【最高レベルの機密保持】そのデータ、誰がアクセスできますか？ 日本版DBS導入で問われる「情報管理体制」と法的責任

2026年12月の日本版DBS（こども性暴力防止法）施行に向け、多くの事業者が「誰を確認対象にするか」という議論を進めています。 しかし、行政書士の実務視点から申し上げますと、それ以上に重要かつ専門的な設計が必要となるのが「戻ってきた結果（犯歴情報）をどう管理するか」という問題です。

国から通知される「犯罪事実確認書」には、個人のプライバシーの中でも最も機微な情報が含まれます。もし、この情報が社内で不用意に共有されたり、管理不備により漏洩したりした場合、認定の取消しはもちろんのこと、刑事罰（1年以下の拘禁刑又は50万円以下の罰金）の対象となり得ます。

本日は、日本版DBS法が求める「情報管理措置」の具体的内容と、認定取得のために必須となる「閲覧権限者の限定（ガバナンス）」について、条文と政府指針に基づき解説します。

※本記事は2025年11月21日時点の政府公表資料（中間とりまとめ案等）に基づいています。

法が求める「厳格な管理義務」とは

個人情報保護法においても「要配慮個人情報」の管理は厳格に求められていますが、日本版DBS法では、さらに一段階上の、極めて厳格な法的義務を課しています。

第十四条（犯罪事実確認記録等の適正な管理） 犯罪事実確認実施者等は、犯罪事実確認記録等を適正に管理しなければならない。

第十二条（利用目的による制限及び第三者に対する提供の禁止） …犯罪事実確認記録等を犯罪事実確認若しくは第六条（中略）の措置を実施する目的以外の目的のために利用し、又は第三者に提供してはならない。

つまり、「採用の参考にする」以外の目的（例えば、興味本位での閲覧や、人事評価への流用、無関係な部署への共有など）は一切認められません。 この「目的外利用の禁止」を担保するために、事業者は物理的・技術的にアクセス制御を行う必要があります。

「経営者一人で管理」は推奨されない？ 求められる相互牽制

小規模な事業者様から「情報漏洩が怖いので、代表者である私一人だけがパスワードを知っていれば良いですか？」というご質問をいただきます。

実は、政府の指針案（中間とりまとめ）では、適正な管理体制として以下の要件が検討されています。

• 情報管理の責任者を含めて2人以上の従事者が必要であること

なぜ「2人以上」なのでしょうか。 それは、特定の一個人に情報管理を独占させることによる「不正（改ざんや隠蔽、私的な流用）」を防ぐため、「相互牽制（そうごけんせい）」を効かせる必要があるからです。

理想的な管理体制の例

• 管理責任者: 代表取締役、施設長など
• 取扱担当者: 事務長、人事部長など（信頼性が高く、守秘義務契約を締結している者）

このように、「誰がデータにアクセスしたか」を相互に監視・記録できる体制を構築することが、認定基準を満たすための鍵となります。

社内の「Need to Know（知る必要がある人）」を限定する

情報管理において最も重要な原則は、「知る必要がある人（Need to Know）以外には一切遮断する」ことです。

法律上、犯歴情報の共有が許されるのは、「防止措置（配置転換など）の実施に必要な限度」に限られます。

具体的なNG事例とOK事例

• NG: 「A先生は犯歴があったから不採用にした」と、採用に関わらない現場スタッフに口頭で伝える。（目的外の漏洩）
• NG: 役員会議の資料として、犯歴情報が記載された書面を全員に配布する。（不必要な拡散）
• OK: A先生の配置転換先となる部署の管理職に対し、「法第6条に基づく配置転換が必要である」という事実のみを伝え、具体的な犯歴の内容（罪名等）は伝えない。（必要最小限の共有）

「共有しなければ仕事が回らない」という安易な理由で範囲を広げることは、法第39条の「秘密保持義務違反」に抵触するリスクがあります。

認定申請に必須となる「情報管理規程」の策定

では、これらの管理体制をどのように対外的に証明すればよいのでしょうか。 認定申請を行う際、事業者は「情報管理規程」を策定し、国に提出しなければなりません。

この規程には、以下のような具体的な「安全管理措置」を盛り込む必要があります。

1. 組織的安全管理措置: 責任者の権限、漏えい時の報告連絡体制。
2. 人的安全管理措置: 従事者への定期的な教育・研修の実施。
3. 物理的安全管理: データを扱う区域の管理、盗難防止、画面の覗き見防止措置。
4. 技術的安全管理: アクセス制御（ID・パスワード管理）、アクセスログの取得・保存。

特に、国のシステムにアクセスする端末は、「誰がいつログインしたか」を後から検証できる状態にしておくことが実務上強く推奨されます。

まとめ：専門家と共に盤石な体制構築を

1. 犯歴情報は、法的に極めて厳格な管理が求められる情報である。
2. 不正防止の観点から、管理は「責任者＋担当者」の複数名体制が望ましい。
3. 認定申請には、これらのルールを明文化した「情報管理規程」が必須となる。

日本版DBSの認定を取得することは、単にマークをもらうことではありません。
「高度な情報管理能力を持つ事業者である」と国から認められることを意味します。

当事務所では、行政書士の専門業務として、以下のサポートを行っております。

• 「情報管理規程」の作成: 貴社の実情に合わせ、認定基準を満たす規程を作成します。
• 管理体制のコンサルティング: 誰を閲覧権限者にするか、物理的な管理場所をどうするか等の運用設計を支援します。

「ウチのセキュリティ体制で認定が取れるか不安だ」
「規程なんて作ったことがない」

という経営者様は、ぜひ一度ご相談ください。
制度の趣旨を深く理解した専門家が、貴社の信頼を守るための体制づくりを伴走支援いたします。