<第2回・オトナの事情と同意の義務> 教えて仙田さん!PTAもウェブ解析士も取っておきたい個人情報保護士

Pocket

個人情報の通知と公表はどうしたら?

江尻
PTAでの個人情報保護士は、いろいろ主導していく役割ですね。やっとイメージできました。
仙田
実はもうひとつ、やっておいたほうが良いことがあるんですよ。
それは、ホームページを持つことです。
小杉
えぇっ!?
まだガラケーを使っている方もいて、LINEですら全員使っているわけではないし、伝言ゲームになる電話の連絡網を廃止したいのに廃止できないこの状況で、PTAがホームページをボランティアで作って管理し続けなければならないとなったら、誰も役員やりたがらないという悪夢までがセットですか!?
江尻
PTAの役員かつホームページ制作者だけが見る白昼夢だと信じましょう(笑)
仙田
規模にもよるのですが、もれなく書面等で本人へ知らせるよりも、ホームページ等を利用して公表することが現実的な場合もあります
改正された個人情報保護法が施行されるにあたり、「これから取得するもしくは保有している個人情報をPTAがどのように取り扱うのか」を公表する場としてホームページを持たないことは、訴訟に発展する恐れがあります。
小杉
ダークな世界、ふたたび……!
それでもうちの子ども会のように、世帯数が18とかなら書面で十分対応できますよね?
仙田
それくらいの規模なら、私もホームページより書面の方が良いと思います。PTAだと1,000人規模の学校もあり得るので、そのような場合はホームページのほうが良いでしょう。確実に伝わる方法を選択するのが一番です。
小杉
あ、今すごーく安心しました。
どちらかというと危機感が組織側にないのが現実なので、そもそも個人情報に関する考え方をまとめることが先ですね。
たとえばいきなり「第三者提供」と言われても正直ピンと来ないのですが、PTA役員がPTAの会員名簿を作って配布する場合、自分の個人情報が他のPTA会員に知られるわけですから、「第三者提供」にあたるわけですよね。そういうところから周知が必要なんだろうと思いました。
その上で、まず書面での徹底なのかなと。ホームページを持ってしまうのはカンタンですが、だれがいつどのように運用していくのかを決めないと、逆に怖いです。
江尻
ホームページの扱いについては、ウェブ解析士がいると安心できそうですね(笑)
仙田さん、ホームページを持って情報を公表する場合、どのようなことに気をつけたほうが良いでしょうか?
仙田
まずは、リアルなPTA活動とズレがない内容であるべきです。PTAが異なれば、通知・公表する内容は異なります。また、同じPTAでも、年度によって活動や関係者が変わるので、毎年見直す必要があります。
小杉
そうするとPTAの最初の仕事は、個人情報保護に関する文章の見直し……!
江尻
PTAの場合、PTA役員が個人情報取扱事業者になるのですよね?
今回は妻が個人情報保護士を取りたいとがんばっていますが、個人情報保護はPTA全体の問題なので、母親だけでなく、父親もサポートしたいです。
仙田
PTAといっても組織全体が個人情報取扱事業者はなく、厳密にはPTA役員として名前があがっている人が個人情報取扱事業者となります。その配偶者は事業者ではないため、奥様が役員でしたら、家庭内での管理はしっかりとなさってくださいね。
江尻
その点は、私よりしっかりしているので大丈夫だと思います(笑)
仙田
PTAの場合、年度ごとに活動内容が変わるとしたら、毎回「あなたの個人情報を使います」「いいですよ」という同意の契約が必要になります。他にも、個人情報を「いつ、誰に、どのように提供したのか」を記録・保管しておく義務があります。これはトレーサビリティーの観点ですね。
小杉
(うう……そろそろ義務アレルギーが……)
仙田
個人情報保護ガイドラインには「組織的」「人的」「物理的」「技術的」の、4つの安全管理措置が紹介されていて、そこに書かれていることはすべて表示義務があります。
ただ、ここで詳しくお話すると小杉さんが寝込んでしまいそうなので、今は省きます。
小杉
ありがとうございます。せめてこれだけは!というものはありますか?
仙田
少なくとも、「利用目的」「保管と管理」「第三者への提供」の3つは考えておいてください。それが基本になって、4つの安全管理措置も考えやすくなります。
小杉
目的・管理・第三者、ですね。わかりました!
江尻
ホームページにどのような内容が必要なのかは、逆に義務から考えることもできますね。
とはいっても改正個人情報保護法はすでに施行されていますし、何もしなければ罪を問われたりしますか?
仙田
安全管理措置を行わなかった事だけを理由に刑事罰を受ける恐れはほとんどありませんが、PTA会員が漏洩させてしまった場合、裁判で不利な状況に追い込まれることは想像できますね。
やるべき事は早めにやっておく事が、一番の対策法だと思います。

個人情報の通知と公表はどうしたら?・まとめ

  • 個人情報の取得と利用目的を書面等で通知するか、ホームページ等で公表することが法律で定められている。
  • 「組織的」「人的」「物理的」「技術的」の、4つの安全管理措置があり、すべて表示義務がある。
  • 少なくとも、「利用目的」「保管と管理」「第三者への提供」の3つは考えておきたい。

現実問題、名簿の取り扱いはどうすれば?

