一般社団法人 全国PTA連絡協議会

PTAでの個人情報保護対策は大丈夫ですか?

適切な個人情報管理と組織運営を心がけ、PTA活動への信頼性を向上していきましょう。PTA規約や規則などの整備、運営体制の整備、万一の事故への対策など必要とされる対応を進めましょう。
作成:2023/05/03  更新:2024/01/27
facebookでシェア
LINEでシェア
Xでシェア
リンクをコピー

個人情報保護法とは

PTAも個人情報保護法の適用対象です!

個人情報の取り扱いについて定めている「個人情報保護法」は2017年に改正、2019年より施行されました。 同改正法には3年ごとに見直し規定が設けられ、これに基づき2020年にも改正され、同改正法は2022年4月1日から施行されています。
2017年の改正前は、5,000人以下の個人情報を取り扱う事業者は法の対象外とされていましたが、改正に伴って人数制限がなくなり、PTAも個人情報保護法の適用対象となりました。

そもそも個人情報とは何か?

個人情報 個人情報とは生存する個人に関する情報です。
当該情報に含まれる氏名、生年月日 その他の記述により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)を個人情報といいます。
つまり、氏名とか生年月日とか連絡先は特定の個人を識別するために用いられる情報ではありますが、この単体が個人情報というわけではありません。
たとえば姓だけでは誰かを特定できませんが、一覧表となっていたり、その姓に〇〇学校とか住所などのプロフィール情報が加われば、その人が誰であるかを特定可能となります。これが個人情報です。
個人情報保護でよく使う用語

個人情報データベース等

「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物をいいます。
コンピュータを用いて検索できるように体系的に構成したものや、紙面で処理した個人情報を一定の規則に従って整理・分類し、簡単に検索できるように目次や索引を付けているものが該当します。例えば、五十音順で整理された名簿などがこれに当たります。

個人データ

「個人情報データベース等」を構成する個人情報を「個人データ」といいます。例えば、名簿を構成する氏名・誕生日・住所・電話番号などの個人情報がこれに当たります。

保有個人データ

個人データのうち、個人情報取扱事業者が本人から請求される開示・訂正・削除などに応じることができる権限を有するものを「保有個人データ」といいます。

個人情報とプライバシー

個人情報とプライバシーは重なる部分もありますが、別物です。
[個人情報]生存する個人に関する識別情報
[プライバシー]私生活の情報で、知られたくないもので、知られていないもの

要配慮個人情報

個人情報保護法における要配慮個人情報とは人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実のほか、身体障害・知的障害・精神障害などの障害があること、医師等により行われた健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として逮捕等の刑事事件に関する手続が行われたこと、非行・保護処分等の少年の保護事件に関する手続が行われたことの記述などが含まれる個人情報です。
要配慮個人情報については、特に配慮を要するものとして一般的な個人情報とは異なる取扱いが必要です。

個人識別符号情報

改正により、以下の個人識別符号情報も個人情報に定義されました。
DNA情報や容貌など身体的特徴をデータ化した情報、旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー(個人番号)、健康保険証の被保険者記号や番号など

漏えい

個人データが外部に流出することをいいます。なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しません。
また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合も、漏えいには該当しません。

滅失と毀損

滅失とは、個人データの内容が失われることをいいます。なお、その内容と同じデータが他に保管されている場合は、滅失に該当しません。
また、個人情報取扱事業者が合理的な理由により個人データを削除する場合も、滅失には該当しません。
一方、毀損とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態になることをいいます。
なお、その内容と同じデータが他に保管されている場合は、毀損に該当しません。

罰則規定

2022年4月1日施行の改正個人情報保護保護法では、法令違反に対する罰則が強化され、個人情報取扱事業者であるPTAが法の定める義務に違反し、個人情報保護委員会の改善命令にも違反した場合、代表者に「1年以下の懲役または100万円以下の罰金」、虚偽報告等も「50万円以下の罰金」に改正されました。
要配慮個人情報
個人情報 個人情報保護法における要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実のほか、身体障害・知的障害・精神障害などの障害があること、医師等により行われた健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として逮捕等の刑事事件に関する手続が行われたこと、非行・保護処分等の少年の保護事件に関する手続が行われたことの記述などが含まれる個人情報です。
要配慮個人情報については、特に配慮を要するものとして一般的な個人情報とは異なる取扱いが必要です。 PTAで取得する個人情報は、漏えいなどのリスクも考慮して必要最小限にすることがポイントです。 PTAにおいては「要配慮個人情報」を取得しないように心がけましょう。
PTA活動の中で問題となるケースとしては、役員や委員の選出時などに家庭の状況や健康状態(要配慮個人情報に該当)を求める場合などが想定されます。

要配慮個人情報の例

  • 人種
  • 信条(宗教上の信仰や、政治的・思想的な主義など)
  • 社会的身分(被差別部落の出身・非嫡出子など、自らの力ではどうすることもできない地位のこと。単なる職業的地位や学歴は含まれない)
  • 病歴(病気に罹患した経歴)
  • 犯罪の経歴(有罪の判決を受け、それが確定した事実=前科)
  • 犯罪の被害にあった事実(刑事事件としての捜査が開始されたもの被害を受けた事実)
  • 身体障害・知的障害・精神障害等があること(障害に関する医師の診断結果、障害者手帳の交付を受けた事実、身体障害があることがわかる外見など一定の疾病があること、または過去にあったことを特定させる情報)
  • 健康診断等の結果( 健康診査、健康診断、特定健康診査、健康測定、ストレスチェック、診療の過程で行われたものを除く遺伝子検査、人間ドックの検査結果など本人の健康状態が判明する検査の結果)
  • 保健指導・診療・調剤に関する情報
  • 逮捕・差押えなどの刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
  • 少年の保護事件に関する手続が行われたこと
  • ゲノム情報

要配慮個人情報に当たらない例

要配慮個人情報に含まれるべき記述等を推知(推測して知ること)させるに過ぎない情報(=推知情報)は、要配慮個人情報に該当しません。
  • 肌の色(人種の推知情報)
  • 特定の宗教に関する本を購入したという購買履歴の情報(信条の推知情報)
  • 特定の政党が発行する新聞や機関誌等を購読しているという情報(信条の推知情報)
  • 犯罪行為を撮影した防犯カメラ映像(犯罪の経歴の推知情報)
PTAにおける個人情報保護対策実施状況の調査結果(2022年)
個人情報保護対策実施状況は地域や学校によって大きな差があるのが現状ですが、私たちPTAが目指すべきことは、適切な適切な個人情報管理と組織運営を心がけ、PTA活動への信頼を向上していくことで同じ目標です。
地域によって協議会や連合会などが主体となりわかりやすいマニュアルを用意するなどして、各PTAの規程整備や個人情報漏洩補償制度利用などの対策実施比率が高い自治体もあります。
個人情報
対策として多かったのは、
  • 個人情報(紙媒体)は鍵のかかるところに保管が 64.7%
  • プライバシーポリシーなどの規約作成が 59.7%
  • 個人情報(電子媒体)はパスワードなどで保護が 53.7%
となった。
個人情報

