対する児童虐待(児童虐待の防止等に関する法律(平成十二年法律第八十二号)第二条に規定する児童虐待をいう。)及び当該本人が同居する家庭における配偶者からの暴力(配偶者からの暴力の防止及び被害者の保護に関する法律(平成十三年法律第三十一号)第一条第一項に規定する配偶者からの暴力をいう。)のおそれの有無を勘案すること。
(三)事業者は、非開示の決定をすることが想定される保有個人データの範囲を定め、生徒等に周知させるための措置を講ずるよう努めなければならないこと。
【解説】
1.ここでは、当該本人からの開示にあたって、事業者が留意すべき事項について定めています。
個人情報保護法第25条では、個人情報取扱事業者が、本人から、本人に関する保有個人データの開示を求められたときは、原則として、本人に対し、書面又は開示請求者が同意した方法により、遅滞なく、当該保有個人データを開示しなければならないことが規定されています。また、事業者が例外的に非開示とすることができる場合について規定するとともに、全部又は一部について非開示とする旨の決定をしたときには、本人に対し、遅滞なく、その旨を通知しなければならないことが規定されています。
この原則の例外にあたるものとして、次のa)からc)の場合があげられていますが、事業者は、個人データの開示又は非開示の決定を行うにあたっては、個々の事案について、原則の例外にあたるかどうか、十分検討した上で行う必要があります。
a)「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」
例えば、開示の求めがあった保有個人データの中に、不治の病であることを本人が知ることにより本人の心身の状況を悪化させるような情報が含まれる場合や、第三者の営業上の秘密に関する情報が含まれる場合などがこれに該当します。
本指針の第3の6(2)では、本人又は第三者の生命、身体、財産その他の権利利益を害すおそれがある場合であって、学校を設置する事業者が開示又は不開示の決定をする場合に特に留意すべき事項として、当該本人に対する児童虐待(児童虐待の防止等に関する法律(平成12年法律第82号)第2条に規定する児童虐待をいう。)及び当該本人が同居する家庭における配偶者からの暴力(配偶者からの暴力の防止及び被害者の保護に関する法律(平成13年法律第31号)第1条第1項に規定する配偶者からの暴力をいう。)のおそれの有無をあげています。
児童虐待のおそれについての具体例としては、
事例III−6−1) 保護者からの児童虐待を理由に子どもが親元から離れて転校しており、加害者である保護者が子どもの居所を知らない場合
などが想定されます。
また、当該本人が同居する家庭における配偶者からの暴力のおそれについての具体例としては、
事例III−6−2) 配偶者からの暴力により、被害者や被害者と同居する未成年の子どもに対し接近禁止命令が発令された場合で、配偶者からの暴力を理由に被害者が転出したことに伴い被害者と同居する子どもが転校し、加害者が子どもの居所を知らない場合
などが想定されます。
ここで、事業者が配偶者からの暴力のおそれのあることを知りうる場合としては、被害者から、あらかじめ情報提供を受けているケースが想定されます。
b)「個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」
例えば、開示の求めがあった保有個人データに、個人情報取扱事業者の営業上の秘密に関する情報が含まれており、これを本人に知らせることが当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすような場合などがこれに該当します。
本指針の第3の6(1)においては、事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合であって、学校を設置する事業者が開示又は不開示の決定をする場合に特に留意すべき事項として、本人から当該本人の成績の評価その他これに類する事項に関する保有個人データの開示を求められた場合に学校における教育活動に与える影響をあげています。
「当該本人の成績の評価その他これに類する事項」の例としては、指導要録、調査書(いわゆる内申書)、入学選抜にかかる個人情報などが想定されます。
また、「成績の評価」には、生徒等の各教科・科目の評定などが想定され、「類する事項」には、入学者選抜の成績や生徒等の特徴などに対する所見などが想定されます。
c)「他の法令に違反することとなる場合」
2.さらに、本指針の第3の6(3)においては、事業者は、非開示の決定をすることが想定される保有個人データの範囲を定め、生徒等に周知させるための措置を講ずるよう努めなければならないこととしています。ここで周知させるための措置としては、書面又は口頭による説明、書面の手交、郵便、電話、電子メールなどによる通知やホームページへの掲載などが想定され、各事業者の実態にあわせて措置が講ぜられることが望まれます。
なお、第25条第1項又は第2項の規定に違反した場合には、個人情報保護法第34条第1項の規定に基づく文部科学大臣若しくは地方公共団体の長の勧告又は同条第2項に規定する文部科学大臣若しくは地方公共団体の長の命令の対象となり得る場合があります。
【参考】
○個人情報の保護に関する法律(抄)
(開示)
第二十五条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
○個人情報の保護に関する法律施行令(抄)
(個人情報取扱事業者が保有個人データを開示する方法)
第六条 法第二十五条第一項の政令で定める方法は、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)とする。
