• PTA
    •
  • ICT
    •
  • 事例
    •
  • FAQ
    •
  • 保護者
    •
  • Service
    •
  • 補償制度
  • 協議会

    • FAQ … 個人情報保護:対策や運用

    FAQ … 個人情報保護:対策や運用

    facebookでシェア
    LINEでシェア
    Xでシェア
    リンクをコピー
    作成:2024/04/21  更新:2024/09/26
    Home  FAQ  個人情報保護 対策や運用

    FAQ … 個人情報保護対策や運用

    当協議会に寄せられるご相談などから、FAQとして掲載を進めています。

    FAQ 個人情報保護対策や運用
     
     FAQ一覧(全ジャンル)

    FAQ … PTAサポート

    PTA未加入

    FAQ PTA未加入

    保護者や子どもたちへの対応、組織の運営、卒業記念品、個人情報保護関連など

    PTA組織運営

    FAQ PTA組織運営

    PTAの任意性、目的や規約、組織、PTAと学校と教職員、連合会など

    PTA会費や会計

    FAQ PTA会費や会計

    学校経費とPTA会費、公費と私費、会費の適切な使途、学校徴収金、業務委託契約など

    個人情報保護

    FAQ 個人情報保護(1)

    個人情報保護に関する法律や用語、PTA規約や個人情報取扱規則などの整備など

    個人情報保護

    FAQ 個人情報保護(2)

    PTAでの対策や運用、学校など第三者への提供、個人情報の漏えい事案の対策など

    FAQ … ICT支援

    ICT活用

    FAQ PTAでのICT活用

    ネット環境、Wi-FIルーターやスマートフォン、ICT関連の助成制度、Word差し込み機能など

    Googleフォーム

    FAQ Googleフォーム

    Googleフォームの利用法、セクションや回答の検証、正規表現など

    FAQ … 各種サービス

    スマホ・Wi-Fiルーター

    FAQ ICT環境

    スマホ、Wi-Fiルーター、複合機、ライセンス支援

    会費集金ス

    FAQ 会費集金

    マイペイメント(スマホ払)
    月額パンダ(クレジット決済)

    PTA団体補償制度

    FAQ PTA団体補償制度

    補償制度の種類、加入資格、PTA総合補償制度、個人情報漏えい補償制度など

    FAQ … 協議会について

    全国PTA連絡協議会

    FAQ 全国PTA連絡協議会

    活動目的や事業内容、会員登録の方法、会員対象の各種サービスなど

    FAQ … 分類と質問一覧

    全国PTA連絡協議会

    FAQ 質問分類と質問一覧

    当協議会に寄せられたご相談などをまとめた分類別の質問一覧
    FAQの検索に!

    [Question & Answer]に移動します。

    Question

    PTAでの対策や運用

    • PTAでの個人情報保護対策は、何から取り組むべきですか?
    • 本人から書面で提出を受けた個人情報を利用して名簿を作成し、配布する場合はどうすればいいですか?
    • 学校から生徒等に関する個人情報を取得する場合、どういった点に注意すればよいですか?
    • PTA会員への周知は、どうすればいいですか?
    • 役員など関係者への研修は、どうすればいいですか?
    • セキュリティー対策は、どうすればいいですか?
    • 個人情報を取り扱う人を限定した方がいいですか?
    • 管理責任者がチェックする場合は、どうすればいいですか?
    • リスク低減の対策は、どうすればいいですか?
    • 本人から保有する個人データの開示等を求められたときは、どうすればいいですか?
    • 開示請求に関してあらかじめ公表しておくべきことはありますか?

    PTA入会届け

    • PTA入会の説明会などで、個人情報取扱に関する説明は必要ですか?
    • 入会申込書への記入項目としての例はありますか?

    学校とPTA

    • PTA会費徴収を学校へお願いしていますが、注意すべきことはありますか?
    • 任意団体であるPTAで契約が結べるのですか?
    • 学校との業務委託契約は、どうすればいいですか?
    • 学校によるPTA会費徴収について保護者者向け文書は、どうすれいいですか?
    • 学校の保有する個人情報をPTAが提供を受けるには、どうすればいいですか?

    個人情報の第三者提供

    • 個人情報を第三者に提供するとは、どういうことですか?
    • 第三者提供で、本人の同意取得が不要な場合とは、どのよう場合ですか?
    • 家族・親族は、第三者に当たりますか?
    • 個人情報の提供や譲渡の場合、どのような点に注意すればいいですか?
    • 本人から第三者提供の停止を求められたら、どうしたらいいですか?

