前々回(第8回)は、事案発生時の対応を定める「児童対象性暴力等対処規程」について解説しましたが、認定を取得するためには、もう一つ絶対に避けて通れない「規程」があります。
それが「情報管理規程」です。
日本版DBSで取り扱う「性犯罪歴(犯歴情報)」は、個人のプライバシーの中でも究極の機微情報(センシティブ情報)です。万が一、この情報が漏えいすれば、その人の社会生活を完全に破壊しかねません。 そのため、国は認定事業者に対し、一般的な個人情報保護法よりもさらに厳しい、鉄壁の管理体制を求めています。
今回は、申請時に提出が必須となる「情報管理規程」の中身と、教室の現場で具体的に導入すべき「4つの安全管理措置」について、専門家の視点からわかりやすく解説します。
なぜ「情報管理規程」が必要なのか?
「うちは生徒の個人情報も鍵付きの棚で管理しているから大丈夫」
日本版DBSの要求水準はそれだけではクリアできません。
ガイドラインでは、認定を受ける条件として「犯罪事実確認記録等の管理に関する措置(情報管理措置)に係る規程を定め、これを遵守すること」が義務付けられています。そして、この規程は認定申請する際にシステムへのアップロード(提出)が必須となります。
基本原則:情報は「持たない」が最強の防御
情報管理規程の作成にあたって、まず理解すべき大原則があります。
それは、「犯歴情報は、できるだけ手元に残さない」ということです。
国のガイドラインでも、以下の基本方針が示されています。
- 取扱者は必要最小限にする(誰でも見られる状態はNG)
- 内容の記録・保存を極力避ける(システム上で閲覧し、紙やPDFで保存しないのが原則)
- やむを得ず保存する場合は、厳重な措置を講じる
つまり、「紙で印刷してファイルに閉じる」という従来のアナログ管理は、日本版DBSにおいては「リスクの高い行為」とみなされます。基本は「国のシステムにログインして見る」という運用が推奨されます。
民間事業者のハードル「2人以上」の原則
ここで、学習塾などの民間事業者特有の「縛り」について解説します。
ガイドラインでは、民間教育保育等事業者に対し、以下の要件を課しています。
「その事業に従事する者を二人以上置くこと」
これは、情報管理の責任者を含めて、最低でも2名のスタッフがいなければならないという意味です。
なぜでしょうか?
それは「相互牽制(ダブルチェック)」を働かせるためです。
たった一人で全ての情報を管理していると、不正な持ち出しや隠ぺいが行われても誰も気づけません。常に「誰かの目がある」状態を作ることが、情報の安全性を担保するのです。
※なお、日本版DBSの認定対象自体が「従事者数3人以上」の事業者に限られているため、認定を目指す事業者であればこの要件は自然とクリアできるはずですが、情報管理体制として「責任者」と「担当者」を明確に分けるなどの工夫が必要です。
ガイドラインが求める「4つの安全管理措置」
では、具体的にどのような対策をすればよいのでしょうか?
作成する「情報管理規程」には、以下の4つの安全管理措置を具体的に盛り込む必要があります。
組織的措置:体制図を作る
「誰が責任者か」を、組織図として明確にします。
- 責任者の設置
教室長や人事部長などを「管理責任者」に指名します。 - 報告体制の整備
「漏えい事故」や「誤送信」が起きた際、誰にどう報告するか(こども家庭庁への報告含む)のルートを決めます。 - 点検・監査
年に1回など定期的に、ルール通り運用されているかチェックする仕組みを作ります。
人的措置:スタッフ教育と誓約書
システムがいかに堅牢でも、扱う「人」がパスワードを書いた付箋をモニターに貼っていたら意味がありません。
- 研修の実施
情報を扱うスタッフに対し、守秘義務やセキュリティ研修を定期的に行います。 - 誓約書の取得
退職後も含めた秘密保持契約(NDA)や誓約書を取り交わします。
物理的措置:覗き見防止と鍵の管理
物理的に情報を盗まれないための対策です。
- 区域管理
犯歴情報を扱うパソコンや書類を置く場所(取扱区域)を決め、関係者以外が立ち入れないようにします。 - 盗難防止
書類は「鍵のかかるキャビネット」に保管します。パソコンは「セキュリティワイヤー」で机に固定するか、離席時に必ずロック(施錠)します。 - 覗き見防止
パソコン画面が通路から見えないよう、座席配置を工夫したり、「覗き見防止フィルター(プライバシーフィルター)」を貼ったりします。
技術的措置:パスワードとウイルス対策
デジタルデータとしての管理対策です。
- アクセス制御
IDとパスワードで、「権限を持つ人しかログインできない」状態にします。異動や退職をしたスタッフのIDは即座に削除します。 - 外部からの攻撃防御