7 本人の利便を考慮した適切な措置に関する事項
七 法第二十九条第二項に規定する本人の利便を考慮した適切な措置に関する事項
事業者は、本人からの保有個人データの開示等の求めができるだけ円滑に行われるよう、開示等の求めに応じる手続きについて本人に周知するよう努めるとともに、閲覧の場所及び時間等について十分配慮すること。
【解説】
1.個人情報保護法第29条は、事業者は、開示等の求めに応じる手続きに関し、その求めを受け付ける方法を定めることができることを規定するとともに、開示等の求めの対象となる保有個人データの特定の仕方及び事業者が当該手続きを定めるに当たって本人に過重な負担を課さないよう配慮しなければならないことを規定しています。
2.ここでは、個人情報保護法第29条第2項の規定に則し、学校における「本人の利便を考慮した適切な措置」として、開示等の求めに応じる手続きについて本人に周知するよう努めることとするとともに、生徒等が置かれる学校の環境に応じて、生徒等本人が容易かつ的確に開示等の求めができるよう閲覧の場所や時間等について十分配慮することとしています。
「開示等の求めに応じる手続きについて本人に周知するよう努める」とは、保有個人データの取扱いの透明性を確保するため、事業者は、個人情報保護法第24条第1項で定められる事項について、本人の知り得る状態(本人が知りたいと望んだときには知ることが可能である状態のこと。)に置かなければならないとされていることをうけて定めたものであり、具体的には、開示等の求めに応じる手続きについて、窓口等における書面の掲示若しくは備付け又はホームページ上での掲載、パンフレット・広報誌等における明記その他の方法により継続的、恒常的に周知を行うことを想定しています。
「開示等の求め」とは、個人情報保護法第29条第1項に定められる利用目的の通知の求め(同法第24条第2項)、保有個人データの開示の求め(同法第25条第1項)、保有個人データの訂正等の求め(同法第26条第1項)、利用停止等の求め(同法第27条第1項)及び第三者提供の停止等の求め(同法第27条第2項)のことです。
また、個人情報保護法第29条では、事業者は、「政令で定めるところにより、その定めを受け付ける方法を定めることができる」こととされており、事業者が定めることができる手続に関する事項として、同法施行令第7条において、@開示等の求めの申出先、A開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式、B開示等の求めをする者が本人又は代理人であることの確認方法、C同法第30条の手数料の徴収方法が定められています。
ここで、事業者が手続に関する事項を定めた場合、請求者は、この事業者の定める方法に従って、開示等の請求を行わなければならないこととなっており、事業者が請求の方法を定めていない場合には、請求者が自由な方法で求めを行うことができることとなっています。
事業者が本人の利便を考慮した適切な措置を講ずるに当たって配慮する点としては、次のようなことが考えられます。
(1)開示等の求めに応じる手続きに関すること
@ 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式について、あらかじめ定め、事前に開示手続き等の情報を周知しておくなど、利用者への情報提供が適切に行われるよう努めること。
例えば、あらかじめ申請書の様式(参考例)や申請のために必要となる証明書等について定め、ガイダンス等で説明するほか、学生便覧等に記載して周知するなどがあります。
A できる限り利用者にとってわかりやすく簡便な手続きとし、迅速に処理できるように工夫すること。
例えば、開示等の求めの対象となる保有個人データの特定に当たって、本人への資料や情報の提供が、できる限り速やかに、円滑にできるようデータやファイル等を適切に管理するなどの工夫がなされていることなどがあります。
(2)開示等の求めの申出先に関すること
@ 受付窓口、閲覧場所の設置においては、利用者にとってわかりやすく、利便性の良い場所に設けること。
A 開設時間は、本人が利用しやすい時間帯とすること。
例えば、受付窓口の開設時間についても、休憩時間や放課後等、本人が利用しやすい時間に設定するなどの工夫が必要です。
また、受付時間を不当に短くする等の時間的制約を行うことがないように配慮することも必要です。
なお、個人情報の閲覧に関しては、本人が安心して閲覧できるよう場所や機密性などへの適切な配慮が望まれます。
(3)開示等の求めをする者が本人又は代理人であることの確認方法に関すること
本人確認の方法、必要となる証明書等について明確にし、あらかじめ周知しておくことが望まれます。具体的には、本人に関しては、対面における学生証、運転免許証、パスポート等の写真付きの身分証明書等による確認を行うこと、代理人自身の確認に関しては、本人に準ずる方法及び代理を示す旨の委任状等が必要となることなどを定め、事前に周知することなどが考えられます。
(4)個人情報保護法第30条の手数料の徴収方法に関すること
手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において額を定め、あらかじめ手続きとともに周知しておくことが必要です。
各事業者においては、開示等の求めに関する手続き等を定めるに当たって、本人や保護者等が開示等の請求を行う際にできうるかぎり円滑に行われるよう、学校の実態に応じて適切に配慮されることが必要であり、申請手続きにおいても必要以上に煩雑とならないよう十分な配慮が望まれます。
【参考】個人情報の保護に関する法律(抄)
(開示等の求めに応じる手続)