    個人情報の漏えい

    • 個人情報の漏えいとは、どのようなことですか?
    • 個人情報の滅失と毀損とは、どのようなことですか?
    • 個人データの漏えい事案の発生、または発生したおそれがある時は、どうすればいいですか?
    • 個人データの漏えい事案には、どのような種類がありますか?
    • 個人データの漏えい事案が発生したときは、どうすればいいですか?
    • 個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか?
    • 個人データが記録されたUSBメモリを紛失したものの、紛失場所が学校内か学校外か特定できない場合には、漏えいに該当しますか。
    • 個人データである銀行口座情報(金融機関名、支店名、預金種別、口座番号、口座名義等)のみが漏えいした場合「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しますか?
    • 個人データ漏えい事故に対応した保険はありますか?
    FAQ 個人情報保護対策や運用

    Question & Answer

    PTAでの対策や運用

    Q.
    PTAでの個人情報保護対策は、何から取り組むべきですか?
    A.
    まず、現状の対策状況を確認し、年度内に目指すべき、個人情報保護対策の目標設定が重要です。
    PTAを企業と比べると、予算や人的リソースには限りがありますが、限られたリソースの中でも個人情報の適切な取り扱いは必要です。
    目標設定にあたっては、PTA団体として取り組める対策を洗い出し、優先順位をつける必要があります。
    最も重要なことは、物理的対策やルール作りより、個人情報の取り扱い関わる方のコンプライアンス意識だと思います。
    この点は、学校も含め、役員など関係者での話し合いや学びの場が必要だと考えます。
    その上で、以下のような対策が必要と考えます。
  • 個人情報運用ルールの明確化
  • 役員など関係者への研修
  • 物理的なセキュリティー対策の検討と実行
  • クラウド利用のセキュリティー対策の検討と実行
  • 取り扱い者の限定
  • 各取り扱い者が、日常的にセキュリティー対策を遵守
  • 管理責任者による定期的なチェック
  • 適切な個人情報取り扱いでの、万一の個人情報漏えい事故対策(補償制度の利用)
  • 個人情報漏えい事故発生時の対応手順
  • 保護者など個人情報の収集先への説明や方法
  • 個人情報の第三者提供の取り扱い(学校との業務委託契約、外部業者への提供)
  • 保有する個人データの開示対応
    • 個人情報保護対策については、個々の部分でより理想的な対策が考えらるケースが多々ありますが、PTA全体としての対策の有効性が重要です。
    より理想的な対策を講じた結果、日常のセキュリティー対策が形骸化してしまうような運営は避けなかればなりません。
    PTA団体として、取り組むべきこと、運用できることのバランスを考えながら、毎年、個人情報保護対策を見直すなど、適切なアップデートを行うことが重要です。
    2024年8月7日_191
    Q.
    本人から書面で提出を受けた個人情報を利用して名簿を作成し、配布する場合はどうすればいいですか?
    A.
    PTA(私立学校、自治会・町内会、同窓会等)は、本人に対し利用目的を明示した上で、個人情報を取得し、名簿を作成することが可能です。名簿を配布するなど、本人以外の者に個人データを提供する場合には、原則として、本人の同意を得る必要があります。
    例えば、掲載されている全員に配布する名簿を作成し、クラス内で配布するなど利用目的及び提供先を明示し、同意の上で所定の用紙に個人情報を記入・提出してもらう方法などが考えられます。
    2024年4月21日_101
    Q.
    学校から生徒等に関する個人情報を取得する場合、どういった点に注意すればよいですか?
    A.
    PTAが名簿を作成しようとする場合、本人にその利用目的を通知・公表し、本人から取得した個人情報をその利用目的の範囲内で利用することが可能です。
    なお、学校による個人情報(個人データ又は保有個人情報)の第三者提供については、私立学校又は国立の学校の場合には個人情報保護法が、公立の学校の場合には地方公共団体の条例が適用され、それらの規定に基づいて適切に取り扱うことが求められます。
    2024年4月21日_102
    Q.
    PTA会員への周知は、どうすればいいですか?
    A.
    役員や委員だけでなく、PTA関係者全てに総会資料やホームページ、広報紙などを利用して「個人情報取扱規則」の周知を行います。
    2024年4月21日_103
    Q.
    役員など関係者への研修は、どうすればいいですか?
    A.
    個人情報保護法では、研修を行うことが求められていますので、研修をルール化しておきましょう。 具体的な研修方法としては、以下の様なものでも個人情報保護法の理念実現となります。
    • 対象:個人情報の取扱者及び役員、委員長
    • 日程:年度はじめの会議
