【2022年4月施行】改正個人情報保護法をきっかけに|保育士が知りたい!個人情報の取り扱い方
投稿日:2022年4月13日
個人情報保護法が改正され、2022年4月より施行されました。
みなさんも、普段使用しているサービスや企業からプライバシーポリシー改訂のお知らせが続々と届いているのではないでしょうか。
今回は、改正によって何が変わりそれが保育園(保育園の運営)にどんな影響をもたらすのか、そもそも保育園で取り扱う個人情報とはどんなことを指すのか、自園の取り組みは十分なのか、この機会に見直してみることをお勧めします。
園長は知っておきたい|2022年4月から変わること
2003年に制定された個人情報保護法は3年ごとに見直すことになっており、「個人情報の保護に関する法律等の一部を改正する法律」が2020年6月に交付され、2022年4月に施行されました。
改正の主な柱はプライバシー保護をはじめとする個人の権利の拡大です。(改正法全体のチェックポイントはこちらにまとめられています↓)
改正個人情報保護法対応チェックポイント/個人情報保護委員会
直接保育園の運営には影響しない部分もありますが、現在の個人情報保護規程やプライバシーポリシーを改訂する必要がないか確認されると良いでしょう。
保育士が気をつけたい個人情報とプライバシーのちがい
個人情報とは
個人情報とは生存する個人に関する情報であって氏名や生年月日等により、特定の個人を識別することができるもの、また、他の情報と容易に照らし合わせて個人を特定できるものを指します。
そして個人情報のうち、要配慮個人情報と言われるものがあり、不当な差別、偏見その他の不利益な情報が生じないように取り扱いに特に配慮を要する情報を指します。
保育園で扱う個人情報
子どもの氏名、写真、健康や発達に関する記録、連絡先、家庭状況など
*子どもだけでなく保護者や職員の情報も同様
保育園で扱う要配慮個人情報
社会的身分、病歴、障がい、健康診断の結果、家庭の経済状況(年収や非課税世帯などの情報)など
プライバシーとは
一方プライバシーとは、個人の私生活や家庭の私事であり、それが他人から干渉・侵害を受けない権利を指します。簡単にいうと「人に知られたくないこと」全般です。
つまり、プライバシーの中に個人情報が含まれているという関係性です。
個人情報は「もの」であり、情報を取り扱う立場として適切に管理し守る必要があるのに対し、
プライバシーは「権利」という主観に左右されるものであり必要なのは配慮であるといえます。
保育園では個人情報をどう扱うべきか|4つの基本ルール
ここからは、個人情報の取り扱いルールについて見ていきます。
①取得・利用
個人情報を取得する際に、利用目的を明らかにすること
取得する際に利用目的を通知、説明した上で同意書などによって同意をもらう必要があります。
利用目的範囲外のことに利用する際は都度同意を得ること
当初の利用目的になかったことに利用する必要が出たら、面倒でも再度同意を得ましょう。
園の運営に必ずしも必要でない情報については取得しないこと
念の為、何かに使うかもしれないという理由で不要な情報は取得しないようにしましょう。扱う情報が増えるほど厳重なセキュリティーが求められます。
保育園では入園の際に写真掲載の可否についての同意書を得ている園は多いでしょう。しかし、他の個人情報(家庭調査票など)を得る際には特に書類の取り交わしをしていないという園も少なくないのが実情です。
日常の保育記録の中では、さまざまな個人情報を扱っているはずです。
理想は入園する際に、総合的な個人情報利用目的を示した上で同意書を得ることが望ましいでしょう。
業務委託等で個人情報を外部へ委託する可能性がある場合には必須です。
②保管・管理
個人情報取り扱いの基本方針、規程を策定する
どのように個人情報を扱うのか、万が一漏えいした際にはどのような措置をとるのか等を示した規程やプライバシーポリシーをホームページ等で公表することが求められます。
個人情報保護に関する職員教育を実施する
保育士という仕事における個人情報保護の重要性を再確認し、普段の業務で取り扱うリスクや対策について定期的に共通認識を図る必要があります。
知る必要のある人(情報を取り扱う人)を限定し、管理体制を明確にする
仕事をする上ですべての情報をすべての職員が知る必要はありません。その個人情報にアクセスできる権限を限定しておくことも重要です。
個人情報の記された書類は厳重に保管する
