2017年1月29日に、個人情報保護法改正が、どうしてPTAに関係するか、PTAはどういうことに気をつけなければいけないかを、まとめてみました。(追記修正がいろいろあります。)
まずは、どうしてPTAに関係するか。
旧法ではいわゆる「5,000人要件」というものがあります。
それは、旧法では個人情報保護法を守らなければならない民間団体(会社とか)は、5,000人以上の個人情報を集めるところと規定されていたのでした。もちろん、5,000人以下の個人情報を所有している民間団体だって、個人情報保護法を守ってもよいわけです。
この「5,000人要件」が、新法では撤廃されました。
法律でいう個人情報とは何か?法律で規制される個人情報をとりあつかう事業者はどんなものか?という決まりは、下記です。
個人情報の保護に関する法律(リンクは現行バージョン:下記は改正後)
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録)(後略)
二 個人識別符号が含まれるもの
(第2項 省略)
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
(第4項 省略)
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(後略)
四 地方独立行政法人(後略)
(五は改正で削除 : その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者)
PTAは上記第5項、一~四のどれにもあてはまりません!…というわけで、PTAも、個人情報保護法を守る必要がでてくるのです。
ですから、PTAは個人情報を扱うにあたって、下記のことを守らなければなりません。
- 個人情報の利用目的をはっきりさせる
- 個人情報を取得するときは、その利用目的を本人に知らせる(公表する)
- 病歴を収集してはならない(170705追記:本人の同意を得れば法的にNGではないけれど、私個人としてはおススメしません)
- 差別につながる情報を収集してはならない(170705追記:同上)
- みだりに利用目的を変更・拡大してはならない
- 利用目的を変更・拡大したときは、本人に知らせる(公表する)
- 個人情報のデータは、最新かつ正確に保つ
- 個人情報をとりあつかう人は、データの安全管理のため勉強する
- 法令に定める場合をのぞき、勝手に個人データを関係ない人に渡してはいけない
- 偽りその他不正な手段によって個人情報を取得してはならない
- 個人データの内容照会に応じる
- 個人データの訂正に応じる
- 個人データの削除に応じる
- 苦情に対応する
上記は、法律の文言をもとに、私が言葉をいいかえて説明したものです。ざっくりとした説明で、法律の素人がこんなことをして申し訳ないです。詳しく知りたい方は、同法 「第四章 個人情報取扱事業者の義務等」をご覧ください。同法の新旧対応表は首相官邸サイトからアクセスできます。
もっとも私が声を大にして言いたいのは、病歴を収集してはならない、です。
PTAあるあるの、「病気で役員委員を断るなら診断書をもってこい」、ということは法律違反になります。(注:猫紫紺判断、詳細は6/4の追記参照)はなりませんが、人道的にどうでしょうか。少なくとも、本来のPTAの精神からは外れることだと思います。
いただいたコメント「親切心ではじまったはずが… (ちゃいんこ)2017-06-14 16:34:17」をご覧ください。こちらは診断書ではありませんけれど、重い個人の事情をPTAが集めてしまった結果、PTA本部のひとの精神的負担がとても大きかった、というケースです。引用します。
春の委員決めでは、配慮の必要な方は事前申し出るシステムにしたのですが、大量の深刻な情報が集まり
恐ろしく感じました。
役員メンバー全員、正直知りたくなかったな、という感想。
委員決定後に大急ぎでシュレッダーにかけました(汗)
ちなみに、私はこんな重い事情の紙を一枚みただけで、暗~い気持ちになったことがあります。「正直知りたくなかったな」という感想は、とってもよくわかります。そんな気持ちにさせる紙が、束になってやってきたとしたら…たまりません。
そしてもういっこPTAあるあるの、会員のPTA活動履歴を収集して「やっていない人に役を押し付ける」材料にすること、これだって問題だ法に触れる可能性がおおきいと、私は思います。
本人の同意を得たうえで、会員のPTA活動履歴を収集することは、法にはふれません。けれど、収集した情報を「やっていない人に役を押し付ける」材料にすること、これはどうでしょうか。この状態が、あるPTAという任意団体の方針でみなが承知しているならば法に触れないそうです。しかし、私は個人情報保護法の外のなにかの法律、あるいは人道的に問題だと考えています。(青字170705追記修正)
***
なお、首相官邸サイトで見つけた個人情報保護法改正のポイントに、リンクいたします。これ、全体的な変更点がわかりやすいです。
***
■170204追記します。
過去にこんな記事を書いていましたので、ご参考にリンクします。
学校が収集する個人情報の扱いについて、最低限の断り書きがしてあります。
■170208追記します。
1/29に書いたこのエントリは、当分トップへおいておきます。
なお、こんな記事も書いていましたので、リンクします。
■170604追記します。
私がPTAは「病歴を収集してはならない」と言い切ったことについて、「通りすがりのPTA改革中の会長」さんからコメント欄で誤った認識だとご指摘をうけました。
"本人の同意なしに"要配慮個人情報を収集してはならないということであって、ただちに収集を禁じているわけではありません。
このように要配慮個人情報のことを解説している、弁護士事務所のサイトがあることは承知しています。ただし、これは、一般企業を念頭に置いた解説です。あとは、病院など要配慮個人情報のかたまりをあつかう機関のために改正法17条第2項が定められたときいています。
(適正な取得)
第十七条 (1項 略)
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二~六 新旧対照表の14ページ参照
確かに、第十七条だけを読むと、ご指摘の解釈がなりたつと思います。ただ、以下の第三条に注目してください。
(基本理念)
第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
基本理念をあわせて考えることは重要です。第三条と第十七条の時点で、要配慮個人情報をあつめることは、一般的にいって極力さけるべきことだ、と私は判断しました。
さらに、PTAの運営実態をかんがみたとき、PTAに要配慮個人情報を渡すことは、会員にとって人格尊重とはいえない、と考えます。要配慮個人情報をうけとるPTA本部側だって、扱いに困ると思います。双方不幸になるだけ。
したがって、「PTAは要配慮個人情報を収集してはならない」、と私は解釈します。
※もっとも、これはあたらしく施行された法の解釈問題ですから、これから事例が蓄積されて、解釈がまとまっていくものと考えられます。現時点の手持ちの資料でこれだけ書きましたが、大事なことなので、じっくり調べてゆきたいと思います。
■170705追記します。
知り合いの法学博士にこのエントリを点検していただき、誤りを3点指摘していただきました。それに伴い、該当部分を追記修正しました。本文中の追記は、この濃い青文字にしてあります。