    • 内容:政府広報の、個人情報保護のチェックポイント ≫ の視聴(4分9秒の動画)
      PTAで整備した「個人情報取扱規則」などを用いての説明など
    2024年4月21日_104
    Q.
    セキュリティー対策は、どうすればいいですか?
    A.
    各PTAの実情にあわせて、柔軟な管理方法を考えてください。
    個人情報保護管理者による定期的な運用状況の確認は大切です。
  • 紙媒体は、施錠できるところに保管する。
  • 利用する端末のOSを最新状態に保つ。
  • 利用する端末にセキュリティソフトを導入し最新状態に保つ。
  • 電子データは、パスワードの設定し管理をする。
  • 個人データへのアクセス権は、個人情報の取り扱い権限に応じた管理をする。
  • 個人データの持ち出し、電子メール添付時などには、パスワードを設定するなど適切な管理をする。
  • アカウントやパスワード使い回しの禁止する。
  • 個人情報アクセス担当者は最小限の人数で運用する。
    • 2024年4月21日_105
    Q.
    個人情報を取り扱う人を限定した方がいいですか?
    A.
    個人情報の取り扱いにあたっては、 個人情報管理者を選定した上で、取扱者を限定した方が、管理体制的にはより安全と考えられます。
    ただし、取扱者を限定するだけでは十分な監督とならないため、仮に取扱者がPTA役員でも管理体制を定期的にチェックするなどの体制を整備し、取扱者を監督する必要があります。
    具体的には、3ヶ月に1度、管理責任者として会長が情報管理体制(誰が・いつ・どこで・どのように)をチェックするなどです。
    管理責任者の選任は、会長だけでなく、副会長や他の役員でもかまいません。
    2024年4月21日_106
    Q.
    管理責任者がチェックする場合は、どうすればいいですか?
    A.
    管理責任者によるチェックは、以下のような点を客観的に評価することです。評価チェックのシートなどを残しておくと、万一の事故の際にも、適切な運用を行っていた記録になります。
    • 保有・管理する個人情報の件数や利用状況に関する確認
    • PTAで定めたセキュリティー対策が適切に運用されているかを確認
    • ログなどを利用可能な場合、外部からの不正アクセスがなどがないかを確認
    • ポータブル記憶媒体など利用している場合は、持ち出し記録などを確認
    2024年4月21日_107
    Q.
    リスク低減の対策は、どうすればいいですか?
    A.
    PTAでの個人情報の運用においても、目的外利用や同意なき第三者提供のおそれなどがあります。PTAとして安全管理措置を講じる責任がある中で、どこまでの対策を行うか、どこまでリスクを負うかはよく考える必要があります。
    まず、はじめに、
    • 個人情報運用ルールの明確化
    • 運用ルールの遵守
    • PTA会員への周知
    • 関係者への研修
    • 管理者の選定と取扱者の限定
    運用面では、
    • 日常のセキュリティー対策
    • 誰がどの情報にアクセス可能なのかを把握
    • 入手した個人情報は、いつ、誰からどのような目的と通知・公表手続きをして受け取ったかを把握
    • 入手した個人情報を、いつ、誰が誰にどのような目的で渡したかを把握
    2024年4月21日_108
    Q.
    本人から保有する個人データの開示等を求められたときは、どうすればいいですか?
    A.
    個人情報について、本人から開示や訂正、削除を求められた場合は、適切に対応することが必要です。
    個人情報を収集時には、訂正等に関する問合せ先の記載も必要です。
    • 本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります。
    • 個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処する必要があります。
    • 「開示等について公表すべきこと]の内容を、ウェブサイトで公表するなど本人が知り得る状態にしておかなければなりません。
    • 第三者に個人データを提供した記録も開示請求の対象となります。
    • 保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要があります。
    2024年4月21日_131
    Q.
    開示請求に関してあらかじめ公表しておくべきことはありますか?
    A.
    以下の内容を、ウェブサイトで公表するなど本人が知り得る状態にしておかなければなりません。
    PTAの場合は、関係者が限定されているので、総会資料などでの周知が考えられます。
    1. 個人情報取扱事業者の氏名又は名称、住所
    2. 全ての保有個人データの利用目的
    3. 保有個人データの利用目的の通知の求め又は開示などの請求手続
    4. 保有個人データの安全管理のために講じた措置
    5. 保有個人データの取扱いに関する苦情の申出先
    2024年4月21日_132
    Question ≫