情報を書類で管理する際は、鍵をかけられる引き出しや棚に保管し、鍵の管理を厳重に行います。取り出す際には氏名や目的などの記録をつけるなど、紛失や漏えいの防止に努めます。
電子媒体で個人情報を管理する際はセキュリティを強化する
ICT化が進み、保育園でも電子媒体でデータとして保管することが増えました。外部システムを利用する際はセキュリティレベルの高いものを選択し、園のパソコン等の端末やセキュリティ対策ソフトを定期的に更新するなど不正アクセス防止策を講じます。
システムを使用する際のルールを見直す
パソコン等の端末のセキュリティを強化しても、使用する人の使い方によっては高リスクになる場合があります。人によってパソコンの得手不得手の差が大きい保育園だからこそ、使用ルールを徹底しましょう。
- 簡単に推測できるパスワードを使用しない(電話番号や園名など)
- パスワードの使い回しをしない
- パスワードは定期的に更新する(少なくとも年に1度)
- 個人情報にアクセスできるパソコンは限定する
- 端末を増やしてパソコンを共用する機会を減らす
これまで起こった個人情報漏えい事案の多くは、個人情報を園外に持ち出すことで起きています。
園内のセキュリティ強化はもちろんですが、職員に対する意識共有と取り扱いルールの徹底といった人的安全管理措置も今一度確認したいものです。
情報漏えい事案の例
・持ち帰り仕事をしようとしてUSBに個人情報を移して持ち出し、USBを紛失する
・自分のパソコンを持ち込んで個人情報を取り込み、そのパソコンが盗難に遭う
・名簿や子どもの写真の載ったおたよりなどの書類を持ち帰り、紛失する
改正法では、以下のような個人情報の漏えい等の事案が発生した場合、または発生したおそれがある場合、個人情報保護委員会への報告・本人への通知が義務化されています。発生しないように防止することはもちろんですが、万が一の事態に備えて手順を確認しておくと良いでしょう。
・要配慮個人情報が含まれる事態
・財産的被害が生じるおそれがある事態
・不正の目的をもって行われた漏えい等が発生した事態
・1,000人を超える漏えい等が発生した事態
③第三者提供
個人情報を第三者に提供する場合、原則として予め本人の同意を得なければなりません。
ただし、災害時や緊急時(不審者情報、虐待のおそれ、感染症情報等)にはこの限りではありません。
園内で第三者提供を行うことがあるとすれば、子どもの発達や家庭支援のための関係機関、業務委託を行う場合が想定されます。
利用目的の中で第三者提供について明示する
個人情報取得時に利用目的について通知する中に盛り込んでおくと良いでしょう。
外部に業務委託する際には委託業者等と守秘義務誓約書を取り交わす
ホームページやパンフレットの制作等、委託する業務に個人情報を含む情報提供が必要な場合は、契約する際に守秘義務についての文書を取り交わしておくと安心です。
第三者に提供する場合、その内容を記録する
いつ、誰の、どんな情報を、誰に、提供したのか、記録をつけましょう。記録の保存期間は原則3年です。関係機関など本人以外の第三者から提供を受けた場合も同様です。
④開示請求等への対応
本人から、個人情報の開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止の請求を受けた時は、原則として請求に対応しなければなりません。
内容の訂正、追加または削除
入園時に提供してもらった個人情報に変更点が出た際には改めて個人情報を取得します。
その際、どのような手順で行うのか、ルール化するとともに保護者に示しましょう。
前の書類を破棄して新たに書類を記入してもらうのか、変更点だけ教えてもらい前の書類に上書きする形をとるのか、方法を定め、いつどのような理由で変更したのかなど履歴を残しておくと良いでしょう。
利用の停止、消去及び第三者への提供の停止
請求が適切であると認められる場合には迅速に措置を行う必要がありますが、その対応が困難である場合には保護者の不利益にならない他の対応を提案します。
また、個人情報の取り扱いに関する苦情等には適切・迅速に対応するよう努めることが必要です。
保育士にとっての守秘義務とは
児童福祉法 第18条22
保育士は正当な理由なくその業務に関して知り得た人の秘密を漏らしてはならない。保育士でなくなった後においても同様とする。
