※トップ画像は個人情報保護委員会のリリース表紙です。
皆さんこんにちは。
プライバシーザムライ中康二です。
大手学習塾「四谷大塚」の元講師が児童を隠し撮りし、その氏名や連絡先と共にSNSに投稿していた事件が話題になっています。この事件について、すでに報道でご存じの方も多いでしょう。
以前の記事でもお伝えしたように、この元講師は警視庁に逮捕され、法人としての四谷大塚も個人情報保護法の両罰規定に基づき書類送検されました。
さらに、個人情報保護委員会(PPC)は、2023年2月29日付で株式会社四谷大塚に対して、個人情報保護法に基づく指導を行ったことを発表しました。
今回の指導の要点は以下の2点です。
目次
指導の要点
(1)報告の遅れと体制の不備
四谷大塚は、個人情報保護法第26条第1項に基づく報告をPPCに行いましたが、速報は事件発覚から58日後、確報は65日後と大幅に遅れました。PPCのガイドラインでは、速報は発覚後3~5日以内、確報は30日以内(不正アクセスの場合は60日以内)が基準です。
PPCは、同社が「人的リソース不足を理由にコンプライアンスおよびリスク管理に関する部署を設置しておらず、報告体制が機能していなかった」と指摘しています。つまり、報告が遅れた背景には、そもそも社内体制が不十分だったという問題があります。企業は、プライバシーマークを取得しているかどうかに関係なく、個人情報保護のためのしっかりした体制を整備する必要があります。
(2)子どもの個人情報を扱う事業者としての責任
四谷大塚には、全国に8700名の児童が在籍しており、同社は大量の子どもの個人情報を扱っています。管理している個人データの項目には、生徒の氏名、生年月日、住所、小学校名、成績などが含まれます。
PPCは「子どもの個人データは、特に安全を守る観点から注意して取り扱うべき」と指摘しています。社会的弱者である子どもの個人情報は、成人の情報よりも一層の配慮が必要です。同様に、高齢者の情報なども特殊詐欺のターゲットになることが多く、特別な配慮が必要と言えるでしょう。
公式発表の詳細はこちらでご確認いただけます: 株式会社四谷大塚に対する個人情報保護法に基づく行政対応について(PPC)
過去の記事もぜひご覧ください: 個人情報保護法の両罰規定に基づく法人書類送検事例~学習塾での盗撮画像公開事件~また、全国学習塾協会が発表している個人情報保護に関するガイドラインも参考にしてください: 学習塾における個人情報保護ガイドライン
学習塾が個人情報を漏洩しないための対策
では、学習塾が個人情報漏洩を防ぐためにどのようなことに気をつけるべきか、いくつかの対策を考えてみましょう。
(1)教育・研修による対策
今回の事件は外部からの犯行ではなく、内部のスタッフによるものでした。そのため、定期的な研修を通じて、従業員一人ひとりの個人情報保護に対する意識を向上させることが重要です。
入社直後の研修に加え、年に一度の定期研修を実施し、個人情報保護方針や規定、社内ルールを周知徹底します。また、個人情報が漏洩した際の会社や従業員への影響、懲戒処分についても教育し、社員の意識を高めることが効果的です。
こうした教育には、E-Learningの活用もおすすめです。集合研修にかかるコストを抑えつつ、効率よく実施できます。私たちが提供している「Pマーク・ISMSのためのE-Learning」もぜひご覧ください。
(2)システムによる対策
監視カメラの設置や個人デバイスの使用制限も有効な対策です。監視カメラは、AIを搭載した最新のものでは、防犯や映像分析も自動で行えるものがあり、非常に効果的です。
また、個人デバイスの使用制限を設けることで、異常な行動を迅速に発見することが可能になります。特に学習塾では、生徒情報が紙でも管理される場合が多いため、紙の情報は鍵付きキャビネットで保管するなどの工夫も必要です。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