個人情報取扱における基本ルール

個人情報の取扱にあたっては、「取得・利用」「保管・管理」「提供」「開示等」の4つ観点からルールを守ることが必要です。

1.個人情報を取得・利用するとき

個人情報を取得・利用する時は、個人情報を何に使うか、あらかじめ利用目的を特定し、本人に伝え同意を得ることが必要です。 書面にて取得する場合、書面に「会員名簿の作成・会員へ資料配布」など利用目的を明確に記載することが必要です。
また、取得した個人情報は、記載した目的以外の利用は禁止されています。
  • 個人情報を取り扱うにあたっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。
  • 個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせなければなりません。
  • 個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用してはなりません。
  • 要配慮個人情報を取得するときはあらかじめ本人の同意が必要です。
  • 取得した個人情報は、利用目的の範囲で利用しなければなりません。
  • 取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要です。

2.個人データを保管・管理するとき

取得した個人情報を安全に管理、保管することが必要です。
  • 個人データの漏えい等が生じないように、安全に管理するために必要な措置を講じなければなりません。
  • 従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。
  • 個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告し、本人に通知する義務があります。
安全に管理するために必要な措置の具体例は、紙で管理している場合は、鍵のかかるキャビネットに保管する。パソコンで保管している場合は、ファイルにパスワードを設定する、セキュリティ対策ソフトを導入するなどの対策です。

3.個人データを第三者に提供するとき

個人情報を他人(本人以外の第三者)に渡す場合は、原則として本人の同意取得が必要です。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。
  • 第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があります。
    記録の保存期間は原則3年です。
  • 外国にある第三者に提供する際には、条件を満たす必要があります。

本人の同意取得が不要な場合

以下の1~3の場合は、本人の同意取得が不要です。
  1. 法令に基づく場合(警察からの照会など)
  2. 人の生命、財産を守る場合(災害発生時の安否確認)
  3. 業務委託先に提供する場合
    • 具体的には、名簿印刷時の業者への名簿提供や、書類送付時の配送業者への住所氏名提供など、利用目的を超えて第三者に提供するのではなく、利用目的を遂行するための委託に過ぎない場合
個人情報の提供や譲渡に関する注意

業務委託に提供する場合

個人情報保護の観点から委託先の選定を行い、個人情報が適切に管理されているか監督することが必要です。
具体的には、プライバシーマーク取得状況の確認、個人情報が適切に取り扱われているか口頭で確認する、情報の持ち出し禁止、委託された業務以外の利用禁止、返却や廃棄などについて記載した書面を渡す、などの対応です。

第三者に個人情報を提供した場合

提供先や日時、件数などを含め提供に関する記録を一定期間保管を行うことが必要です。
※業務委託先への提供時は不要です。

会員名簿などを作成して会員などに配布する場合

配布対象者には 紛失や盗難、転売禁止などの注意喚起を行うことは必須です。 例えば下記の様な記載が必要になります。
「この文書には個人情報が含まれています。本人の承諾なしに第三者に知らせることはできません。また、利用後は個人の責任において確実に廃棄いただきますようお願いします。」など
外国にある第三者に提供する際の条件 外国にある第三者に提供する際には、次のいずれかを満たす必要があります。
  1. あらかじめ本人の同意を得ること
    同意を得る際に、その外国の個人情報保護制度や、提供先が講じる保護措置などの情報を本人に提供する必要があります。
  2. 外国にある第三者が適切な体制を整備していること
    提供先における個人データの取扱い実施状況等の定期的な確認及び問題が生じた場合の対応の実施、更には本人の求めに応じて移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法に関する情報などを提供する必要があります。
  3. 外国にある第三者が個人情報保護委員会が認めた国又は地域に所在していること

4.本人から保有個人データの開示等を求められたとき

個人情報について、本人から開示や訂正、削除を求められた場合は、適切に対応することが必要です。
個人情報を収集時には、訂正等に関する問合せ先の記載も必要です。
  • 本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります。
  • 個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処する必要があります。
  • 「開示等について公表すべきこと]の内容を、ウェブサイトで公表するなど本人が知り得る状態にしておかなければなりません。
  • 第三者に個人データを提供した記録も開示請求の対象となります。
  • 保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要があります。
開示等に関してあらかじめ公表しておくべきこと 以下の内容を、ウェブサイトで公表するなど本人が知り得る状態にしておかなければなりません。PTAの場合は、関係者が限定されているので、総会資料などでの周知が考えられます。
  1. 個人情報取扱事業者の氏名又は名称、住所
  2. 全ての保有個人データの利用目的
  3. 保有個人データの利用目的の通知の求め又は開示などの請求手続
  4. 保有個人データの安全管理のために講じた措置
  5. 保有個人データの取扱いに関する苦情の申出先
第三者提供の停止を請求できるケースとは? 改正法の施行前は、本人が保有個人データの利用停止、消去、第三者への提供の停止を請求できるのは、個人情報取扱事業者が個人情報を不正取得した場合など、一定の個人情報保護法違反の場合に限られていました。
法改正によって、次のような場合にも、本人から利用停止などの請求が可能となりましたので、適切な対応が必要です。
  1. 個人データを利用する必要がなくなったとき
  2. 個人情報保護委員会への報告義務がある重大な個人データの漏えい等の事案が発生したとき
  3. 本人の権利又は正当な利益が害されるおそれがあるとき

PTAにおける個人情報保護対策は?