ウイルス対策ソフトを導入し、OSやブラウザを常に最新の状態に保ちます。 - 暗号化
万が一ファイルを持ち出す場合(もちろん推奨されませんが)は、必ずパスワード設定や暗号化を行います。
【重要原則】データは「持たない」「印刷しない」
「犯歴確認の結果を、社内のGoogleドライブやDropboxに保存してもいいですか?」
「紙で印刷して、鍵付きのバインダーで保管すればいいですか?」
このような質問をよく頂きますが、当事務所としての推奨回答は、以下のとおりです。
「原則として、自教室ではデータを一切持たないでください」
ガイドラインには、「犯罪事実確認書の内容の記録・保存を極力避ける」という大原則が明記されています。 もちろん、技術的には「暗号化」や「政府認定クラウド(ISMAP)」を利用すれば保存は可能です。しかし、それには高度なセキュリティ設定とコストが必要となり、中小規模の教室運営においては現実的ではありません。
- 印刷しない:紙は紛失・盗難のリスクが最も高い媒体です。
- DLしない:PDF等を自社のPCやUSBに保存しません。
- 見るだけ:必要な時は、その都度、国のシステム(こども性暴力防止法関連システム)にログインして閲覧します。
「国のシステム」という最強の金庫があるのですから、わざわざリスクを冒して手元にデータを移す必要はありません。「システム以外にはデータが存在しない」状態を作ることこそが、最大の漏えい対策になります。
「もしも」の時のマスコミ対応を決めておく
ガイドラインには含まれておりませんが、情報管理規程を作成する際、ぜひ追加していただきたいと私が思っているのが、万が一情報が漏えいした際の「危機管理(クライシスマネジメント)」の手順です。
犯歴情報は、個人の人生を左右する究極のプライバシー情報です。 もしこれが漏えいした場合、「教室の存続」を考えて行動することが大切なのはもちろんですが、最も優先して守らなければならないのは、「こども」であり 、以下の3つを守ることが何よりも優先されます。
- こどもの安全と安心:うわさや騒ぎによって、通っているこどもたちが傷つかないようにすること。
- 保護者への誠実な説明:不正確な情報で不安を煽らないようにすること。
- 従業員の人権:対象となったスタッフのプライバシーが、不当にさらされないようにすること。
現場スタッフがパニックになり、記者や保護者からの問い合わせに個別に答えてしまうと、不正確な情報や憶測が広まり、結果としてこどもたちやスタッフを傷つける「二次被害」につながります。
規程やマニュアルには、関係者を守るためにこそ、以下の「対応の一元化」を定めておくことを強くお勧めします。
スポークスマン(広報担当)の決定
「マスコミや外部からの問い合わせには、代表者(または指定された責任者)のみが回答する」と決めます。現場スタッフには「責任者から回答します」とだけ答え、個人の判断で話さないよう徹底させます。これはスタッフ自身を矢面に立たせないための防御策でもあります。
情報の一元管理
誰が、いつ、何を漏らしたのか、事実確認を行う責任者を明確にします。正確な事実に基づかない発表は、かえって保護者の不信感を招きます。
公表・報告のルール
国(こども家庭庁)への報告は義務ですが、保護者への説明やホームページ等での公表をどのタイミングで行うか、弁護士と相談するフローを入れておきます。
「隠蔽するために口をつぐむ」のではありません。「こどもと関係者を守るために、正しい情報を、正しいルートで発信する」ための準備です。 いざという時に誰がマイクを持つか、平時のうちに決めておきましょう。
まとめ:規程作りは「デジタル環境」の見直しから
「情報管理規程」は、ゼロから作る必要はありません。
こども家庭庁が公開している「ひな型(モデル規程)」をベースに、自社の実情(部署名や担当者名)を穴埋めしていく形で作成可能です。
しかし、規程という「紙」を作る前に、まずは教室のデジタル環境を見直す必要があるかどうかチェックしてみてください。
- パソコンにウイルスソフトは入っていますか?
- OSのアップデートは行っていますか?
- 大事な書類を入れる引き出しに「鍵」はありますか?
これらは、日本版DBSに限らず、これからの教室経営において必須のセキュリティ対策です。
この機会に、「鍵」と「パスワード」の管理を徹底しましょう。
さて、規程類(対処規程・情報管理規程)の準備が整ったら、いよいよ申請に向けた具体的なアクションです。 次回は、申請システムを利用するための入り口となる「GビズID」の取得とシステム利用の準備について解説します。