第二十九条 個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求め(以下この条において「開示等の求め」という)に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
2 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の求めは、政令で定めるところにより、代理人によってすることができる。
4 個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続きを定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(保有個人データに関する事項の公表等)
第二十四条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 すべての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求めに応じる手続(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
(手数料)
第三十条 個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は第二十五条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
○開示等の求めに際して提出すべき書面の様式の例(法第29条、令第7条関係) [略]
8 苦情の処理に関する事項
八 法第三十一条に規定する苦情の処理に関する事項
事業者は、生徒等に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため、苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。
【解説】
1.個人情報保護法第31条では、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないこと、また、そのために必要な体制の整備に努めなければならないことが定められています。
2.ここでは、事業者は、生徒等に関する個人情報の取扱いに関する苦情の処理について、可能な限り適切かつ迅速に行うよう努めるとともに、苦情及び相談を受け付けるための窓口を設けるなどの必要な体制の整備に努めることとしています。
事業者は、利用、提供、開示又は訂正等をはじめとした個人情報の取扱いに関する苦情一般に対し、適切かつ迅速に処理を行うため、平成17年4月1日の同法の全面施行に向けて、苦情処理に係る窓口の明確化、苦情処理の手順を定める規程の整備、苦情処理を行う職員への教育・研修の実施等を行うなどの体制の整備を行う必要があります。
なお、事業者は、事業活動に対する社会の信頼を確保するため、利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続きについて、あらかじめ対外的に分かりやすく説明するとともに、苦情処理に関する情報についても周知に努めることが望まれます。
この周知の方法としては、例えば、書面又は口頭による説明、書面の手交、郵便、電話、電子メール、ホームページへの継続的な掲示などが考えられます。
【参考】個人情報の保護に関する法律(抄)
(個人情報取扱事業者による苦情の処理)
第三十一条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
【参考】個人情報保護に関する基本方針(抄)
6 個人情報取扱儀業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)個人情報取扱事業者に関する事項
@事業者が行う措置の対外的明確化
事業者の個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)の策定・公表により、個人情報を目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。
また、事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表することが重要である。
(略)
7 個人情報の取扱いに関する苦情の円滑な処理に関する事項
(1)事業者自身による取組みのあり方
法は、苦情処理について、まず、第一に個人情報取扱事業者の責任において適切かつ迅速な処理に努めるべきことを明らかにしている。こうした責務を全うするため、事業者には、必要な体制整備として苦情受付窓口の設置、苦情処理手順の策定等が求められる。
IV.第四 個人情報取扱事業者以外の事業者による生徒等に関する個人情報の取扱い
法第二条第三項に規定する個人情報取扱事業者以外の事業者(学校を設置する者に限る。)であって、学校における生徒等に関する個人情報を取り扱う者は、第三に準じて、その適正な取扱いの確保に努めること。
【解説】
ここでは、私立学校を設置する事業者であって個人情報取扱事業者以外の者(特定される個人の数の合計が過去6ヶ月以内のいずれの日においても5千を超えない者(II.1.(3)参照) においても、個人情報取扱事業者に準じた生徒等の個人情報の適切な取り扱いの確保に努めることとしています。
個人情報保護法において、個人情報取扱事業者以外の学校を設置する事業者に対して、安全管理に関する措置等を行う義務は課されていませんが、生徒等の権利利益を保護するとともに、学校の社会的信用を確保するという観点から、当該事業者も、各学校の実態に応じて、個人情報取扱事業者に準じた措置を講ずることを求めています。