1.規約や規則などの整備

わたしたち○○PTAは、個人情報保護法を遵守して、適切に個人情報を収集し利用しています!と宣言できる適切なルールを整備し、PTAとして組織運営に対する信頼の向上に努めましょう。

1.個人情報取扱規則の制定

PTAとして「個人情報取扱規則」を作成し、個人情報の取得・利用・保管・譲渡などの方法を明確にすることが必要です。
明文化することで、役員や委員だけでなく、会員を含めたPTA関係者全員の個人情報保護に関する理解が進み、組織の運営に対する信頼の向上にもつながります。
記事
個人情報保護 テンプレート ≫
個人情報取扱規則の制定

2.PTA規約の改定

PTA規約などに「個人情報取扱規則」を制定した旨を追加記載することが必要です。
記事
個人情報保護 テンプレート ≫
PTA規約の改定

3.個人情報保護方針の制定

個人情報保護方針とは、個人情報の取扱い方法やプライバシーにどのように配慮しているかを示すための指針のことです。 個人情報保護方針の制定する場合には、保有している個人情報の把握と利用目的の明確化が必要となります。
基本方針の策定は、義務ではありませんが、個人データの適切な取扱いの確保について組織として取り組むために、策定することが重要です。なお、基本方針を策定した場合に、これを公表することを義務付けるものではありません。
個人情報保護方針の制定にあたっては、下記の様な配慮が望まれます。
  • PTA関係者が入手できる方法で公表する
  • ホームページなどでは、目につきやすい場所にリンクを貼る
  • 分かりやすい表現で
  • 問い合わせ先は必ず明示する
記事
個人情報保護 テンプレート ≫
個人情報保護方針の制定
個人情報保護方針とプライバシーポリシー プライバシーポリシーという一つの大きな枠組みがあり、その中の一つに個人情報保護方針があるとったイメージです。プライバシーポリシーの中には、個人情報保護方針やその他サービスごとの個人情報の取扱いについて等個人情報に関するあらゆる内容が書かれています。
PTAでは、個人情報保護法で基本方針を策定することが求められているものの、定める項目にはっきりした決まりもないし、基本方針の名称も決まっていないので、特に違いはないと考えて良いでしょう。

個人情報保護方針

個人情報保護方針とは、その事業者が個人情報の保護を推進する上での基本的な考え方や方針を定めたものです。 簡単に言うと、「個人情報を守るために組織や団体でどういったことをしていくかを示したもの」です。
プライバシーマーク制度では個人情報保護方針の策定・公表が求められている為、プライバシーマークの認定を受けた事業者は必ず個人情報保護方針を公表していますが、認定を受けていない事業者は、個人情報保護方針の掲載を求められていません。

プライバシーポリシー

プライバシーポリシーとは、個人情報保護方針の内容に限らず、プライバシーの権利利益を保護するための個人情報の取扱方針をまとめたものです。
個人情報保護方針と違い、含める項目に決まりはないので内容は様々です。
例えば、個人情報の取扱い方法はもちろんですが、SNSを利用する際のルールを記載しても構いません。
プライバシーポリシーは、プライバシー情報の取り扱い方針をわかりやすく明示することによって、利用者の不安を和らげるという役割を担っています。

2.運営体制の整備

子どもに関する個人情報保護に対する保護者の関心も高まりつつあり、取得の同意はもちろん利用目的明示などの適切な説明と厳格な情報管理対策が必要な時代です。
法律を遵守し、情報漏えい事故が起きないよう、適切な情報管理と組織運営を心がけましょう。

1.PTA会員への周知

「個人情報取扱規則」「PTA規約」の改定などが終わったら、役員や委員だけでなく、PTA関係者全てに総会資料やホームページ、広報紙などを利用して「個人情報取扱規則」の周知を行います。

2.関係者への研修

個人情報保護法では、研修を行うことが求められていますので、研修をルール化しておきましょう。 具体的な研修方法としては、以下の様なものでも個人情報保護法の理念実現となります。
対象:
個人情報の取扱者及び役員、委員長
日程:
年度はじめの会議
内容:
政府広報の、個人情報保護のチェックポイント ≫ の視聴(4分9秒の動画)
PTAで整備した「個人情報取扱規則」などを用いての説明など

3.セキュリティー対策の実施

各PTAの実情にあわせて、柔軟な管理方法を考えてください。
個人情報保護管理者による定期的な運用状況の確認は大切です。
  • 紙媒体は、施錠できるところに保管する。
  • 利用する端末のOSを最新状態に保つ。
  • 利用する端末にセキュリティソフトを導入し最新状態に保つ。
  • 電子データは、パスワードの設定し管理をする。
  • 個人データへのアクセス権は、個人情報の取り扱い権限に応じた管理をする。
  • 個人データの持ち出し、電子メール添付時などには、パスワードを設定するなど適切な管理をする。
  • アカウントやパスワード使い回しの禁止する。
  • 個人情報アクセス担当者は最小限の人数で運用する。
  • 4.管理者の選定と取扱者の限定

    安全管理 個人情報の取り扱いにあたっては、 個人情報管理者を選定した上で、取扱者を限定した方が、管理体制的にはより安全と考えられます。
    ただし、取扱者を限定するだけでは十分な監督とならないため、仮に取扱者がPTA役員でも管理体制を定期的にチェックするなどの体制を整備し、取扱者を監督する必要があります。
    具体的には、3ヶ月に1度、管理責任者として会長が情報管理体制(誰が・いつ・どこで・どのように)をチェックするなどです。
    管理責任者の選任は、会長だけでなく、副会長や他の役員でもかまいません。
    管理責任者によるチェックは、以下のような点を客観的に評価することです。評価チェックのシートなどを残しておくと、万一の事故の際にも、適切な運用を行っていた記録になります。
    • 保有・管理する個人情報の件数や利用状況に関する確認
    • PTAで定めたセキュリティー対策が適切に運用されているかを確認
    • ログなどを利用可能な場合、外部からの不正アクセスがなどがないかを確認
    • ポータブル記憶媒体など利用している場合は、持ち出し記録などを確認

    3.万一の事故への対策

    個人データの適正な入手・管理を行っていたにも関わらず、紛失や悪意のある第三者によるサイバー攻撃などを含め、様々な要因で個人情報漏えい事故が発生するリスクがあります。

    事故対応に関するルール化

    漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。漏えい時の個人情報保護委員会への報告手順についてのマニュアル化など、万一に備えてのルール決めが望まれます。

    個人情報漏えい補償制度の利用

    個人データの適正な入手・管理を行っていたにも関わらず、紛失や悪意のある第三者によるサイバー攻撃などを含め、様々な要因で個人情報漏えい事故が発生するリスクがあります。
    個人情報漏えい補償制度は、万一、個人情報漏えい事故が発生した際の備えとなる賠償責任保険です。
    全国PTA連絡協議会の「サイバー・情報漏えい事故補償特約付統合賠償責任保険」は、全国PTA連絡協議会に登録のあるPTAの皆様はは、団体契約扱いでの加入が可能です。
    記事
    万一の個人情報漏えい事故に備えた団体補償制度
    個人情報漏えい補償制度 ≫