    PTA入会届け

    Q.
    PTA入会の説明会などで、個人情報取扱に関する説明は必要ですか?
    A.
    入会案内書類の配布時に「個人情報取扱規則」の配布や提示を推奨します。
    また、ホームページを利用している場合は「個人情報取扱規則」や「個人情報取扱いに関する基本方針(プライバシーポリシー)」の掲載もお勧めします。
    個人情報を取得するには、PTAへの入会の意思確認とともに個人情報の提供を直接受けることが望ましい形です。
    2024年4月21日_401
    Q.
    入会申込書への記入項目としての例はありますか?
    A.
    以下は、入会申込書への記入項目例です。4〜6 は保護者のみの記入項目です。
    1. 入会する保護者や教職員の姓名
    2. 連絡先電話番号
    3. 連絡先メールアドレス
    4. 児童・生徒の姓名・学年と組
    5. 同じ学校に在籍する兄弟姉妹の姓名・学年と組
    6. PTA会費の徴収を学校に委託することへの同意、または説明
      ※PTA会費の徴収を学校に委託している場合のみ
    PTA入会関連書類 テンプレート
    PTA入会に関する書類(例)
    各PTAにおける現在の個人情報取得方法に応じた体制の整備をしましょう。
    • 個人情報を取り扱うためには本人の同意を得る必要があります。
    • 取得する個人情報はPTAの活動に必要な最小限の内容にします
    • 個人情報を取得するには、PTAへの入会の意思確認とともに個人情報の提供を直接受けることが望ましい形です。
    • Googleフォームなどオンラインで手続きを行うケースもありますが、個人情報保護対策を講じた上での利用が必須です。また、紙の申込書との併用も選択肢に入れましょう。
    2024年4月21日_402
    Question ≫

    学校とPTA

    Q.
    PTA会費徴収を学校へお願いしていますが、注意すべきことはありますか?
    A.
    PTA会費徴収や預貯金通帳の保管など、PTAに関する業務の一部を学校に委任している場合には、業務委託契約(準委任契約)を作成するなど、PTAから学校へ委任内容を明確にしておく事が重要です。
    PTAが取得した個人情報(会員情報)を学校(第三者)に提供しない限り、学校によるPTA会費徴収は不可能です。学校への個人情報の提供は、個人情報保護法における第三者提供の例外規定となる業務委託であることを明確にしておくこと必要です。
    PTA入会書類 テンプレート
    PTA業務の一部を学校に委任している場合
    2024年4月21日_501
    Q.
    任意団体であるPTAで契約が結べるのですか?
    A.
    PTA規約などで、PTA団体が権利能力なき社団として要件を満たしていることが前提です。 また。PTAが外部(学校)と契約を締結する場合は、自然人であるPTA会長が「PTA会長」という肩書き付きで契約当事者になります。
    PTAの法的側面
    PTAは権利能力なき社団
    PTAの法的側面
    契約当事者としてのPTA
    2024年4月21日_502
    Q.
    学校との業務委託契約は、どうすればいいですか?
    A.
    業務委託契約は、PTA総会などで学校に業務を委託することについて保護者の同意を得てから手続きするようにしましょう。 契約後は、下記2点について保護者から事前に同意を取るようにしましょう。

    1. 学校への業務委託

    PTAの「入会申込書」に「PTA会費の引き落としを学校に委託することに同意する」などの項目を設けて、保護者の確認を取っておきましょう。
    仮に事前の説明なく、学校徴収金と一緒にPTA会費を徴収した場合、PTAが強制加入であるかのような誤解を招きかねません。 こうした誤解を避けるためにも、「入会申込書」には、PTA加入意向とともに、学校への業務委託についても同意を取るようにしましょう。

