PTAでの個人情報保護対策は大丈夫ですか?
PTAでの個人情報保護対策(2)
適切な個人情報管理と組織運営を心がけ、PTA活動への信頼性を向上していきましょう。PTA規約や規則などの整備、運営体制の整備、万一の事故への対策など必要とされる対応を進めましょう。
個人データの漏えい等事案の種類
漏えい等の事案の発生または発生したおそれ
漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者(PTA)は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。1.要配慮個人情報の漏えい等
PTA活動においては、要配慮個人情報の取得は推奨できません。一般的な事例としては、従業者の健康診断等の結果を含む個人データが漏えいした場合などが該当します。
2.財産的被害のおそれがある漏えい等
PTA活動においては、該当するケースはないと思います。一般的な事例としては、クレジットカード番号を含む個人データが漏えいした場合や、決済機能のあるウェブサービスのログインIDとパスワードを含む個人データが漏えいした場合などが該当します。
3.不正の目的によるおそれがある漏えい等
PTA活動においても注意しなくてはいけない漏えい等の事例です。
4.1,000人を超える個人データの漏えい等
メール配信を行う際、個人データであるメールアドレスを本来はBCC欄に入力して送信すべきところ、誤ってCC欄に入力して1,000人を超える方々へ一斉送信した場合
上記「メール配信を行う際、1,000人を超える個人データの漏えい等」以外の項目は、1件でも漏えい等の事態が発生したら報告と通知の対象となります。
これまでは、個人情報保護委員会への報告や本人への通知は努力義務でしたが、法改正により2022年4月からは義務となりました。
これにより、個人が漏えい等の事態の発生を早く知ることができ、個人情報取扱事業者(PTA)に対し、自らの個人情報の利用停止や消去などを請求しやすくなります。
漏えいとは、個人データが外部に流出することをいいますが、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えい事案に該当しません。
個人データの漏えい等が発生したときは?
漏えい時の個人情報保護委員会への報告
個人情報保護委員会のHP「個人情報保護法等漏えい等の対応とお役立ち資料」には、個人情報保護委員会への報告先のほか、漏えい等に関する対応についての詳しい情報があります。
個人情報保護委員会とは、個人情報の適切な管理と利活用を監督する政府機関で、内閣府外局として2016年(平成28)に発足しました。公正取引委員会などと同じ独立性の高い三条委員会で、事業者への立入検査や勧告・命令権限を持っています。
漏えいが発覚した場合に対応すべきこと
マニュアル化など、万一に備えてのルール決めが望まれます。- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 本人への通知
- 個人情報保護委員会への報告(速報は3〜5日以内、確報は期日内)
個人情報保護委員会への報告期日
- 要配慮個人情報(30日以内)
- 財産的被害が発生する恐れ場ある場合(30日以内)
- 不正アクセス等の故意によるもの(60日以内)
- 1,000名を超える場合(30日以内)
個人情報保護委員会への報告事項
- 概要
- 漏えい等が発生し、または発生したおそれがある個人データの項目 ・漏えい等が発生し、または発生した恐れがある個人データにかかる本人の数
- 原因
- 二次被害またはそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項(その他、個人情報保護委員会が事態を把握する上で参考となる事項)
個人情報漏えい補償制度の利用
個人データの適正な入手・管理を行っていたにも関わらず、紛失や悪意のある第三者によるサイバー攻撃などを含め、様々な要因で個人情報漏えい事故が発生するリスクがあります。
個人情報漏えい補償制度は、万一、個人情報漏えい事故が発生した際の備えとなる賠償責任保険です。
全国PTA連絡協議会の「サイバー・情報漏えい事故補償特約付統合賠償責任保険」は、全国PTA連絡協議会に登録のあるPTAの皆様は、団体契約扱いでの加入が可能です。
全国PTA連絡協議会の「サイバー・情報漏えい事故補償特約付統合賠償責任保険」は、全国PTA連絡協議会に登録のあるPTAの皆様は、団体契約扱いでの加入が可能です。
リスク低減に必要と考えられる対策
PTAでの個人情報の運用においても、目的外利用や同意なき第三者提供のおそれなどがあります。PTAとして安全管理措置を講じる責任がある中で、どこまでの対策を行うか、どこまでリスクを負うかはよく考える必要があります。
まず、はじめに、
運用面では、
- 個人情報運用ルールの明確化
- 運用ルールの遵守
- PTA会員への周知
- 関係者への研修
- 管理者の選定と取扱者の限定
- 日常のセキュリティー対策
- 誰がどの情報にアクセス可能なのかを把握
- 入手した個人情報は、いつ、誰からどのような目的と通知・公表手続きをして受け取ったかを把握
- 入手した個人情報を、いつ、誰が誰にどのような目的で渡したかを把握
より深い理解への参考資料
会員名簿を作るときの注意事項
個人情報保護委員会(内閣総理大臣の所轄に属する行政委員会)が2017年に公開した「会員名簿を作るときの注意事項」も参考になります。個人情報保護「法」と「条例」
「個人情報保護法」「個人情報保護条例」どちらも個人情報保護のおおむねの主旨や目的は同じですが、適用する対象によってそれぞれ別々で並列に立っているのが現状です。個人情報保護条例は、都道府県数であるの47のほか、各市区町村や一部事務組合等が制定しており相当数があります。
個人情報保護法
個人情報保護法は全国の民間の事業者に適用され、PTAも個人情報保護法の対象事業者です。個人情報保護条例
都道府県庁や市区町村役場、教育委員会、公立学校は地方自治体の定めた個人情報保護条例が適用されます。公立学校の実施機関は、県や市の教育委員会になりますので、それぞれが、各都道府県の個人情報保護条例や各市区町村の個人情報保護条例が適用されます。
出典:個人情報保護委員会 ガイドライン
個人情報保護法の制定、改正の詳細
2003年5月30日施行(2003年5月30日公布)
1980年にはOECDから個人情報保護の8原則が打ち出され、国際的にも個人情報保護の必要性が高まりました。日本でも個人情報保護に関する基本理念を定め、個人情報を取り扱う事業者が順守すべき義務等を定めた個人情報保護法が制定されました。
2017年5月30日施行(2015年9月9日公布)
- 個人情報取扱事業者の定義から5,000件以上の個人情報保有の要件を撤廃
- 個人情報に身体的特徴や役務利用・商品購入に関し割り当てられた符号が含まれることを明記
- 要配慮個人情報に関する規定の新設
- 匿名加工情報に関する規定の新設
- 利用目的の変更可能範囲の緩和
- 個人データの消去努力義務の新設
- オプトアウトの強化
- トレーサビリティ制度の新設
- 保有個人データの開示等の請求権の明確化
- 外国にある第三者への提供の制限の新設
- 個人情報保護委員会の新設
- 主務大臣による監督から、個人情報保護委員会による一元的な監督体制に変更
- 3年ごとの見直し規定
2022年4月1日施行(2020年6月12日公布)
3年ごとの見直し規定に基づく改正で、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。- 本人の請求権の拡大
- 事業者の責務の追加(個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設)
- 企業の特定分野を対象とする団体の認定団体制度が新設
- データ利活用の促進(仮名加工情報、提供先で個人データとなる情報の第三者提供)
- 法令違反に対する罰則が強化
- 外国の事業者に対する、報告徴収・立入検査などの罰則が追加
政府広報(政府インターネットテレビ)
個人情報保護のチェックポイント
個人情報保護法の概要
個人データの漏えい等事案と発生時の対応について
個人情報保護