    PTAで生じる可能性のある個人情報漏えい事故(例)

    mood_bad
    会員リストを保存したUSBメモリを紛失してしまった。
    mood_bad
    車の中にカバンを置いたままにし、個人情報を記載した名簿が車上荒らしに遭い盗難された。
    mood_bad
    PTA会員が自宅で作業をするためノートパソコンを持って帰る途中、電車内に置き忘れてしまい、PTA会員の個人情報が漏えいしたことにより損害賠償請求を受けた。
    mood_bad
    PTA所有のパソコンにウィルスが混入。PTA会員の個人情報が漏えいしたことによる損害賠償責任を負うと同時に不正プログラムの除去費用が発生した。
    mood_bad
    PTAで利用しているセキュリティ監視サービスによりサイバー攻撃のおそれを検知したため、外部業者に調査を依頼。
    mood_bad
    PTA会員の個人情報が流出してしまったため、賠償責任を負うと同時にサイトの復旧費用が発生した。

    個人情報取得方法に応じた体制整備

    各PTAにおける現在の個人情報取得方法に応じた体制の整備をしましょう。
    • 個人情報を取り扱うためには本人の同意を得る必要があります。
    • 取得する個人情報はPTAの活動に必要な最小限の内容にします
    • 個人情報を取得するには、PTAへの入会の意思確認とともに個人情報の提供を直接受けることが望ましい形です。
    • Googleフォームなどオンラインで手続きを行うケースもありますが、個人情報保護対策を講じた上での利用が必須です。また、紙の申込書との併用も選択肢に入れましょう。

    1.入会申込書を利用しているPTA

    入会案内書類の配布時に「個人情報取扱規則」の配布や提示を推奨します。
    また、ホームページを利用している場合は「個人情報取扱規則」や「個人情報取扱いに関する基本方針(プライバシーポリシー)」の掲載もお勧めします。
    PTAの「入会申込書」は、新1年生の保護者に配布されるのが一般的です。
    2年生以上の在校生保護者には「継続届」を配布する形式が望ましい形です。
    以下は、「入会申込書」への記入項目例です。(4)〜(6)は保護者のみの記入項目です。
    (1)
    入会する保護者や教職員の姓名
    (2)
    連絡先電話番号
    (3)
    連絡先メールアドレス
    (4)
    児童・生徒の姓名・学年と組
    (5)
    同じ学校に在籍する兄弟姉妹の姓名・学年と組
    (6)
    PTA会費の徴収を学校に委託することへの同意、または説明
    ※PTA会費の徴収を学校に委託している場合のみ
    記事
    個人情報保護 テンプレート ≫
    PTA入会に関する書類(例)

    2.PTA業務の一部を学校に委任している場合

    PTA規約などで、PTA団体が権利能力なき社団として要件を満たしていることが前提です。
    また。PTAが外部(学校)と契約を締結する場合は、自然人であるPTA会長が「PTA会長」という肩書き付きで契約当事者になります。
    コラム
    PTAは権利能力なき社団
    PTAの法的側面 ≫
    記事
    契約当事者としてのPTA
    PTAの法的側面 ≫
    学校への業務委託 PTA会費徴収や預貯金通帳の保管など、PTAに関する業務の一部を学校に委任している場合には、業務委託契約(準委任契約)を作成するなど、PTAから学校へ委任内容を明確にしておく事が重要です。
    PTAが取得した個人情報(会員情報)を学校(第三者)に提供しない限り、学校によるPTA会費徴収は不可能です。
    学校への個人情報の提供は、個人情報保護法における第三者提供の例外規定となる業務委託であることを明確にしておくこと必要です。

    学校に集金を依頼する際に注意すべきポイント

    業務委託契約は、PTA総会などで学校に業務を委託することについて保護者の同意を得てから手続きするようにしましょう。 契約後は、下記2点について保護者から事前に同意を取るようにしましょう。

    1. 学校への業務委託

    PTAの「入会申込書」に「PTA会費の引き落としを学校に委託することに同意する」などの項目を設けて、保護者の確認を取っておきましょう。
    仮に事前の説明なく、学校徴収金と一緒にPTA会費を徴収した場合、PTAが強制加入であるかのような誤解を招きかねません。 こうした誤解を避けるためにも、「入会申込書」には、PTA加入意向とともに、学校への業務委託についても同意を取るようにしましょう。

    2. 個人情報の取り扱い

    業務委託に際しては、PTAが取得した個人情報を学校へ提供することについて、保護者の確認を取っておきましょう。具体的には、「入会申込書」に個人情報の利用目的(PTA会費徴収)と学校に業務委託する旨を記載しておく対応です。
    業務委託契約(準委任契約)とは 委託者が発注者の業務を第三者である受託者に実施してもらう場合、業務委託契約を締結します。民法上の委任・準委任・請負のいずれかを問わず、広く「業務委託契約」という名称が使用されることが多いですが、同じ「業務委託契約」という名称であっても、その実態が、委任・準委任であるか請負であるかによって、受託者(ここでは学校)の負う義務の性質が変わります。

    委任契約とは

    委任契約は、 当事者の一方が法律行為をすることを相手方に委託し、相手方がこれを承諾することによって、その効力を生じる契約です(民法643条、旧民法643条)。

    委任契約と準委任契約の違い

    委任契約と準委任契約との違いは、 委任契約は、法律行為を委託する契約であるのに対し、準委任契約は、事実行為(事務処理)の委託をする契約です。
    法律行為の例としては、契約を締結するための意思表示における代理人契約等があげられえます。
    一方の事実行為は、理論上は無限に想定しえます。たとえば、セミナーでの講演、広告宣伝業務、調査業務などです。これらを事実行為(事務処理)委託する契約は、準委任契約と整理されます。
    実際の取引においては、委任契約よりも、準委任契約の方が、広く用いられている契約形態であると考えられます。