    2. 個人情報の取り扱い

    業務委託に際しては、PTAが取得した個人情報を学校へ提供することについて、保護者の確認を取っておきましょう。具体的には、「入会申込書」に個人情報の利用目的(PTA会費徴収)と学校に業務委託する旨を記載しておく対応です。
    2024年4月21日_503
    Q.
    学校によるPTA会費徴収について保護者者向け文書は、どうすれいいですか?
    A.
    会費徴収を学校に委託している場合に必要となる、保護者者向け文書への追加記載例です。
    PTA会費徴収業務を○○学校に委託すること、ご記入いただいた個人情報をPTA会費徴収業務を委託するために○○学校に提供することに同意いたします。
    ※本校PTAと学校は業務委託契約を締結しており、会費徴収業務も含まれています。
    • 会費は月額○○円/1家庭(児童・生徒)です。
    • 徴収は入会届を受理した日の翌月から学校徴収金と一緒に引き落としを開始します。
    • ○○学校PTAの入会による会員期間は、○○~○○までとし、会員期間の中途で脱会した場合の会費の引き落としについては○○○○とします。
    2024年4月21日_504
    Q.
    学校の保有する個人情報をPTAが提供を受けるには、どうすればいいですか?
    A.
    学校側が保護者に対して、学校の保有する個人情報をPTAに提供することについて同意を得る場合、学校側文書に追加記載をお願いする内容の例です。
    1. 個人情報(氏名、写真、作品、生徒・児童の学校の様子・活躍など)については、学校だより等の各種おたより、本校ホームページ等で扱うものとする。
    2. 本校教育活動へのテレビや新聞取材などに対して、本校教育活動に関する写真、映像、音声を提供・公開するものとする。
    3. 学級集合写真(○年生〜○年生)、卒業アルバム(○年生)の写真、映像、音声を利用する。
    4. PTA活動のため(役員選出、広報誌、ホームページ、各種イベントなど)等への情報提供をするものとする。
    各都道府県や各市区町村が定める「個人情報保護に関する条例」では、教育委員会(学校)は、保有する個人情報を利用目的以外のために第三者に提供してはならないと規定されている場合が一般的です。
    こうした条例がある場合、本人の同意を得ずに、学校からPTAに対して児童・生徒や保護者名簿(個人情報)を 提供することは、条例違反となる可能性があります。 学校側に相談するなどして、個人情報の取扱いに関する学校の文書に、「学校の保有する個人情報をPTAに提供することについての同意」に関する項目追加を依頼してください。
    2024年4月21日_505
    Question ≫

    個人情報の第三者提供

    Q.
    個人情報を第三者に提供するとは、どういうことですか?
    A.
    個人情報取扱事業者(PTA)が保有する個人情報をPTA以外の第三者に提供することです。 PTAが保有する個人情報を他人(本人以外の第三者)に渡す場合は、原則として本人の同意取得が必要です。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。
    2024年4月21日_701
    Q.
    第三者提供で、本人の同意取得が不要な場合とは、どのよう場合ですか?
    A.
    以下の1~3の場合は、本人の同意取得が不要です。
    1. 法令に基づく場合(警察からの照会など)
    2. 人の生命、財産を守る場合(災害発生時の安否確認)
    3. 業務委託先に提供する場合
      • 具体的には、名簿印刷時の業者への名簿提供や、書類送付時の配送業者への住所氏名提供など、利用目的を超えて第三者に提供するのではなく、利用目的を遂行するための委託に過ぎない場合
    2024年4月21日_702
    Q.
    家族・親族は、第三者に当たりますか?
    A.
    家族・親族であっても、本人との関係では「第三者」に当たりますので、個人情報の第三者提供であると考えておくのが適切です。
    提供できる場合があるとすれば、本人が家族・親族への情報提供について同意を与えていると解釈できる場合です。
    2024年4月21日_703
    Q.
    個人情報の提供や譲渡の場合、どのような点に注意すればいいですか?
    A.
    第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があります。記録の保存期間は原則3年です。

    業務委託に提供する場合

    個人情報保護の観点から委託先の選定を行い、個人情報が適切に管理されているか監督することが必要です。
    具体的には、プライバシーマーク取得状況の確認、個人情報が適切に取り扱われているか口頭で確認する、情報の持ち出し禁止、委託された業務以外の利用禁止、返却や廃棄などについて記載した書面を渡す、などの対応です。