------------------------------------------------------------
資料4
個人情報の保護に関する基本方針
平成16年4月2日
閣議決定
政府は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第7条第1項の規定に基づき、「個人情報の保護に関する基本方針」を策定する。本基本方針は、個人情報の保護に万全を期すため、個人情報の保護に関する施策の推進の基本的な方向及び国が講ずべき措置を定めるとともに、地方公共団体、個人情報取扱事業者等が講ずべき措置の方向性を示すものであり、法の全面施行(平成17年4月1日)に先立ち、政府として、官民の幅広い主体が、この基本方針に則して、個人情報の保護のための具体的な実践に取り組むことを要請するものである。
1 個人情報の保護に関する施策の推進に関する基本的な方向
(1) 個人情報保護法制定の背景
近年、経済・社会の情報化の進展に伴い、官民を通じて、コンピュータやネットワークを利用して、大量の個人情報が処理されている。こうした個人情報の取扱いは、今後益々拡大していくものと予想されるが、個人情報は、その性質上いったん誤った取扱いをされると、個人に取り返しのつかない被害を及ぼすおそれがある。実際、事業者からの顧客情報等の大規模な流出や、個人情報の売買事件が多発し、社会問題化している。それに伴い、国民のプライバシーに関する不安も高まっており、また、安全管理をはじめとする企業の個人情報保護の取組への要請も高まっている。
国際的には、1970年代から、欧米諸国において、個人情報保護に関する法制の整備が進められ、1980年には、各国の規制の内容の調和を図る観点から、経済協力開発機構(OECD)理事会勧告において、「プライバシー保護と個人データの国際流通についてのガイドライン」が示された。以降、各国で急速に個人情報保護法制の整備が進められ、既にOECD加盟国の大多数が公的部門及び民間部門の双方を対象に個人情報保護法制を有するに至っている。企業活動等のグローバル化が進む中、我が国としても国際的に整合性を保った法制の整備と運用が求められている。
このような状況の下、個人情報の保護のあり方と報道の自由をはじめとする憲法上の諸要請との調和に関する様々な国民的な議論を経て、誰もが安心して高度情報通信社会の便益を享受するための制度的基盤として、官民を通じた個人情報保護の基本理念等を定めた基本法に相当する部分と民間事業者の遵守すべき義務等を定めた一般法に相当する部分から構成される法が平成15年5月に成立し、公布された。また、法の趣旨を踏まえ、公的部門に相応しい個人情報保護の規律を定めた行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号。以下「行政機関個人情報保護法」という。)、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「独立行政法人等個人情報保護法」という。)等関連4法が法と併せて、成立し、公布された。
(2) 個人情報保護法の理念と制度の考え方
法第3条は、個人情報が個人の人格と密接な関連を有するものであり、個人が「個人として尊重される」ことを定めた憲法第13条の下、慎重に取り扱われるべきことを示すとともに、個人情報を取り扱う者は、その目的や態様を問わず、このような個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならないとの基本理念を示している。関係の各主体においては、この基本理念を十分に踏まえるとともに、以下に掲げる制度の考え方を基に、個人情報の保護に取り組む必要がある。
@ 個人情報の保護と有用性への配慮
法は、経済・社会の情報化の進展に伴い個人情報の利用が拡大している中で、法第3条の基本理念に則し、プライバシーの保護を含めた個人の権利利益を保護することを目的としており、他方、情報通信技術の活用による個人情報の多様な利用が、個人のニーズの事業への的確な反映や迅速なサービス等の提供を実現し、事業活動等の面でも、国民生活の面でも欠かせないものとなっていることに配慮しているところである。
個人情報の保護と有用性に関するこの法の考え方は、実際の個人情報の取扱いにおいても、十分に踏まえる必要があり、個人情報の保護に万全を期すことこそが、個人情報の利用に関する社会の信頼を高め、ひいては、国民一人一人がその便益を享受できる健全な高度情報通信社会の実現を可能とするものである。
A 各事業者の自律的な取組と各主体の連携
高度情報通信社会においては、業態業種を問わず、あらゆる分野において、情報通信技術を活用した大量かつ多様な個人情報が広く利用されるようになっている。このため、法は、個人情報を事業の用に供する者を広く対象として、個人情報の取扱いに関して共通する必要最小限のルールを定めるとともに、個人情報を取り扱う者において、それぞれの事業等の分野の実情に応じて、自律的に個人情報の保護に万全が期されることを期待している。また、こうした事業者の自律的な取組に関しては、国の行政機関等の支援が重要であり、法は、国が事業者等への支援、苦情処理のための措置を講ずべきことを定めるとともに、事業等を所管する省庁(以下「各省庁」という。)が、各事業等分野における個人情報の取扱いについて権限と責任を有する仕組みを採っているが、こうした複層的な個人情報の保護のための措置が整合的に実効性を上げていくためには、事業者、地方公共団体、国の行政機関等が相協力し、連携を確保していくことが重要である。
(3) 国際的な協調