    委任契約と請負契約の違い

    請負契約は、当事者の一方がある仕事を完成させることを約し、相手方がその仕事の結果に対して報酬を支払うことによってその効力を生じる契約です。
    委任契約(準委任契約)との最大の違いは、 請負契約は、仕事の完成が、契約内容となっている点です。
    たとえば、セミナー講師を受託し、セミナーのアンケートによる評価が悪くても契約違反になりません。
    よくある誤解として、「委託者は、請負にした方が有利であり、受託者は準委任にした方が有利であるため、可能な限り、このように交渉するべき」というものがありますが、あくまでも、請負に該当するのは仕事の完成を約するもの、準委任に該当するのは善管注意義務をもって事務処理を約するものです。
    PTA会費徴収に関しては、以下のような性質があり、準委任契約に親和的と考えられます。
    • 達成するべき結果を明確にすることが難しい。
    • 達成するべき結果は、受託者が適切な業務提供をしても達成できないことがあり得る。

    3.PTAが学校から児童・生徒や保護者の名簿提供を受けている場合

    都道府県や市区町村の「個人情報保護に関する条例」では、教育委員会(学校)は、保有する個人情報を利用目的以外のために第三者に提供してはならないと規定されている場合が一般的です。
    公立学校の実施機関である各自治体の「個人情報保護に関する条例」を確認してください。
    こうした条例がある場合、本人の同意を得ずに、学校からPTAに対して児童・生徒や保護者名簿(個人情報)を 提供することは、条例違反となる可能性があります。
    学校側から保護者に対して、学校の保有する個人情報をPTAに提供することについて同意を得るなどの対応が重要です。具体的には「学校における個人情報の取扱いならびに使用の同意について」などのの同意書に「学校の保有する個人情報をPTAに提供します」の項目を記載しておく対応です。
    記事
    個人情報保護 テンプレート ≫
    個人情報の取扱いならびに使用の同意について

    個人データの漏えい等事案の種類

    漏えい等の事案の発生または発生したおそれ

    漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者(PTA)は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。

    1.要配慮個人情報の漏えい等

    PTA活動においては、要配慮個人情報の取得は推奨できません。
    一般的な事例としては、従業者の健康診断等の結果を含む個人データが漏えいした場合などが該当します。

    2.財産的被害のおそれがある漏えい等

    PTA活動においては、該当するケースはないと思います。
    一般的な事例としては、クレジットカード番号を含む個人データが漏えいした場合や、決済機能のあるウェブサービスのログインIDとパスワードを含む個人データが漏えいした場合などが該当します。

    3.不正の目的によるおそれがある漏えい等

    安全管理 PTA活動においても注意しなくてはいけない漏えい等の事例です。
    • 不正アクセスにより個人データが漏えいした場合
    • ランサムウェアなどにより個人データが暗号化され復元できなくなった場合
    • マルウェアに感染したコンピュータに不正な指令を送り、IPアドレス等への通信が確認された場合
    • 不正検知を行う専門家等の第三者から漏えいのおそれについて連絡を受けた場合
    • 関係者が個人データを不正に持ち出して第三者に提供した場合
    • 個人データが記載又は記録された書類・媒体などが盗難された場合

    4.1,000人を超える個人データの漏えい等

    メール配信を行う際、個人データであるメールアドレスを本来はBCC欄に入力して送信すべきところ、誤ってCC欄に入力して1,000人を超える方々へ一斉送信した場合
    上記「メール配信を行う際、1,000人を超える個人データの漏えい等」以外の項目は、1件でも漏えい等の事態が発生したら報告と通知の対象となります。
    これまでは、個人情報保護委員会への報告や本人への通知は努力義務でしたが、法改正により2022年4月からは義務となりました。
    これにより、個人が漏えい等の事態の発生を早く知ることができ、個人情報取扱事業者(PTA)に対し、自らの個人情報の利用停止や消去などを請求しやすくなります。
    漏えいとは、個人データが外部に流出することをいいますが、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えい事案に該当しません。

    個人データの漏えい等が発生したときは?

    漏えい時の個人情報保護委員会への報告

    個人情報保護委員会のHP 個人情報保護法等 漏えい等の対応とお役立ち資料 ≫ には、個人情報保護委員会への報告先のほか、漏えい等に関する対応についての詳しい情報があります。
    個人情報保護委員会とは、個人情報の適切な管理と利活用を監督する政府機関で、内閣府外局として2016年(平成28)に発足しました。公正取引委員会などと同じ独立性の高い三条委員会で、事業者への立入検査や勧告・命令権限を持っています。

    漏えいが発覚した場合に対応すべきこと

    マニュアル化など、万一に備えてのルール決めが望まれます。
    • 事業者内部における報告及び被害の拡大防止
    • 事実関係の調査及び原因の究明
    • 影響範囲の特定
    • 再発防止策の検討及び実施
    • 本人への通知
    • 個人情報保護委員会への報告(速報は3〜5日以内、確報は期日内)

    個人情報保護委員会への報告期日

    1. 要配慮個人情報(30日以内)
    2. 財産的被害が発生する恐れ場ある場合(30日以内)
    3. 不正アクセス等の故意によるもの(60日以内)
    4. 1,000名を超える場合(30日以内)
    個人情報保護委員会への報告事項
    • 概要
    • 漏えい等が発生し、または発生したおそれがある個人データの項目 ・漏えい等が発生し、または発生した恐れがある個人データにかかる本人の数
    • 原因
    • 二次被害またはそのおそれの有無及びその内容
    • 本人への対応の実施状況
    • 公表の実施状況
    • 再発防止のための措置
    • その他参考となる事項(その他、個人情報保護委員会が事態を把握する上で参考となる事項)

    個人情報漏えい補償制度の利用

    個人データの適正な入手・管理を行っていたにも関わらず、紛失や悪意のある第三者によるサイバー攻撃などを含め、様々な要因で個人情報漏えい事故が発生するリスクがあります。
    個人情報漏えい補償制度は、万一、個人情報漏えい事故が発生した際の備えとなる賠償責任保険です。
    全国PTA連絡協議会の「サイバー・情報漏えい事故補償特約付統合賠償責任保険」は、全国PTA連絡協議会に登録のあるPTAの皆様は、団体契約扱いでの加入が可能です。
    記事
    万一の個人情報漏えい事故に備えた団体補償制度
    個人情報漏えい補償制度 ≫

    リスク低減に少なくとも必要と考えられる対策

    PTAでの個人情報の運用においても、目的外利用や同意なき第三者提供のおそれなどがあります。PTAとして安全管理措置を講じる責任がある中で、どこまでの対策を行うか、どこまでリスクを負うかはよく考える必要があります。
    まず、はじめに、
    • 個人情報運用ルールの明確化
    • 運用ルールの遵守
    • PTA会員への周知
    • 関係者への研修
    • 管理者の選定と取扱者の限定
    運用面では、
    • 日常のセキュリティー対策
    • 誰がどの情報にアクセス可能なのかを把握
    • 入手した個人情報は、いつ、誰からどのような目的と通知・公表手続きをして受け取ったかを把握
    • 入手した個人情報を、いつ、誰が誰にどのような目的で渡したかを把握