    第三者に個人情報を提供した場合

    提供先や日時、件数などを含め提供に関する記録を一定期間保管を行うことが必要です。
    ※業務委託先への提供時は不要です。

    会員名簿などを作成して会員などに配布する場合

    配布対象者には 紛失や盗難、転売禁止などの注意喚起を行うことは必須です。 例えば下記の様な記載が必要になります。
    「この文書には個人情報が含まれています。本人の承諾なしに第三者に知らせることはできません。また、利用後は個人の責任において確実に廃棄いただきますようお願いします。」など
    2024年4月21日_704
    Q.
    本人から第三者提供の停止を求められたら、どうしたらいいですか?
    A.
    改正法の施行前は、本人が保有個人データの利用停止、消去、第三者への提供の停止を請求できるのは、個人情報取扱事業者が個人情報を不正取得した場合など、一定の個人情報保護法違反の場合に限られていました。
    法改正によって、次のような場合にも、本人から利用停止などの請求が可能となりましたので、適切な対応が必要です。
    1. 個人データを利用する必要がなくなったとき
    2. 個人情報保護委員会への報告義務がある重大な個人データの漏えい等の事案が発生したとき
    3. 本人の権利又は正当な利益が害されるおそれがあるとき
    2024年4月21日_705
    Question ≫

    個人情報の漏えい

    Q.
    個人情報の漏えいとは、どのようなことですか?
    A.
    個人データが外部に流出することをいいます。なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しません。
    また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合も、漏えいには該当しません。
    2024年4月21日_801
    Q.
    個人情報の滅失と毀損とは、どのようなことですか?
    A.
    滅失とは、個人データの内容が失われることをいいます。なお、その内容と同じデータが他に保管されている場合は、滅失に該当しません。
    また、個人情報取扱事業者(PTA)が合理的な理由により個人データを削除する場合も、滅失には該当しません。
    一方、毀損とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態になることをいいます。 なお、その内容と同じデータが他に保管されている場合は、毀損に該当しません。
    2024年4月21日_802
    Q.
    個人データの漏えい事案の発生、または発生したおそれがある時は、どうすればいいですか?
    A.
    個人データの漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者(PTA)は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。
    2024年4月21日_803
    Q.
    個人データの漏えい事案には、どのような種類がありますか?
    A.
    4つに分類すると、以下のようになります。

    1.要配慮個人情報の漏えい等

    PTA活動においては、要配慮個人情報の取得は推奨できません。
    一般的な事例としては、従業者の健康診断等の結果を含む個人データが漏えいした場合などが該当します。

    2.財産的被害のおそれがある漏えい等

    PTA活動においては、該当するケースはないと思います。
    一般的な事例としては、クレジットカード番号を含む個人データが漏えいした場合や、決済機能のあるウェブサービスのログインIDとパスワードを含む個人データが漏えいした場合などが該当します。

    3.不正の目的によるおそれがある漏えい等

    PTA活動においても注意しなくてはいけない漏えい等の事例です。
    • 不正アクセスにより個人データが漏えいした場合
    • ランサムウェアなどにより個人データが暗号化され復元できなくなった場合
    • マルウェアに感染したコンピュータに不正な指令を送り、IPアドレス等への通信が確認された場合
    • 不正検知を行う専門家等の第三者から漏えいのおそれについて連絡を受けた場合
    • 関係者が個人データを不正に持ち出して第三者に提供した場合
    • 個人データが記載又は記録された書類・媒体などが盗難された場合

    4.1,000人を超える個人データの漏えい等

    大規模なメール配信を行う際、個人データであるメールアドレスを本来はBCC欄に入力して送信すべきところ、誤ってCC欄に入力して1,000人を超える方々へ一斉送信した場合
    上記「メール配信を行う際、1,000人を超える個人データの漏えい等」以外の項目は、1件でも漏えい等の事態が発生したら報告と通知の対象となります。
    これまでは、個人情報保護委員会への報告や本人への通知は努力義務でしたが、法改正により2022年4月からは義務となりました。
    これにより、個人が漏えい等の事態の発生を早く知ることができ、個人情報取扱事業者(PTA)に対し、自らの個人情報の利用停止や消去などを請求しやすくなります。
    漏えいとは、個人データが外部に流出することをいいますが、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えい事案に該当しません。
    2024年4月21日_804
    Q.
    個人データの漏えい事案が発生したときは、どうすればいいですか?
    A.
    個人情報保護委員会のHP 個人情報保護法等 漏えい等の対応とお役立ち資料 ≫ には、個人情報保護委員会への報告先のほか、漏えい等に関する対応についての詳しい情報があります。
    個人情報保護委員会とは、個人情報の適切な管理と利活用を監督する政府機関で、内閣府外局として2016年(平成28)に発足しました。公正取引委員会などと同じ独立性の高い三条委員会で、事業者への立入検査や勧告・命令権限を持っています。