保育園で起こりうる個人情報の漏えいといえば、人為的なもの、しかもうっかり漏えいがほとんどでしょう。しかし、わざとじゃなければ良いのか、許されるのかと言えばそうではありません。
もし個人情報の漏えいがあったら、最悪の場合、その保育士本人は資格取り消し、保育園は管理責任を問われることがあります。
個人情報漏えいに関する保育園あるある事例
以下のあるある事例をヒヤリハットとして捉え、自園の個人情報への認識はどうか、点検してみましょう。
休みの日に保育士数名がカフェで園児の話で盛り上がっている
たとえ実名を伏せていても、聞く人が聞けば誰のことか分かってしまうかもしれません。また、個人情報を伏せて話すように気をつけていても、内容によってはプライバシーの侵害にあたる可能性があります。
ある職員が個人のSNS(鍵のかかった非公開アカウント)で園児の微笑ましいエピソードや仕事上の出来事をつぶやいている
非公開のアカウントであれば大丈夫!という認識でSNSを利用しているのだと思いますが、家族や友達など限られた人でも、内容によっては情報漏えいにつながります。園名が知られていれば、子どもの名前を伏せても個人が特定しやすくなります。万が一、フォロワーの誰かにスクリーンショットなどを撮って拡散されることがあれば、漏えいを防ぐことはできません。
園内で子ども同士のトラブルが発生し、園児Aが園児Bにケガをさせてしまった。園児Aの保護者は園児Bとその保護者に謝罪するため、園児Bの連絡先を教えてほしいと保育園に尋ねてきた
謝罪したいというような理由であっても、本人に無断で個人情報を提供しては いけません。提供する前に、園児Bの保護者から同意を得ましょう。
保育中「園児Cちゃんのところはもうすぐ赤ちゃんが生まれるから園児Cちゃんはお姉ちゃんになるね」と他の子どもたちもいる前で話した。後日、園児Cの保護者より「他の保護者たちからおめでとうと言われたが、まだ周囲に知られたくなかったのに」と言われた
悪気がなかったとはいえ、本人が第三者に知られたくないことを同意なく漏らしてしまうのはプライバシーの侵害にあたります。また、この情報は要配慮個人情報にあたる可能性があります。
退職した元同僚に「あの子最近どう?」と在園児の様子を聞かれつい、近況を話してしまった
退職した職員が子どもたちのことを気にかける気持ちはわかりますが、退職したら外部の人、聞くのも答えるのも守秘義務に違反します。
*守秘義務の徹底として、入職時または退職時に職員に秘密保持誓約書を記入してもらうのも有効です。
知り合いの園長から連絡があり、自園を退職した元職員が再就職活動でその園の面接を受けたことを知った。元職員の退職理由や健康状態、勤務態度等を聞かれた
退職理由などに関わらず、退職した職員の個人情報も守らねばなりません。知り合いの園長先生からの問合せ自体、元職員本人の同意なく、再就職活動を行っているという個人情報を過去の勤務先に提供することであり、個人情報保護法上問題のある行為と考えられます。
行事後の一定期間、玄関に行事の写真を貼り出して展示販売を行っている
保護者にしか見えない状態の販売であればそれほど問題にはなりませんが、園のお客様や業者の人など不特定多数の人が見る可能性がある場所に展示することは個人情報の漏えいにつながる可能性があります。
保護者同士のトラブルも…
行事などで保護者の写真撮影・動画撮影を許可している場合、その後の取り扱い方の注意も説明しなければなりません。自分の子どもの写真をアップするのは保護者の責任の範囲ですが、その写真に他の子どもも写り込んでいたり他の保護者が第三者に知られたくない情報が写っていたりするかもしれません。それほど写真や動画の情報量は多いので、無用なトラブルにつながる前に、園としてルールの明示と注意を促しましょう。
保育園は個人情報の宝庫だという認識を
保育園は日常的に個人情報に接する仕事です。
組織として対策をとることはもちろん、個人情報を常に扱いプライバシーを守るべき保育士に教育を施すことも必要です。
ルールやシステムが完璧でもそれを扱う人がわかっていなければ、ミスに繋がってしまいます。一度のうっかりミスで保育士本人だけでなく、園全体の信用を損なってしまうこともあり得ます。
個人情報という「もの」を守る仕組みと、プライバシーという「権利」に配慮する人的対策が、個人情報の宝庫である保育園において子どもたちの権利や安全を守ることにつながります。
この機会にぜひ園内で、保育士を始めとする全職員の「個人情報に対するリテラシー」を高めましょう。