    個人情報保護 FAQ

    以下は、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」 に関するQ&Aからの抜粋です。
    姓名のみでも個人情報に含まれますか。
    姓名のみであっても、社会通念上、特定の個人を識別することができるとされていますので、「個人情報」に含まれると考えられます。
    「姓名だけなら個人情報にはならないから出欠表は大丈夫」といった感覚もありますが、姓名だけの一覧表も、個人情報としてルール通りに管理しなければならない情報ということになります。
    更新:2023年5月2日
    住所や電話番号だけで個人情報に該当しますか。
    個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
    更新:2023年5月2日
    メールアドレスだけでも個人情報に該当しますか。
    メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例:kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。
    これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
    更新:2023年5月2日
    文書作成ソフトで議事録を作成しました。議事録には会議出席者の氏名が記録されており、文書作成ソフトの検索機能を用いれば、特定の個人を検索することが可能です。この議事録は個人情報データベース等に該当しますか。
    文書作成ソフトで作成された議事録は、会議出席者の氏名が記録されているとしても、特定の個人情報を検索することができるように「体系的に構成」されているものとはいえないため、個人情報データベース等には該当しないと解されます。
    更新:2023年5月2日
    民生委員・児童委員が個人情報を取り扱う場合、個人情報取扱事業者として個人情報保護法の規制を受けるのですか。
    民生委員・児童委員は非常勤・特別職の地方公務員であり、法第16条第2項第2号における「地方公共団体」の職員に当たることから、民生委員・児童委員として活動する範囲内では個人情報取扱事業者から除かれています。なお、民生委員・児童委員には民生委員法第15条等により守秘義務が課されています。
    更新:2023年5月2日
    PTAが学校から生徒等に関する個人情報を取得する場合、どういった点に注意すればよいですか。
    PTAが名簿を作成しようとする場合、本人にその利用目的を通知・公表し、本人から取得した個人情報をその利用目的の範囲内で利用することが可能です。
    なお、学校による個人情報(個人データ又は保有個人情報)の第三者提供については、私立学校又は国立の学校の場合には個人情報保護法が、公立の学校の場合には地方公共団体の条例が適用され、それらの規定に基づいて適切に取り扱うことが求められます。
    更新:2023年5月2日
    私立学校、自治会・町内会、同窓会、PTA等が本人から書面で提出を受けた個人情報を利用して名簿を作成し、配布する場合はどのようにすればよいですか。
    私立学校、自治会・町内会、同窓会、PTA等は本人に対し利用目的を明示した上で、個人情報を取得し、名簿を作成することが可能です。名簿を配布するなど、本人以外の者に個人データを提供する場合には、原則として、本人の同意を得る必要があります。 例えば、掲載されている全員に配布する名簿を作成し、クラス内で配布するなど利用目的及び提供先を明示し、同意の上で所定の用紙に個人情報を記入・提出してもらう方法などが考えられます。
    更新:2023年5月2日
    個人情報を取り扱う件数が少ないPTAも個人情報取扱事業者に該当しますか。
    個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します。児童・生徒数にかかわらずPTAも個人情報取扱事業者に該当することとなります。
    更新:2023年5月2日
    本人に対して、一定期間内に回答がない場合には同意したものとみなす旨の電子メールを送り、当該期間を経過した場合に、本人の同意を得たこととすることはできますか。
    本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。したがって、一定期間回答がなかったことのみをもって、一律に本人の同意を得たものとすることはできません。
    更新:2023年5月2日
    同意は、本人の明示的な意思表示を受ける方法によらなければなりませんか。
    同意は、本人による承諾の意思表示をいいますので、「明示の同意」以外に「黙示の同意」が認められるか否かについては、個別の事案ごとに、具体的に判断することとなります。
    更新:2023年5月2日
    何歳以下の子どもについて、同意をしたことによって生ずる結果を判断できる能力を有していないものとして、法定代理人等から同意を得る必要がありますか。
    法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には12歳から15歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます。
    更新:2023年5月2日
    「遅滞なく消去する」とは、具体的にどのような期間で消去することを求めていますか。
    「遅滞なく」が示す具体的な期間は、個人データの取扱状況等により異なり得ますが、業務の遂行上の必要性や引き続き当該個人データを保管した場合の影響等も勘案し、必要以上に長期にわたることのないようにする必要があると解されます。他方で、事業者のデータ管理のサイクル等、実務上の都合に配慮することは認められます。
    更新:2023年5月2日
    個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか
    次のような事例が考えられます。
    事例1)個人データを含むメールを第三者に誤送信した場合において、当該第三者が当該メールを削除するまでの間に当該メールに含まれる個人データを閲覧していないことが確認された場合
    事例2)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合
    なお、上記の事例において、誤送信先の取扱いやアクセスログ等が確認できない場合には、漏えい(又は漏えいのおそれ)に該当し得ます。
    更新:2023年5月2日
    個人データが記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、漏えいに該当しますか。
    「個別の事例ごとに判断することとなりますが、個人データが記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、漏えい(又は漏えいのおそれ)に該当すると考えられます。なお、社内で紛失したままである場合には、滅失(又は滅失のおそれ)に該当すると考えられます。
    更新:2023年5月2日
    個人データである銀行口座情報(金融機関名、支店名、預金種別、口座番号、口座名義等)のみが漏えいした場合「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しますか。
    個人データである銀行口座情報のみの漏えいは、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当しないと考えられます。なお、銀行口座情報がインターネットバンキングのログインに用いられている場合であって、銀行口座情報とインターネットバンキングのパスワードの組合せが漏えいした場合には、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。
    更新:2023年5月2日
    一般的には「削除」と「消去」は同じ意味と考えられますが、保有個人データを削除すべき場合(法第34条)と消去すべき場合(法第35条)の違いは何ですか。
    法第34条は、保有個人データの内容が事実ではない場合について規定しており、他方、法第35条は、保有個人データが法第18条若しくは第19条の規定に違反して取り扱われている場合又は法第20条の規定に違反して取得されたものである場合について規定しており、その適用場面が異なります。
    なお、「削除」とは、不要な情報を除くことであり、他方、「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。
    更新:2023年5月2日
    基本方針の策定は義務ですか。またこれを公表することは義務ですか。
    基本方針の策定は、義務ではありませんが、個人データの適切な取扱いの確保について組織として取り組むために、策定することが重要です。なお、基本方針を策定した場合に、これを公表することを義務付けるものではありません。
    更新:2023年5月2日
    クラウドサービスの利用が、法第27条の「提供」に該当しない場合、クラウドサービスを利用する事業者は、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。
    クラウドサービスの利用が、法第27条の「提供」に該当しない場合、法第25条に基づく委託先の監督義務は課されませんが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
    更新:2023年12月15日
    クラウドサービス提供事業者が、特定個人情報を取り扱わないこととなっている場合において、報告対象となる特定個人情報の漏えい等が発生したときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれぞれ報告義務を負いますか。
    クラウドサービス提供事業者が、特定個人情報を取り扱わないこととなっている場合において、報告対象となる特定個人情報の漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。
    この場合、クラウドサービス提供事業者は、番号法第29条の4第1項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。
    更新:2023年12月15日
    外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか。
    当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 24条)に該当しません。
    当該サーバに保存された個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
    更新:2023年12月15日
    外国にある事業者が運営するクラウドを利用していますが、サーバは国内にある場合、外国にある第三者への提供に該当しますか。
    当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱っている場合には、サーバが国内にある場合であっても、外国にある第三者への提供(法第28条第1項)に該当します。
    ただし、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを日本国内で取り扱っており、日本国内で個人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供(法第28条第1項)に該当しません。
    なお、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第28条第1項)に該当しません。
    更新:2023年12月15日
    個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。
    または、「個人データの取扱いの全部又は一部を委託」(法第27条第5項第1号)しているものとして、法第25条に基づきクラウドサービス事業者を監督する必要がありますか。
    クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
    当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
    また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第27条第5項第1号)にも該当せず、法第25条に基づきクラウドサービス事業者を監督する義務はありません。
    当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
    更新:2023年12月15日
    「外的環境の把握」について、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。
    また、この場合、「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)として、どのような事項を本人の知り得る状態に置く必要がありますか。
    外国にある第三者の提供するクラウドサービスを利用する場合において、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの第三者への「提供」には該当しませんが、個人情報取扱事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
    この場合、個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。日本国内に所在するサーバに個人データが保存される場合においても同様です。
    かかる場合には、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
    他方、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、
    1. サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。
    2. 本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。
    更新:2023年12月15日
    更新:2023年12月15日
    出典:個人情報保護委員会 ガイドラインに関するQ&A ≫