    漏えいが発覚した場合に対応すべきこと

    マニュアル化など、万一に備えてのルール決めが望まれます。
    • 事業者内部における報告及び被害の拡大防止
    • 事実関係の調査及び原因の究明
    • 影響範囲の特定
    • 再発防止策の検討及び実施
    • 本人への通知
    • 個人情報保護委員会への報告(速報は3〜5日以内、確報は期日内)

    個人情報保護委員会への報告期日

    1. 要配慮個人情報(30日以内)
    2. 財産的被害が発生する恐れ場ある場合(30日以内)
    3. 不正アクセス等の故意によるもの(60日以内)
    4. 1,000名を超える場合(30日以内)
    個人情報保護委員会への報告事項
    • 概要
    • 漏えい等が発生し、または発生したおそれがある個人データの項目 ・漏えい等が発生し、または発生した恐れがある個人データにかかる本人の数
    • 原因
    • 二次被害またはそのおそれの有無及びその内容
    • 本人への対応の実施状況
    • 公表の実施状況
    • 再発防止のための措置
    • その他参考となる事項(その他、個人情報保護委員会が事態を把握する上で参考となる事項)
    2024年4月21日_805
    Q.
    個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか?
    A.
    次のような事例が考えられます。
    • 個人データを含むメールを第三者に誤送信した場合において、当該第三者が当該メールを削除するまでの間に当該メールに含まれる個人データを閲覧していないことが確認された場合
    • システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合
    なお、上記の事例において、誤送信先の取扱いやアクセスログ等が確認できない場合には、漏えい(又は漏えいのおそれ)に該当し得ます。
    2024年4月21日_806
    Q.
    個人データが記録されたUSBメモリを紛失したものの、紛失場所が学校内か学校外か特定できない場合には、漏えいに該当しますか。
    A.
    「個別の事例ごとに判断することとなりますが、個人データが記録されたUSBメモリを紛失したものの、紛失場所が学校内か学校外か特定できない場合には、漏えい(又は漏えいのおそれ)に該当すると考えられます。なお、学校内で紛失したままである場合には、滅失(又は滅失のおそれ)に該当すると考えられます。
    2024年4月21日_807
    Q.
    個人データである銀行口座情報(金融機関名、支店名、預金種別、口座番号、口座名義等)のみが漏えいした場合「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しますか?
    A.
    個人データである銀行口座情報のみの漏えいは、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しないと考えられます。なお、銀行口座情報がインターネットバンキングのログインに用いられている場合であって、銀行口座情報とインターネットバンキングのパスワードの組合せが漏えいした場合には、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。
    2024年4月21日_808
    Q.
    個人データ漏えい事故に対応した保険はありますか?
    A.
    個人情報漏えい補償制度の利用が可能です。
    個人データの適正な入手・管理を行っていたにも関わらず、紛失や悪意のある第三者によるサイバー攻撃などを含め、様々な要因で個人情報漏えい事故が発生するリスクがあります。
    個人情報漏えい補償制度は、万一、個人情報漏えい事故が発生した際の備えとなる賠償責任保険です。
    全国PTA連絡協議会の個人情報漏えい補償制度(サイバー・情報漏えい事故補償特約付統合賠償責任保険)は、全国PTA連絡協議会に登録のあるPTAの皆様は、団体契約扱いでの加入が可能です。
    日本PTA連絡協議会にも同様の仕組みがあります。
    記事
    万一の個人情報漏えい事故に備えた団体補償制度
    個人情報漏えい補償制度 ≫
    2024年4月21日_809
    FAQ
    facebookでシェア
    LINEでシェア
    Xでシェア
    リンクをコピー
    全国PTA連絡協議会は、本サイト等の内容およびご利用者様が本サイトを通じて得る情報等について、その正確性、完全性、有用性、最新性、適切性、確実性、動作性等、その内容について何ら法的保証をするものではありません。当サイトに掲載されている情報を利用することで発生した紛争や損害に対し、当協議会は責任を負わないものとします。
    また、本サイトの一部には法律的な根拠を求めることが難しい内容も含まれております。このような内容については全国PTA連絡協議会としての見解となります。
    全国PTA連絡協議会が提供している事業やサービスは、予告なく変更または中止する場合があります。
    ↑