安全管理、従業者・委託先の監督
流出事件や事故を防ぐために、学校内の体制を整えることはもちろんですがそれだけでは不十分。その安全管理が図られるよう教職員を教育することや、委託先の監督を行うことも義務になります。
-
【第20条】
- 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- 【第21条】
- 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行なわなければならない。
- 【第22条】
- 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行なわなければならない。
「安全管理措置」・・・具体的にどうすれば良い?
個人データの漏えい、滅失、き損を防止するために安全管理措置を取ることを法律は義務付けています。この法律では上記のことしか記載されていませんが、具体的にはどんな措置を取ればよいのでしょうか。
文部科学省ガイドラインでは、安全管理措置を1.組織的管理措置、2.人的管理措置、3.技術的、物理的管理措置の3つに大きく分け、次の5つの措置に努めることとしています。
- 生徒等に関する個人データを取り扱う従業員及びその権限を明確にした上で、その業務を行なわせること
- 生徒等に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。
- 生徒等に関する個人データを取り扱うものは、業務上知りえた個人データの内容をみだりに第三者に知らせ、又は不当な目的にしようしてはならないこと。その業務にかかる職を退いた後も同様とすること。
- 生徒等に関する個人データの取扱いの管理に関する事項を行なわせるため、当該事項を行なうために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。
- 生徒等に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育および研修を行なうこと。
各学校が実際にどのように安全管理の措置を行なうかの判断は、保護をしようとする個人情報の内容や量、性質などによります。詳しくは「具体的対策」のページで解説しています。
従業者とは?
正職員、契約職員、嘱託、パート職員、アルバイトなどの雇用関係者のみならず、理事、監事、派遣職員、学校が主催する活動に参加する個人(ボランティア等)も含まれます。ただし、学校内の組織であっても事業者の指揮監督が及ばない場合(例えば、学生自治会等)は含まれません。
教職員一人ひとりの意識が大切
近年の個人情報の流出事件や事故の80%以上は、内部に原因があると言われています。事件や事故を防ぐために、管理体制を整えることはもちろん、個人情報を扱う教職員の教育訓練も必要になります。
教職員全員が個人情報を取り扱う責任の重要性を理解し、書類やデータの持ち出しの制限や使用のルールを決め、業務マニュアルを作成する、そして実行していくことが大切になります。
「危険度チェック」であなたの学校の状況をチェックしてみよう。
委託先の管理、監督も学校の義務
学校ではさまざまな部分で外部の会社に業務を委託しています。
こうした会社に個人データの取扱いを委託する場合、委託元の学校は委託先に対する必要かつ適切な監督をする義務があります。万が一、委託先で漏えい事故などが起きた場合、委託元の学校に監督義務を怠ってなかったかどうかの管理者責任が問われることになります。
- 学校が利用する業務委託先例 -
- 印刷会社(教職員の名刺、生徒の名簿、卒業アルバムなど)
- 予備校、模擬テスト会社(模擬試験など)
- 金融機関、集金代行会社など(授業料引落や保険など)
- システム会社(学生・生徒のデータ管理など)
- 旅館、旅行代理店(修学旅行や遠足、林間学校など)
- 病院、検査会社(健康診断)
外部の会社に業務委託する場合の注意事項
外部の会社に個人情報の取扱いを委託する場合、下記のような事項に注意する必要があります。
委託先の選別
発注前に個人データを預けても安心な相手かどうかの確認をしましょう。「長年お付き合いしているから会社だから大丈夫」などと安心しているのは危険です。相手先が個人情報の取扱いに関して体制を整えているか、第三者認証取得などを目安に改めて確認してみましょう。
契約をきちんと結ぶ
口頭だけの契約で済ませてしまうことはとても危険です。契約書や機密保持契約書を取り交わすようにしましょう。ガイドラインでは委託契約書に次の事項を明確に記載しておくことが望ましいとしています。是非、契約書や機密保持契約書の内容に明記するようにしてください。
- 委託先において、その従業者に対し当該個人データの取扱を通じて知りえた個人情報を漏らし、又は盗用してはならないとされていること。
- 当該個人データの取扱の再委託を行なうに当たっては、委託元へその旨文書をもって報告すること。
- 委託契約期間等を明記すること。
- 利用目的達成後の個人データの返却又は委託先における破棄もしくは削除が適切かつ確実になされること。
- 委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること。
- 委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。
- 委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。
- 委託先において個人データの漏洩等の事故が発生した場合における委託先の責任が明確化されていること。