画面に届いた「開封厳禁」の通知
ある学習塾経営者、Aさんの話です。日本版DBSの認定申請を終え、数週間後。
こども家庭庁の専用システムから、Aさんのパソコンに1通のメール通知が届きました。
「【重要】犯罪事実確認結果のお知らせ(開封には二要素認証が必要です)」
Aさんは、はやる気持ちを抑え、周囲に誰もいないことを確認してから、管理責任者だけが知るパスワードと、スマホに届いた認証コードを入力しました。
画面に表示されたのは、スタッフ全員分の確認結果リスト。幸い、全員が「該当なし(シロ)」でした。
ほっと胸をなでおろしたAさん。しかし、その直後、背筋が冷たくなるのを感じました。
今、目の前のモニターに映し出されているデータ。
ここには、スタッフ全員の最もデリケートな個人情報が含まれています。
「もし、この画面をログアウトし忘れて、他のスタッフが見てしまったら?」
「もし、このパソコンがウイルスに感染して、データが外部に流出したら?」
Aさんは気づきました。
認定を取るということは、「一歩間違えれば会社の信用を完全に失墜させる、極めて重いデジタル情報」を管理し続ける責任を負うことなのだ、と。
今回は、認定事業者に課される「最も厳格な情報管理義務」と、リスクを回避するために必須となる「情報管理規程」の作り方について解説します。
生徒の個人情報とは「次元が違う」厳格な規制
まず、日本版DBS法がこの情報(犯歴確認結果など)をどう扱っているかを知ってください。
犯歴事実確認結果に対し、通常の個人情報保護法よりもさらに厳しい規制をかけています。
鉄則①:目的外利用の絶対禁止
この情報は、「その人を子供と接する業務に就かせるかどうか」を判断するためだけに使用が許されています。
それ以外の目的で使うことは、法律で固く禁じられています。
- NG例: 犯歴情報を理由に、懲戒解雇の材料にすること(※前回解説した通り、配置転換の検討が必要です)
- NG例: 他の経営者仲間に、「あの人は雇わない方がいいよ」と情報を流すこと
鉄則②:第三者提供の原則禁止
本人の同意があっても、原則として第三者に提供してはいけません。
ここで最も悩ましいのが、保護者への対応です。
「先生たちのDBSチェックの結果、大丈夫だったんですよね? 証明を見せてください」
と不安げな保護者に迫られたら、どうしますか?
「安心してください、全員問題ありませんでした」
と、個別の結果を見せたくなりますが、それは法令違反になる可能性が極めて高い行為です。
(※制度の詳細は今後のガイドラインによりますが、個人の結果開示は厳しく制限される見込みです)
「認定は取れたが、犯歴の確認結果は誰にも言えない」
このジレンマの中で、あなたは情報を厳重に管理し続けなければなりません。
パスワードをかけた」だけでは守れない時代
では、具体的にどう管理すればよいのでしょうか。
国が求めているのは、以下の4つの観点からの「万全な安全管理措置」です。
- 組織的安全管理措置:
管理責任者を決め、漏洩時の報告体制を整えること。
法律では、情報管理の事務に従事する者を「2人以上」置くことが求められています。経営者が一人で抱え込むことはリスク管理上、許されません。信頼できるNo.2の関与が必須です。 - 人的安全管理措置:
犯歴データに触れる担当者と、特別な守秘義務契約を結ぶこと。
また、情報の重要性を理解させるための定期的な教育研修を行うこと。 - 物理的安全管理措置:
データを見るパソコンは、関係者以外が立ち入れない(覗き見できない)場所に置くこと。
紙で出力する場合は、施錠管理を徹底し、不要になったら復元不可能なレベルで溶解・裁断すること。 - 技術的安全管理措置:
これが最も高度な対策です。- 犯歴データを扱うパソコンは、外部ネットワークから切り離す(または強固なアクセス制限をかける)。
- USBメモリなどへの持ち出しを禁止する。
- 「いつ、誰が、どのデータにアクセスしたか」のログ(記録)を残す。
小規模な事業所で、ここまで徹底したIT管理ができるでしょうか?
「共有のパソコン1台で、みんながパスワードを知っている」という状態では、認定基準を満たすことは到底できません。
漏洩すれば「認定取消」
もし、あなたの管理ミスで情報が漏洩してしまった場合、どのような事態になるでしょうか。
- 国への報告義務と認定取消:
漏洩が発覚したら、直ちにこども家庭庁に報告しなければなりません。情報管理義務違反は重大な問題であり、最悪の場合、苦労して取得した「認定の取り消し」処分となります。 - 社会的信用の失墜:
「あの塾は、国の認定を取り消されたらしい」「個人情報の管理がずさんらしい」
そのような評判が立てば、生徒の退会や新規入会の停止につながりかねません。 - 損害賠償請求:
情報を漏らされた本人(スタッフや元スタッフ)から、深刻なプライバシー侵害として訴えられます。
その賠償額は、事業の存続を揺るがす規模になる可能性があります。
たった一度の管理ミスが、事業の全てを奪いかねない。それが、この情報を取り扱うことの「重み」です。
会社を守る盾となる「情報管理規程」
ここまで読んで、「自分たちだけで完璧に管理するのは難しい」と感じた方も多いのではないでしょうか。
そのために不可欠なのが、「情報管理規程」という社内のルールブックです。
認定申請の際、事業者は国に対して「私たちはこのような厳格なルールで情報を守ります」という規程を提出する必要があります。これは、単なる形式的な書類ではありません。
- アクセス権限を誰に付与するのか?
- パスワードの管理方法は?
- 万が一のサイバー攻撃や漏洩時の初動対応は?
これらを具体的に定め、かつ、実際の現場でその通りに運用されていなければなりません。
これは、「法律」と「ITセキュリティ」の両方の知識がなければ構築できない、高度な専門領域です。
まとめ:リスク管理のプロと連携した体制構築を
今回は、日本版DBSにおける「情報管理」について解説しました。
今日のポイント
- 犯歴情報は、目的外利用・第三者提供が厳格に禁止された機密情報。
- 管理担当者は「2人以上」必要。組織的な管理体制が不可欠。
- 「アクセスログの記録」など、物理的・技術的なセキュリティ対策が求められる。
- 情報漏洩は、認定取消や多額の損害賠償に直結する重大リスク。
前回の「就業規則」に続き、この「情報管理規程」の作成も、認定取得の大きなハードルとなります。
行政書士窪田法務事務所では、法律の専門家としてあなたの会社の規模や体制に合わせた、実効性のある「情報管理規程」の作成を支援することができます。また、必要に応じてIT専門家と連携し、セキュリティ対策の体制構築もサポートします。
「万全の体制で子供たちを守りたい。しかし、自社のリソースだけでは限界がある」
そうお考えの経営者の方は、ぜひ専門家のサポートを活用してください。
次回は「【最終チェック】認定取得までのロードマップと、ライバルに差をつける『次の一手』」
これまでの課題をどうクリアし、最短ルートで認定を取得するのか?
そして、認定取得をゴールではなく「事業拡大のスタート」にするための戦略についてお話しします。
制度の解説だけでなく、私がなぜここまで日本版DBSに情熱を注いでいるのか、その「原点」と「決意」を綴りました。ぜひ一度お読みいただければ幸いです。