小杉
名簿についてやらなければならないことはわかったのですが、もう少し具体的な話を伺っても良いですか?
仙田
はい、私がわかる範囲のことならこの場でお答えします。
小杉
毎年、春に子ども会で名簿や連絡網を配布しているのですが、この間(6月以降)転入生の子が入ってきたので、更新した名簿を再配布しないとならないのです。この場合、改めて同意が必要ですか?
江尻
妻も似たようなことを言っていたので、名簿から名前を削除する場合の回収などもお伺いしたいです。
仙田
そうですね、様々な状況がありますから、[個人情報保護委員会](https://www.ppc.go.jp/) のホームページもご覧ください。参考になる資料もたくさんあります。
PTAなどの会員組織の役員が個人情報を得るには「会員名簿を作成し、名簿に掲載される会員に対して配布するため」という利用目的を特定し、相手から同意を得なければなりません
書面で本人から個人情報を得る場合はおそらくPTAの会則の同意も得るでしょうから、会則と資料目的に同意する項目のチェックボックスに丸を入れてもらえば、間違いなく同意を得たことになります。この時、再配布についても触れておくと間違いありません。
小杉
ありがとうございます。
個人情報保護の改正に伴って、会則も見直したほうが良さそうですね。
仙田
また江尻さんの件ですが、個人情報保護法は回収までを求めてはいません。
一度手から離れた名簿の所有権は相手方に渡ってしまいます。つまり、「提供した名簿のその後は本人の管理問題」ということになります。
ただ、盗難や紛失、転売などしないようにするための呼びかけは必要です。
江尻
なるほど。
つまり、あらかじめ名簿の第三者提供と利用目的の同意があるという前提で、削除要求に対しては再配布で対応すればよく、すでに配布した資料は処分することなどの規則や説明があれば、個人情報保護法の解釈としては問題ないと。
最初の同意の際、提供した名簿は本人の管理下に置かれるということも周知しておいたほうが良さそうですね。
仙田
ちなみに、配布資料に誤字があると、今度はセキュリティの完全性の面で問題があり、そもそも間違った情報を配布してしまうということになりますから、名簿の名前はしっかりチェックしておきましょう。
小杉
転入生の子の名前、確認しておきます!
江尻
ちなみに「オプトアウト」についてですが、名前入りのノベルティグッズなどを作る場合には個人情報保護委員会への届け出が必要でしょうか?
小杉
「オプトアウト」って、本人の同意なく情報を第三者に提供することですよね。
あ、それ確かに気になります!
仙田
「オプトアウトによる第三者提供の届出」に関しては、提供する名簿の利用を相手に任せる名簿業者に関連する内容です。届け出が必要なのも、名簿業者の義務です。
ノベルティグッズなどはあくまで業者への委託なので、利用目的と利用範囲を定めた上で、名簿を「預ける」ということになりますから、一般的なPTAや自治体などの組織は、それほど気にする必要はないでしょう。
江尻
ということは、委託業者と契約書を交わしておくのが一番ですね。ありがとうございます。

現実問題、名簿の取り扱いはどうすれば?・まとめ

  • 本人から個人情報を得る場合、利用目的や利用範囲の同意は必ず得ておく
  • 提供した名簿のその後は本人の管理問題なので、回収の必要はないが、注意喚起は必要
  • オプトアウトはいわゆる名簿業者向けのものなので、一般的な組織は気にする必要はない
  • PTAで何らかの委託をする場合は、役員が個人情報取扱事業者として、委託業者と責任を持って個人情報を取り扱う

具体的な対応策が出てきたので、参考になった方も多いのではないでしょうか。
少なくとも私(小杉)はとても参考になったので、子ども会の会則は見直したほうが良さそうです。
次回は個人情報保護士のことについて、詳しくお伺いします。

続きはこちら → 第3回:個人情報保護士は稼げる?

(インタビュアー 小杉 聖)

Pocket

仙田 利夫さんの他の記事

仙田 利夫
IoT時代の個人情報保護対策。具体的にどこから手をつければ良いのか?私にご相談頂けば、組織に蔓延る(はびこる)リスクを限りなくゼロに近くなるまで減らし、安心して個人情報を扱える体制をお作り致します。また、社内研修も承っておりますので、是非ご相談ください。