個人情報保護における国際的な取組としては、1980年のOECDプライバシーガイドラインにおいて、いわゆる8原則※が示されており、その原則が以降の国際的な取組や各国における取組の基本となっている。OECDプライバシーガイドラインにおいては、8原則の各国国内での実施に当たっての詳細は各国に委ねられているが、個人情報取扱事業者の義務に関する法第4章の規定は、我が国の実情に照らして8原則を具体化したものであり、今後、法及び基本方針に基づく取組により、その実効性が確保されることが重要である。
また、法のルール及び基本方針に基づいて個人情報保護の取組を推進するに当たっては、OECDをはじめとして、アジア太平洋経済協力(APEC)、欧州連合(EU)等様々な場で進められている国際的な取組を踏まえ、国際的な協調を図っていくとともに、併せて我が国の法制度についても国際的な理解を求めていくことが重要である。
※ 8 原則:「プライバシー保護と個人データの国際流通についてのガイドライン(Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data)」における、@収集制限の原則(Collection Limitation Principle)、Aデータ内容の原則(Data Quality Principle)、B目的明確化の原則(Purpose Specification Principle)、C利用制限の原則(Use Limitation Principle)、D安全保護の原則(Security Safeguards Principle)、E公開の原則(Openness Principle)、F個人参加の原則(Individual Participation Principle)、G責任の原則(Accountability Principle)を指す。
2 国が講ずべき個人情報の保護のための措置に関する事項
(1) 各行政機関の保有する個人情報の保護の推進
国の行政機関が保有する個人情報の保護については、行政機関個人情報保護法を適切に運用するため、同法の運用の統一性、法適合性を確保する立場にある総務省は、@各行政機関が保有する個人情報の適切な管理に関する指針等を策定するとともに、A各行政機関及び国民に対して、パンフレットの配布や説明会の実施等を行い同法の周知を図り、B施行状況の概要の公表等国民に対する情報提供を行い制度の運用の透明性を確保する。
また、各行政機関は、@総務省が策定する指針等を参考に、その保有する個人情報の取扱いの実情に則した個人情報の適切な管理に関する定め等の整備、A職員への教育研修、B適切な情報セキュリティシステムの整備、C管理体制の整備や国民に対する相談等窓口の設置、個人情報の適切な管理を図るために講じる措置等に関する情報の提供を行う。
(2) 政府全体としての制度の統一的な運用を図るための指針
@ 個別の事案が生じた場合の内閣府と各省庁の連携
大規模な個人情報の漏えい等個別の事案が発生した場合、各省庁は、各事業等分野における個人情報の適正な取扱いを確保するため、必要な情報の収集に努めるとともに、当該個別の事案の被害の広がりや社会的な影響を踏まえ、迅速に法第4章の規定に基づく措置等の検討を行う。
また、内閣府は、個人情報保護関係省庁連絡会議(別紙参考)も活用しつつ、情報提供等の各省庁の協力を得て、個別の事案について、対応事例の蓄積・整理を行うとともに、必要な情報を各省庁に提供し、個人情報の保護のための施策の充実に資するものとする。
A 共管の場合の主務大臣の連携のあり方
個人情報取扱事業者が多角的に事業を行っている場合や、その取り扱う個人情報に雇用管理に関するものを含んでいる場合等において、特定の事案について複数の主務大臣が共管する場合が考えられる。このような事案については、事業者の負担軽減及び各省庁間における整合的な制度の運用の確保の観点から、共管となる各省庁間で、十分な連携を図り、権限を行使することを基本とする。
なお、情報漏えい被害の拡大を防止するために緊急を要する場合等、権限を共同で行使することが、法制度の実効を損なうこととなる場合においては、各省庁は、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「令」という。)第13条の規定により、それぞれ単独で、迅速、機動的な対応を行うものとする。
B 所管が明らかでない場合の主務大臣の指定
複合的な事業の創出等により、個人情報取扱事業者が行う事業を所管する大臣等が直ちに明らかでない場合も生じ得るものと考えられるため、法第36条は、内閣総理大臣が、主務大臣を指定することができることとしている。この場合、内閣府は、各省庁の所掌事務に照らして、関係の深い省庁に照会の上特定し、又は、必要な場合には関係省庁連絡会議を活用することにより、指定を行うものとする。
C 各省庁における窓口の明確化・職員への教育研修
各省庁は、他省庁、地方公共団体との連絡・調整を強化するとともに、苦情相談機関から情報を収集し、相談等に応ずるため、法に関する窓口を明確化する。当該窓口は、省庁内の事業等所管部局からの相談に応じるとともに、研修等によりこれらの職員への知識の普及を図る。
D 法の施行の状況の内閣府への報告と公表
関係行政機関は、法第53条第1項の規定に基づき、毎年度の法の施行状況として、法第4章に基づく報告の徴収、助言等の規定の実施の状況のほか、事業等分野におけるガイドライン等の策定及び実施の状況、認定個人情報保護団体における苦情の処理等の取組状況等について内閣府に報告するものとする。
内閣府は、関係行政機関からの報告を取りまとめ、その概要を公表するとともに、国民生活審議会に報告するものとする。
(3) 分野ごとの個人情報の保護の推進に関する方針
