学校と個人情報保護法の関わりを弁護士が解説 – どこまでの提供ならOK？

学校では、住所・氏名のみならず、成績、健康診断結果、顔写真など、児童生徒の個人情報を数多く扱っています。個人情報を厳格に管理するのは当然ですが、第三者への情報提供が必要になる場面もあるはずです。

原則として、個人データを本人の同意なく第三者に提供してはなりません。ただし、緊急時などには、同意なく情報の提供が可能です。第三者に情報を伝えてもよいケースを知っておき、提供の可否を判断できるようにしましょう。

本記事では、

• 個人情報保護法の概要
• 個人データの第三者提供の原則と例外
• 同意なく第三者に個人情報を提供できる場合

などについて解説しています。

第三者への個人情報の提供について知りたい学校法人関係者の方は、ぜひ最後までお読みください。

 

個人情報とは？

「個人情報」という言葉はよく耳にしますが、厳密な意味をご存じの方は多くないでしょう。

法律上、個人情報は以下の通り定義されています（個人情報保護法2条1項）。

生存する個人に関する情報であって、以下のいずれかに該当する

①情報に含まれる氏名、生年月日などの記述等により特定の個人を識別できるもの

②個人識別符号が含まれるもの（例：マイナンバー、パスポート番号）

まず前提として「生存する」「個人に関する情報」に限られます。亡くなった方や法人に関する情報は、個人情報には該当しません。

「個人に関する情報」としては、氏名、住所、性別、生年月日、顔写真などの個人を識別する情報が代表的です。他にも、個人の身体、財産、職種、肩書きなどの属性に関して、事実、判断、評価を表すすべての情報が該当します。文字情報には限られず、画像・映像・音声情報も含まれます（参考：個人情報の保護に関する法律についてのガイドライン（通則編））。

学校現場においては、児童生徒に関する以下の情報が「個人に関する情報」の例です。

• 氏名、性別、生年月日
• 連絡先（住所、電話番号、メールアドレスなど）
• 成績評価
• 健康診断結果
• 顔写真

以上の情報を記載した名簿、連絡網、通知表、健康診断記録、写真・映像などがあれば、個人を識別できてしまいます。これらに含まれる個人情報の扱いには、十分に注意しなければなりません。

 

個人情報保護法について

個人情報保護法（個人情報の保護に関する法律）は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的にした法律です（1条）。

2003年に公布され、2005年4月より全面施行されました。技術発展やグローバル化の進行などの変化に対応するために2015年、2020年、2021年に改正されています。

成立	施行	主な内容
2003年	2005年	個人情報保護法成立
2015年	2017年	個人情報の定義の明確化、個人情報保護委員会の設置など
2020年	2022年	権利保護の強化、越境移転への対策強化など
2021年	2022～23年	官民の適用法令の統一など

 

学校法人は「個人情報取扱事業者」（16条2項）に該当し、個人情報保護法における義務を負います。

たとえば、以下の義務です。

• 利用目的の特定（17条1項）
• 利用目的の通知、公表（21条1項）
• 目的の範囲内での利用（18条1項）
• 個人データの安全管理措置（23条）
• 個人データの第三者提供の制限（27条1項）

しかし現実には、学校において個人情報漏えいの事例は少なくありません。紙媒体、USB、メールなどによる流出が多いです。近年は、校内ネットワークへの不正アクセスによる流出も発生しています。

ひとたび情報が流出すれば、拡散するリスクも高いです。漏えい防止のために、マニュアル整備などの対策の徹底が不可欠といえます。

 

ちなみに、従来は国立学校には「独立行政法人等の保有する個人情報の保護に関する法律」、公立学校には各地方公共団体の個人情報保護条例が適用されていました。個人情報保護法に従う私立学校とは、適用法令が異なっていたのです。しかし2021年の法改正により、現在は、すべての学校について適用法令が個人情報保護法に一元化されています。

個人データについて

個人情報保護法において、原則として「個人データ」の第三者への提供が制限されています（27条1項）。

「個人データ」とは、「個人情報データベース等を構成する個人情報」です（16条3項）。

ここでいう「個人情報データベース等」とは、個人情報を検索できるように体系化したものをいいます（16条1項）。たとえば、児童生徒の個人情報を表計算ソフトでまとめたものは「個人情報データベース等」です。紙媒体であっても、50音順に並べた名簿など、個人を容易に探せるものは該当します。

「個人情報データベース等」に含まれた、氏名、生年月日などの個人情報が「個人データ」です。

個人データの第三者提供の原則と例外

あらかじめ本人の同意を得ていないのに、個人データを第三者に提供することはできません（27条1項）。学校以外の第三者に個人データを伝える場合には、原則として本人の同意が必要です。

児童生徒に判断能力がないケースでは、本人ではなく保護者の同意を要します。念のため本人と保護者の両方から同意を得ておきましょう。

第三者にはクラスメイトやその保護者も含まれるため、たとえば連絡網を配布したい場合には、同意をとりつけなければなりません。学校の教職員だけで情報を共有するのであれば第三者への提供にはあたらず、同意は不要です。

 

また、第三者への提供をする場合であっても、例外的に同意が不要となるケースがあります（27条1項各号）。

• 法令に基づく場合
• 人の生命、身体、財産の保護のために必要があり、本人の同意を得るのが困難
• 公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意を得るのが困難
• 国・地方公共団体等による法令の定める事務に協力する必要があり、本人の同意を得ると事務の遂行に支障を及ぼすおそれがある
• 研究機関の学術研究に必要

例外の要件に該当すれば、同意がなくても第三者に個人データを提供できます。

生徒の同意なく第三者に個人情報を提供できる場合について

学校現場において、同意なく第三者に個人データを提供できる典型的なケースをご紹介します。

警察からの捜査関係

まずは、警察に情報を提供するケースが挙げられます。

たとえば、刑事事件の捜査のために刑事訴訟法197条2項に基づく照会があった場合には、法令に基づいているため同意は不要です。

他にも、非行や虐待のおそれがある児童生徒に関する情報は、健全な育成を推進する観点から、同意なく提供してよいと考えられます。

医師らに提供する場合

次に、病院の医師らに情報を提供するケースがあります。

たとえば、校内で事故に遭った児童生徒の、血液型、健康診断結果、保護者の連絡先などの情報を病院に求められた場合です。状態が深刻であれば、生命・身体の保護のために必要があり、本人の同意を得るのが困難であるため、同意なしで情報提供ができます。

他にも、虐待が疑われる児童生徒の情報の共有は、健全な育成を推進する観点から同意なしで可能と考えられます。

学校法人での個人情報管理でお困りの方は弁護士にご相談ください

ここまで、学校法人における個人情報の扱いについて、個人情報保護法の概要、同意なく第三者に個人データを提供できるケースなどを解説してきました。

個人データを第三者に提供する際には、原則として同意が必要です。ただし、警察・病院などへの情報提供の際には、同意が不要となる可能性があります。要件に該当するかを検討してください。

もっとも、個人情報保護法の内容はわかりづらく、判断が難しい場合もあるでしょう。また、学校は扱う個人情報が非常に多いため、管理にお悩みの方も多いです。実際に情報流出をめぐってトラブルが生じるケースも珍しくありません。

当事務所では、学校法人の皆様の支援に力を入れて参りました。業界特有の事情も踏まえつつ、必要な法的サポートをいたします。個人情報管理に関してお困りの点がある学校法人関係者の方は、ぜひお気軽にご相談ください。

 

 

 

「学校と個人情報保護法の関わりを弁護士が解説 – どこまでの提供ならOK？」の関連記事はこちら