● 学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針 平成16年11月11日 文部科学省告示第161号
文部科学省告示第百六十一号
個人情報の保護に関する法律(平成十五年法律第五十七号)第八条の規定に基づき、学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針を次のように定め、平成十七年四月一日から適用する。
平成十六年十一月十一日
文部科学大臣 中山成彬
学校における生徒等に関する個人情報の適正な取扱いを
確保するために事業者が講ずべき措置に関する指針
第一 趣旨
この指針は、個人情報の保護に関する法律(以下「法」という。)に定める事項に関し、学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定めたものである。
なお、学校における生徒等に関する個人情報については、本指針によるほか、地方公共団体等が講ずる措置に留意するものとする。
第二 用語の定義
法第二条に定めるもののほか、この指針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 事業者 法第二条第三項に規定する個人情報取扱事業者であって、学校(学校教育法(昭和二十二年法律第二十六号)第一条に規定する学校、同法第八十二条の二に規定する専修学校及び同法第八十三条第一項に規定する各種学校をいう。以下同じ。)を設置する者をいう(第四に規定する場合を除く。)。
二 生徒等 次の各号に掲げる者をいう。
(一)前号に規定する事業者が設置する学校において教育を受けている者
(二)前号に規定する事業者が設置する学校において教育を受けようとする者
(三)過去において、前号に規定する事業者が設置する学校において教育を受けた者及び受けようとした者
第三 事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項
一 法第十五条に規定する利用目的の特定に関する事項
事業者は、利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。
二 法第十六条及び法第二十三条第一項に規定する本人の同意に関する事項
事業者は、本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。
三 法第二十条に規定する安全管理措置及び法第二十一条に規定する従業者の監督に関する事項事業者は、生徒等に関する個人データの安全管理のために次に掲げる措置を講ずるよう努めるとともに、当該措置の内容を公表するよう努めるものとすること。
(一)生徒等に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。
(二)生徒等に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。
(三)生徒等に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。
(四)生徒等に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。
(五)生徒等に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。
四 法第二十二条に規定する委託先の監督に関する事項
事業者は、生徒等に関する個人データの取扱いの委託に当たっては、次に掲げる事項に留意するものとすること。
(一)個人データの安全管理について十分な措置を講じている者を委託先として選定するための基準を設けること。
(二)委託先が委託を受けた個人データの安全管理のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。
@委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
A当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること。
B委託契約期間等を明記すること。
C利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。
D委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること。
E委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。
F委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。
G委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
五 法第二十三条に規定する第三者提供に関する事項
事業者は、生徒等に関する個人データを同窓会、奨学事業を行う団体その他の第三者に提供する(法第二十三条第一項第一号から第四号までに該当する場合を除く。)に当たっては、次に掲げる事項に留意するものとすること。
(一)提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(二)当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。ただし、当該再提供が、法第二十三条第一項第一号から第四号までに該当する場合を除く。
(三)提供先における保管期間等を明確化すること。
(四)利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。
(五)提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
六 法第二十五条第一項に規定する本人からの保有個人データの開示に関する事項
事業者は、保有個人データの開示に関し、次に掲げる事項に留意するものとすること。
(一)事業者は、本人から当該本人の成績の評価その他これに類する事項に関する保有個人データの開示を求められた場合におけるその開示又は非開示の決定に当たっては、学校における教育活動に与える影響を勘案すること。
(二)事業者は、本人の法定代理人から当該本人に関する保有個人データの開示を求められた場合におけるその開示又は非開示の決定に当たっては、当該本人に対する児童虐待(児童虐待の防止等に関する法律(平成十二年法律第八十二号)第二条に規定する児童虐待をいう。)及び当該本人が同居する家庭における配偶者からの暴力(配偶者からの暴力の防止及び被害者の保護に関する法律(平成十三年法律第三十一号)第一条第一項に規定する配偶者からの暴力をいう。)のおそれの有無を勘案すること。
(三)事業者は、非開示の決定をすることが想定される保有個人データの範囲を定め、生徒等に周知させるための措置を講ずるよう努めなければならないこと。
七 法第二十九条第二項に規定する本人の利便を考慮した適切な措置に関する事項
事業者は、本人からの保有個人データの開示等の求めができるだけ円滑に行われるよう、開示等の求めに応じる手続について本人に周知するよう努めるとともに、閲覧の場所及び時間等について十分配慮すること。
八 法第三十一条に規定する苦情の処理に関する事項
事業者は、生徒等に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため、苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。
第四 個人情報取扱事業者以外の事業者による生徒等に関する個人情報の取扱い
法第二条第三項に規定する個人情報取扱事業者以外の事業者(学校を設置する者に限る。)であって、学校における生徒等に関する個人情報を取り扱う者は、第三に準じて、その適正な取扱いの確保に努めること。
Copyright© 執筆者,大阪教育法研究会