@ 各省庁が所管する分野において講ずべき施策
個人情報の保護については、これまでも、事業者の取り扱う個人情報の性質や利用方法等の実態を踏まえつつ、事業等分野ごとのガイドライン等に基づく自主的な取組が進められてきたところである。
このような自主的な取組は、法の施行後においても、法の定めるルールの遵守と相まって、個人情報保護の実効を上げる上で、引き続き期待されるところであり、尊重され、また、促進される必要がある。このため、各省庁は、法の個人情報の取扱いに関するルールが各分野に共通する必要最小限のものであること等を踏まえ、それぞれの事業等の分野の実情に応じたガイドライン等の策定・見直しを早急に検討するとともに、事業者団体等が主体的に行うガイドラインの策定等に対しても、情報の提供、助言等の支援を行うものとする。
A 特に適正な取扱いを確保すべき個別分野において講ずべき施策
個人情報の性質や利用方法等から特に適正な取扱いの厳格な実施を確保する必要がある分野については、各省庁において、個人情報を保護するための格別の措置を各分野(医療、金融・信用、情報通信等)ごとに早急に検討し、法の全面施行までに、一定の結論を得るものとする。
(4) 広報・啓発、情報提供等に関する方針
法は、個人情報を利用する事業者に対して事業の分野、利用の目的を問わず幅広く個人情報の取扱いに関する義務を課すとともに、個人情報の主体である本人が、個人情報取扱事業者に対して自ら開示、訂正、利用停止の求めを行う等、事業者の個人情報の取扱いに関与していく仕組みを採っていることから、個人情報の保護の実効を期すためには、事業者及び国民に対して法制度の周知を徹底することがきわめて重要である。
このため、内閣府及び各省庁は、事業者及び国民に十分な情報提供が行われるよう、インターネットの活用、ポスターの掲示、パンフレットの配布、説明会の実施等多様な媒体を用いて、広報・啓発に取り組むものとする。その際、個人情報の取扱いへの関心等について、世代間、事業分野間等に差異があることを踏まえ、媒体の選定等にも配慮してきめ細かに対応するものとする。
3 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
(1) 地方公共団体の保有する個人情報の保護の推進
地方公共団体の保有する個人情報の保護対策については、法第11条第1項の趣旨を踏まえ、個人情報の保護に関する条例の制定に早急に取り組む必要がある。また、既に条例を制定している団体にあっても所要の見直しを行うことが求められる。
条例の制定又は見直しに当たっては、法及び行政機関個人情報保護法等の内容を踏まえるとともに、特に、いわゆるマニュアル処理に係る個人情報を保護対象とすること、行政機関個人情報保護法を参考としつつ、事務の特性に配慮した対象機関のあり方、自己情報の開示・訂正・利用停止等の本人関与の仕組みの充実、適切な苦情処理や不服申立て制度等の救済措置の整備、外部委託に係る個人情報の保護措置の整備、個人情報の漏えい等に対する罰則の検討、いわゆる「オンライン禁止規定」の見直し等の事項について留意することが求められる。
(2) 広報・啓発等住民・事業者等への支援
@ 広報・啓発等住民・事業者等への支援のあり方
個人情報保護の推進において、住民・事業者に身近な行政を担う地方公共団体の役割は重要であり、法では、区域内の実情に応じて、住民・事業者への支援や苦情の処理のあっせん等に対して必要な措置を講じるよう努めなければならないものとされている。
特に、法の円滑な施行のため、各地方公共団体においては、個人情報保護の理念や具体的な仕組み等を住民等へ周知するための積極的な広報活動に取り組むとともに、区域内の事業者等の主体的な取組を促進するため、事業者からの相談等に適切に対応することが求められる。
また、個人情報の取扱いに係る事業者と本人の間のルールについては、国の立法と並行し、あるいは先行して、地方公共団体において検討され、一部では、既に条例の制定等により、実施されているところである。こうした地方公共団体の取組は、区域の特性に応じた措置として今後とも重要であるが、その運用は、法及び各省庁のガイドライン等との整合性に配慮する必要がある。また、地方公共団体がその実情に応じて講じようとする措置については、事業者等の活動が、全国等の広域にわたることがあり得ることを考慮し、他の地方公共団体との連携に留意するとともに、特に、事業者等に新たな義務を課すこととなる場合には、当該地方公共団体の区域の特性と条例・規則の内容等を十分説明し、理解を求めていくことが重要である。
A 地方公共団体の部局間の相互連携
地方公共団体は、法の施行に関し、自ら保有する個人情報の保護、その区域内の事業者等への支援、苦情の処理のあっせん等、さらには、法第51条及び令第11条の規定により主務大臣の権限を行使することまで、広範で多様な施策の実施が求められている。地方公共団体においては、こうした多様な施策は、個人情報の保護に関する条例の所管部局、住民からの苦情の相談を担う部局、各事業・事業者の振興・支援を担う部局等相当数の部局にまたがるものと見込まれるが、個人情報に関する住民の権利利益の保護の実効性を確保するためには、広範な施策が一体的・総合的に講じられるよう、関係部局が相互に十分な連携を図る必要がある。
また、事業者からの相談や住民からの苦情等の相談の利便性の観点から、連携体制の確保に併せて、関係部局間の役割分担と窓口を明らかにして、これを公表すること等により周知することが望まれる。
(3) 国・地方公共団体の連携のあり方