    より深い理解への参考資料

    会員名簿を作るときの注意事項(PDF)
    名簿作成 個人情報保護委員会(内閣総理大臣の所轄に属する行政委員会)が2017年に公開した「会員名簿を作るときの注意事項」も参考になります。
    自治会・同窓会というPTAと似たレベルの組織体に対して、名簿作成時にどのような注意が必要かがまとめられている資料です。
    どのような点に注意して個人情報を扱うべきかについての下記情報が記載されています。
    • 個人情報を集める、保管するときのルール
    • 個人情報を第三者に提供するときのルール
    • 個人情報保護法に関するQ&A
    個人情報保護「法」と「条例」
    「個人情報保護法」「個人情報保護条例」どちらも個人情報保護のおおむねの主旨や目的は同じですが、適用する対象によってそれぞれ別々で並列に立っているのが現状です。
    個人情報保護条例は、都道府県数であるの47のほか、各市区町村や一部事務組合等が制定しており相当数があります。

    個人情報保護法

    個人情報保護法は全国の民間の事業者に適用され、PTAも個人情報保護法の対象事業者です。

    個人情報保護条例

    都道府県庁や市区町村役場、教育委員会、公立学校は地方自治体の定めた個人情報保護条例が適用されます。
    公立学校の実施機関は、県や市の教育委員会になりますので、それぞれが、各都道府県の個人情報保護条例や各市区町村の個人情報保護条例が適用されます。
    ガイドライン
    出典:個人情報保護委員会 ガイドライン
    個人情報保護法の制定、改正の詳細

    003年5月30日施行(2003年5月30日公布)

    1980年にはOECDから個人情報保護の8原則が打ち出され、国際的にも個人情報保護の必要性が高まりました。
    日本でも個人情報保護に関する基本理念を定め、個人情報を取り扱う事業者が順守すべき義務等を定めた個人情報保護法が制定されました。

    2017年5月30日施行(2015年9月9日公布)

    • 個人情報取扱事業者の定義から5,000件以上の個人情報保有の要件を撤廃
    • 個人情報に身体的特徴や役務利用・商品購入に関し割り当てられた符号が含まれることを明記
    • 要配慮個人情報に関する規定の新設
    • 匿名加工情報に関する規定の新設
    • 利用目的の変更可能範囲の緩和
    • 個人データの消去努力義務の新設
    • オプトアウトの強化
    • トレーサビリティ制度の新設
    • 保有個人データの開示等の請求権の明確化
    • 外国にある第三者への提供の制限の新設
    • 個人情報保護委員会の新設
    • 主務大臣による監督から、個人情報保護委員会による一元的な監督体制に変更
    • 3年ごとの見直し規定

    2022年4月1日施行(2020年6月12日公布)

    3年ごとの見直し規定に基づく改正で、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。
    • 本人の請求権の拡大
    • 事業者の責務の追加(個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設)
    • 企業の特定分野を対象とする団体の認定団体制度が新設
    • データ利活用の促進(仮名加工情報、提供先で個人データとなる情報の第三者提供)
    • 法令違反に対する罰則が強化
    • 外国の事業者に対する、報告徴収・立入検査などの罰則が追加
    政府インターネットテレビ(動画)による政府広報です。
    個人情報保護のチェックポイント(約4分)
    個人情報保護 4分9秒の政府広報動画 ≫ です。
    個人情報を取り扱う組織や団体において知ってほしい個人情報保護のチェックポイントをご紹介されています。
    ナレーション:貫地谷しほり
    個人情報保護法の概要(約45分)
    個人情報保護 45分8秒の政府広報動画 ≫ です。
    2020年の改正個人情報保護法の全面施行を受けた、個人情報保護法の概要について説明している動画です。
    用語解説から個人情報取扱事業者が個人情報を取り扱う際の義務まで丁寧に解説しています。
    個人データの漏えい等事案と発生時の対応について(約28分)
    個人情報保護 2020年の改正個人情報保護法の全面施行により、個人データの漏えい等が発生し個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告及び本人への通知が義務化されました。
    28分5秒の政府広報動画 ≫ です。
    動画では、私たちが疑問に思っていることを分かりやすい解説で紹介しています。
    • 個人の権利利益を害するおそれがある場合とは?
    • 報告の方法は?
    • そもそも「漏えい等」って何?
    • 漏えい等が発生した場合に何をすればいいの?
    • どのように本人へ通知すればいいの? など
    サイト内の関連情報

