PTAにおける個人情報の取り扱いについては、多くの人が頭を悩ませる部分かもしれません。
以前の記事で紹介した通り、PTAも「個人情報保護法」の対象に含まれるため、注意が必要です。
さて、今回はそんなPTA業務における“あるある”のケースを1つ紹介します。
PTAの個人情報が入ったUSB、自宅へ持ち帰って作業は漏洩になる?
データのやりとりをUSBで行うPTAはいまだ少なくありません。会員名簿の作成などのために、個人情報をUSBで受け渡したり、そのUSBを自宅へ持ち帰って作業するという話を聞いたこともあります。
では、こうした行為は個人情報の漏洩に当たるのでしょうか?
PTAを含む「個人情報取り扱い事業者」が個人情報を保管するにあたっては、適切な「安全管理措置」が必要です。
“個人情報を保管するときには、集めた個人情報の漏えいを防止するために、「個人情報取り扱い事業者」は適切な「安全管理措置」を講じなくてはなりません。事務局(=PTA本部)は盗難や紛失などがないよう適切に管理する必要があります(例:鍵のかかるロッカーでの保管、アクセス権に制限のあるクラウド上での保管など)。”——◆PTAは個人情報をどこまで守ればいいの?(個人情報取扱同意書ひな形ダウンロード有)
今回のUSBの持ち出しのケースにおいては、例えば
・USB内のファイルには必ずパスワードを設定し、アクセス権がある人を役員など一部に限定する
・持ち出しができるのは個人情報の含まれないUSB(たとえば入会届の雛形など)に限定する
・USBを持ち出す場合には必ずそれを申告し、誰が持っているかを確認できるようにする
といった対応が考えられます。
こうした安全管理措置を怠り、受け渡しや自宅への自由な持ち出しを認めていた場合、PTAが個人情報保護法に違反しているとみなされる可能性はあるでしょう。
逆に、PTAとしてこうした措置を講じているにもかかわらず、役員の一人などが、やむを得ない理由などがありUSBを持ち出してしまった場合、もし、持ち出しのために第三者に情報が漏れた場合には、漏洩によって損害を受けた方(情報を漏えいされた保護者や場合によってはPTA自身)がその個人に対して個人情報の漏洩を理由に、損害賠償請求できる可能性があります。
なお、不法行為による個人情報の漏洩を理由とした損害賠償請求権の時効は民法第724条で以下の通り定められています。
“不法行為による損害賠償の請求権は、被害者又はその法定代理人が損害及び加害者を知った時から3年間行使しないときは、時効によって消滅する。不法行為の時から20年間行使しないときも、同様とする。”
つまり、過去20年以内にUSBを不正に持ち出し、第三者に情報漏えいした場合や、不正な持ち出し、情報漏えいが発覚してから3年以内であれば、過去に遡って損害賠償を請求されてしまう可能性もあるのです。
とはいえPTAの実務上、自宅での作業が必要になる場合などもあるでしょう。上記のような事態を避けながら、PTAに関わる全員がリスクを避けた運営をするために、どんな工夫ができるでしょうか。
PTAのオンライン化でリスクを減らした情報管理を
ここまで見た通り、安全管理措置を徹底していれば、PTA内でのUSBによるデータの受け渡し自体が個人情報保護法に抵触するわけではありません。しかしながら、USBでの個人情報管理には、やはりリスクも付きまといます。
データの受け渡しや引き継ぎの際には必ず持ち出す必要があるため、紛失のリスクが高まりますし、また誰が持っているのかわからなくなったり、最新版のデータが見つけにくくなってしまったりと管理上の不都合も多く生じます。
例えば最近では、GoogleドライブやDropboxといった、クラウドサービスも無料、ないし安価で使用できます。もちろんこうしたサービスに情報流出のリスクが全くないわけではありませんが、人為的なミスよりはそのリスクを抑えることができるはずです。
加えて、一度使い方を周知できれば、個人情報の保護と同時に、PTA業務の効率化も推し進めることができます。
現在PTA’Sでは「PTAオンライン化の手引き」という資料を公開しています。もしよろしければ、こちらを参考に、オンライン化を進めてみてはいかがでしょうか。
2021年9月6日掲載
「調べて欲しい教えて欲しい」のこれまでの解答一覧はこちら
※尚本解答は、弁護士からのアドバイスに基づいて作成しています。
状況によって異なる旨、PTA’Sの利用規約(https://ptas.site/terms/)に則って提供する旨をご理解の上、ご活用ください。