個人情報取扱事業者に対する報告の徴収等の主務大臣の権限については、法第51条及び令第11条第1項の定めるところにより、地方公共団体がその事務を処理することとされるものがあるが、他方、地方公共団体の区域をまたがって事業者が活動している場合等においては、地方公共団体が十分に事業者の事業活動を把握することが難しいことも考えられる。このため、地方公共団体と各省庁は、基本方針に基づく各窓口を活用し、十分な連携を図ることとし、地方公共団体は、各省庁に必要な情報の提供等の協力を求めるとともに、各省庁は、必要な場合には、令第11条第3項に基づき自ら権限を行使するものとする。
また、法制度についての広報・啓発、苦情の相談等の業務についても、住民や事業者等に混乱を生じさせないよう、国と地方公共団体が相協力することが重要であり、このため、内閣府、各省庁及び独立行政法人国民生活センターは、広報資料や苦情処理マニュアル等の情報の提供を図るとともに、各窓口の活用により個別の相談事例から得られる知見を蓄積し、その共有を図るものとする。
4 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
独立行政法人等が保有する個人情報の保護については、独立行政法人等個人情報保護法を適切に運用するため、同法の運用の統一性、法適合性を確保する立場にある総務省は、@独立行政法人等が保有する個人情報の適切な管理に関する指針等を策定するとともに、A各行政機関、独立行政法人等及び国民に対して、パンフレットの配布や説明会の実施等を行い同法の周知を図り、B施行状況の概要の公表等国民に対する情報提供を行い制度の運用の透明性を確保する。
また、各行政機関は、所管する独立行政法人等に対して、その業務運営における自主性に十分配慮しながら、必要な指導、助言、監督を行う。
独立行政法人等は、@総務省が策定する指針等を参考に、その保有する個人情報の取扱いの実情に則した個人情報の適切な管理に関する定め等の整備、A職員への教育研修、B適切な情報セキュリティシステムの整備、C管理体制の整備や国民に対する相談等窓口の設置、個人情報の適切な管理を図るために講じる措置等に関する情報の提供を行う。
5 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
地方独立行政法人における個人情報の保護について、地方公共団体は、法第11条第2項において、必要な措置をとることが求められている。これを踏まえ、各地方公共団体は、その設立に係る地方独立行政法人の性格及び業務内容に応じ、各団体が制定する個人情報保護条例において所要の規定を整備する等、適切な個人情報の保護措置が講じられるように取り組むことが求められる。
6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1) 個人情報取扱事業者に関する事項
個人情報取扱事業者は、法の規定に従うほか、2の(3)の@の各省庁のガイドライン等に則し、個人情報の保護について主体的に取り組むことが期待されているところであり、事業者は、法の全面施行に向けて、体制の整備等に積極的に取り組んでいくことが求められている。各省庁等におけるガイドライン等の検討及び各事業者の取組に当たっては、特に以下の点が重要であると考えられる。
@ 事業者が行う措置の対外的明確化
事業者の個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)の策定・公表により、個人情報を目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。
また、事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表することが重要である。
A 責任体制の確保
事業運営において個人情報の保護を適切に位置づける観点から、外部からの不正アクセスの防御対策のほか、個人情報保護管理者の設置、内部関係者のアクセス管理や持ち出し防止策等、個人情報の安全管理について、事業者の内部における責任体制を確保するための仕組みを整備することが重要である。
また、個人情報の取扱いを外部に委託することとなる際には、委託契約の中で、個人情報の流出防止をはじめとする保護のための措置が委託先において確保されるよう、委託元と委託先のそれぞれの責任等を明確に定めることにより、再委託される場合も含めて実効的な監督体制を確保することが重要である。
B 従業者の啓発
事業者において、個人情報の漏えい等の防止等、その取り扱う個人情報の適切な保
護が確保されるためには、教育研修の実施等を通じて、個人情報を実際に業務で取り
扱うこととなる従業者の啓発を図ることにより、従業者の個人情報保護意識を徹底す
ることが重要である。
(2) 認定個人情報保護団体に関する事項
@ 各省庁における認定の促進
認定個人情報保護団体は、苦情処理において、個人情報取扱事業者自身による取組を補完し、問題の自主的、実際的な解決を図るとともに、各事業等分野におけるガイドライン等の策定等を通じて事業者の個人情報保護の取組を支援する等、民間部門における主体的な取組に、きわめて重要な役割が期待されており、その仕組みが十分に活用されることが必要である。
このため、各省庁においては、事業者団体等に対し情報の提供、助言等の支援をするとともに、事業者団体等の求めに応じて相談に応じることにより、認定個人情報保護団体の認定を促進するものとする。
A ガイドライン(個人情報保護指針)等の策定・見直し
個人情報の保護に関する事業分野別の取組においては、従来から、各省庁の策定するガイドラインと併せて、事業者団体等が策定するガイドラインが、各事業者の取組を促進する上で、重要な役割を果たしてきている。このため、事業者団体等においては、引き続き、事業分野の実情に応じ、ガイドライン(個人情報保護指針)等の策定・見直しとその公表を行うとともに、事業者に対する必要な指導等に努めていくことが望まれる。その際、事業者団体等のニーズに応じて、各省庁は、2の(3)の@により必要な支援を行うものとする。