    個人情報保護対策

    記事
    個人情報保護法適用団体として必要な対策
    個人情報保護 PTAでの対策は ≫
    記事
    個人情報取扱規則や個人情報保護方針の制定
    個人情報保護 テンプレート ≫
    記事
    入会申込書や個人情報取り扱い、会費徴収など
    PTA入会書類 テンプレート ≫

    補償制度

    記事
    万一の個人情報漏えい事故に備えた団体補償制度
    個人情報漏えい補償制度 ≫

    運営チェックリスト

    記事
    任意加入、意思確認、個人情報保護、PTA運営等
    運営チェックリスト ≫
    記事
    入力いただいた回答は集計結果として即時反映
    運営チェックリスト アンケート版 ≫

    サイバーセキュリティ

    コラム
    ネット利用時に推奨される基本的なセキュリティ
    サイバーセキュリティ対策 ≫
    コラム
    SNS利用時の注意点、不正サイトや詐欺サイト等
    ネット上のプライバシー情報管理 ≫
    コラム
    ブログ、SNSの注意点、迷惑行為等トラブル対策
    ネット上に情報発信をする時は ≫
    コラム
    インターネット対応情報端末、利用時の注意点
    スマホやタブレットの安全な利用 ≫
    コラム
    メール、ファイル共有などのリスクと対策
    ネットサービスのリスクと対策 ≫
    コラム
    ウイルス、犯罪、事故などのリスクや対策
    ウィルスや不正アクセスへの対策 ≫
    全国PTA連絡協議会からのご案内
    • 園児•児童•生徒 総合補償制度に関する変更のご案内(2024年4月1日) ≫
    • PTA保険(PTA総合補償制度)につきまして、ご要望の多かった現契約の代替について、PTA単位での個別対応が可能となりました。お困りの場合は、当協議会にお気軽にご相談ください。お問い合わせ ≫
    facebookでシェア
       
    LINEでシェア
       
    Xでシェア
       
    リンクをコピー
    全国PTA連絡協議会は、本サイト等の内容およびご利用者様が本サイトを通じて得る情報等について、その正確性、完全性、有用性、最新性、適切性、確実性、動作性等、その内容について何ら法的保証をするものではありません。当サイトに掲載されている情報を利用することで発生した紛争や損害に対し、当協議会は責任を負わないものとします。
    また、本サイトの一部には法律的な根拠を求めることが難しい内容も含まれております。このような内容については全国PTA連絡協議会としての見解となります。
    Site Map
    Site Map
    カテゴリー別 掲載記事一覧
    カテゴリー ≫ Click … 同ページ内の記事概要へ移動します。
    + Click後、記事名 ≫ Click … 別ページの記事へ移動します。
    カテゴリー ≫ … 同ページ内の記事概要へ移動
    Click後、記事名 ≫ … 別ページの記事へ移動
    お問い合わせ
    PTA活動のアップデート

    求められるPTAを目指して

    PTA運営チェックリスト

    PTA活動のスマート化

    PTA活動でのコンプライアンス

    任意加入説明と未加入者対応

    適切な個人情報保護とその対策

    法律面からPTAを考える

    PTA活動支援や情報共有

    セミナーや相談室、情報交換や情報共有

    上部団体としてのPTA協議会や連合会

    PTA協議会や連合会関連の情報

    PTA活動と地域

    PTAの備品

    会費の使い方・会費集金

    PTA会費の適切な使途

    PTA活動に関わる事務

    PTA会費集金の負担軽減

    PTAでのITサービス導入支援

    Wi-Fi利用環境の支援

    ITライセンス支援(会員対象)

    IT導入支援

    Googleアプリの活用

    オンライン会議の導入と活用

    オンライン会議の活用

    Zoomの活用

    FAQ よくあるご質問

    よくあるご質問

    PTA活動

    個人情報保護

    ICTの利活用

    PTA 事例紹介

    PTA 事例紹介

    ICT 導入事例

    PTA団体補償制度など

    PTA団体補償制度(会員対象)

    補償制度 知っておくべき事

    子どもたちの教育

    子どもの教育費

    子どもの教育や教育環境

    子どもの安全、子どもの見守り

    子どものメンタルヘルス

    子どもの安全

    犯罪から子どもを守る

    保護者対象の情報やサービス

    学校や教師に関する課題

    保護者として

    安心してインターネットを使うために

    全国PTA連絡協議会の登録について
    会員登録 当協議会へのご登録にあたり、会員団体に対する人的、金銭的なご負担はありません。
    各都道府県、市区町村のPTAがフラットにつながることでメリットを享受いただける団体を目指しています。
    会員団体の皆様には、事務負担や研修会・イベントなどへの動員は想定していません。
    情報交換会や各種セミナーは、基本的にオンライン形式で開催いたしますので、皆様のニーズや関心に応じて、お気軽にご参加いただけます。
    各種サービスをより多くのPTAの皆様にご利用いただけるよう心がけておりますが、助成制度や補償制度のご利用には、サービス性質上、当協議会へのご登録が必要です。
    PTAの皆様は、金銭的や人的なご負担を気にせず、必要とされる事業やサービスをご利用ください。
    本年の会員対象は、上部団体に未加入または休会中のPTA団体を原則としております。(図の緑部分)
    • 日本PTA全国協議会に未加入または休会中の協議会
    • 道府県PTA協議会に未加入または休会中の市区町村郡PTA連合会等
    • 市区町村郡PTA連合会に未加入または休会中の単位PTA
    対象となるPTAの皆様、ぜひ、当協議会へのご登録をご検討ください。
    上部団体からの退会・休会を検討中のPTAの皆様も、 お気軽にお問い合わせください。
    全国PTA連絡協議会の会員登録はこちらから
    記事
    登録方法などは、
    会員登録について ≫
    記事
    登録のあるPTAは、
    会員登録団体 ≫
    記事
    ご不明な点はお気軽に
    お問い合わせ ≫
    ダウンロード
    全国PTA連絡協議会の概要
    ダウンロード
    更新:2024年2月7日