7 個人情報の取扱いに関する苦情の円滑な処理に関する事項
個人情報の利用・提供あるいは開示・不開示に関する本人の不平や不満は、訴訟等によるのではなく、事案の性質により、迅速性・経済性等の観点から、むしろ苦情処理の制度によって解決することが適当なものが多いと考えられる。法は、苦情処理による国民の権利利益の保護の実効を期すため、個人情報取扱事業者自身の取組により苦情を解決することを基本としつつ、認定個人情報保護団体、地方公共団体等が苦情の処理に関わる複層的な仕組みを採っている。この仕組みが円滑に機能するためには、これらの関係機関がそれぞれの役割分担に応じて適切に取り組むとともに、緊密な連携を確保することが必要である。
(1) 事業者自身による取組のあり方
法は、苦情処理について、まず、第一に個人情報取扱事業者の責任において適切かつ迅速な処理に努めるべきことを明らかにしている。こうした責務を全うするため、事業者には、必要な体制整備として苦情受付窓口の設置、苦情処理手順の策定等が求められる。
(2) 認定個人情報保護団体の取組のあり方
認定個人情報保護団体の苦情処理は、各事業者が行う取組を補完し、国民の利益を効率的・効果的に実現する重要な役割が期待される。
このため、認定個人情報保護団体は、個人情報の主体である本人からの様々な苦情に簡易・迅速に対応し、公正な第三者としての立場から国民の期待に応えられるよう、人材の養成・確保を含む体制を整備することが求められる。
(3) 地方公共団体における取組のあり方
地方公共団体の担う苦情の処理のあっせん等は、当事者間で問題が解決されない場合等において、事業分野を問わない苦情処理の仕組みとして、苦情の処理のあっせん、助言、指導、情報提供等の役割が求められている。
地方公共団体が苦情の処理のあっせん等に取り組むに当たっては、広く住民一般に分かりやすく、なじみやすい対応が求められる。その際、個人情報に関する苦情の相当部分は、事業者が消費者の個人情報を利用した結果として起こる消費生活上の苦情であると考えられること、相談者の立場からは、消費生活に関する苦情から個人情報の問題だけを取り出して相談することは容易でなくまた不便であることから、既存の消費生活センターや消費者相談窓口等を個人情報に関する苦情の窓口とし、これを軸に各事業・事業者の振興・支援を担う部局等の関係部局が実効のある連携を確保する仕組みが、相談者の利便性等の観点から望まれる。
なお、地方公共団体において、条例等に基づき別の苦情窓口を定めている場合等、直ちに上記の仕組みにより難い場合においては、特に、窓口と関係部局の役割分担を明確化し、周知を図るとともに、消費生活センター等に寄せられる苦情の移送等の仕組みを十分に確保する必要がある。
(4) 国民生活センター及び各省庁における取組
@ 国民生活センターの取組
各地方公共団体や認定個人情報保護団体に寄せられる苦情が住民・事業者の混乱を招かず円滑に処理されるためには、消費生活センター等の相談員の個人情報保護に関する専門知識の習得を早急に進めるとともに、各相談機関における知見の蓄積とその活用が重要である。
このため、国民生活センターは、自ら個人情報に関する苦情相談に取り組むほか、消費生活センター等の各種相談機関と連携を図りつつ、研修等の実施による専門知識を有する相談員の育成、苦情処理に関するマニュアルの作成・配布等により、窓口対応の強化を支援する。また、こうした取組に当たっては、必要に応じて、認定個人情報保護団体等の協力を得ながら実施するとともに、認定個人情報保護団体へのマニュアルの配布やその職員の研修等への参加を図るものとする。
また、国民生活センターは、個人情報に関する苦情相談の事例を集約・分析し、対応事例集等の資料を作成すること等により、各種相談機関における個別の相談事例から得られる知見を蓄積し、その共有を図るものとする。
A 各省庁における取組
内閣府及び各省庁においては、地方公共団体、国民生活センター、認定個人情報保護団体等と連携して所管分野における個人情報の適正な取扱いを確保する観点から、2の(2)のCによる窓口において、苦情相談機関等から悪質な事業者に関する情報を受け、その収集を行うとともに、必要に応じて、各省庁の対応等について情報を提供するものとする。
また、内閣府においては、各省庁及び地方公共団体の苦情相談機関等の窓口等に関する情報を収集・整理し、インターネットの活用等により提供する。
8 その他個人情報の保護に関する施策の推進に関する重要事項
(1) 情報収集・調査研究の推進
個人情報の収集、利用等その取扱いの態様は、情報通信技術の発展、新分野における事業の創出等により、大きな変化が有り得るものであり、基本方針とこれに基づく措置についてもこうした変化や国際的な個人情報保護制度の動向等に応じて見直すことが必要である。このため、内閣府及び国民生活センターは、各省庁との連携の下、新技術や個人情報の利用の動向、諸外国における制度の運用の動向等に関する情報収集、調査研究を行うものとする。
(2) 国民生活審議会の役割
内閣府は、経済・社会事情の変化に応じた基本方針の見直しに当たり、国民生活審議会の意見を聴くほか、法の施行状況について、法の全面施行後3年を目途として検討を加え、その結果に基づいて必要な措置を講ずることとし、このため、2の(2)のDに基づき、法の施行状況について国民生活審議会に報告を行うとともに、同審議会は、法の施行状況のフォローアップを行う。
Copyright© 執筆者,大阪教育法研究会