なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:本人の同意

nyugaku_girl

1.はじめに

2024年1月29日付の朝日新聞に「入学前の子の個人情報、小学校が無断でPTAに提供 埼玉県内で判明」との記事が掲載されていました。

この記事によると、埼玉県白岡市の市立小学校で、入学前の生徒の氏名・住所・保護者の電話番号などの個人情報がPTAに提供されていたことが発覚したとのことです。

これはなかなか難しい問題だなと思い、私も主に公立学校からPTAに個人情報が提供される場面の本人確認の要否等について、少し調べてみました。(国会図書館の国会図書館サーチやCiniiなどで調べても、そもそもPTAと個人情報保護法に関する資料・文献が少ないようで難儀しました。)

2.PTAとは

公益社団法人日本PTA全国協議会サイトのページ「はじめましてPTA」によると、PTAとは「子どもたちが「社会教育」を受けるためのもの」であり、同時に保護者の「成人教育の場」でもあるとのことです。そして同ページによると、PTAの趣旨・目的は、「子どもたちが正しく健やかに育ってゆくには、家庭と学校と社会とが、その教育の責任を分けあい、力を合わせて子どもたちの幸せのために努力してゆくことが大切である」と説明されています。つまり学校とPTAは趣旨・目的が異なる団体・法人です。

またこの点、筑波大学の星野豊先生の「総合研究・教育と法・第72回 PTAに関する現代的問題点」『月刊高校教育』48巻3号82頁(2015年)によると、PTAの設置などに関しては法律で特別の規定が存在しておらず、つまりPTAは民法でいうところの「権利能力なき社団」であるそうです。そのため、PTAは「国公私立を問わず、学校とは完全に別団体」であると説明されています。

すなわち、PTAと学校とは別法人なのですから、個人情報保護との関係ではPTAと学校を一体のものと考えることや、PTAを学校の部門の一つと考えることは正しくないことになります。

3.個人情報保護法から考える

(1)令和3年個人情報保護法改正
まず学校からPTAへの個人情報の提供等を考えるために個人情報保護法について考えてみます。

令和3年(2021年)の個人情報保護法改正により、個人情報保護法制の官民一元化が行われ、行政機関個人情報保護法や独立行政法人個人情報保護法、全国の自治体の個人情報保護条例なども原則として個人情報保護法に一本化されました。そのため、現在においては全国の公立学校には個人情報保護法の第5章の「行政機関等の義務等」が適用されることになります。(なお、私立学校やPTAについては、民間事業者等に関する第4章の「個人情報取扱事業者等の義務等」が適用されます。(個人情報保護委員会「自治会・同窓会等向け 会員名簿を作るときの注意事項」4頁参照。))

(2)個人情報保護法69条
そこで個人情報保護法第5章の第69条をみると次のように規定されています。

個人情報保護法
(利用及び提供の制限)
第六十九条 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
 前項の規定にかかわらず、行政機関の長等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
 本人の同意があるとき、又は本人に提供するとき。
 (略)
 (略)
 前三号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき
(後略)

このように個情法69条1項は、民間部門に関する同法18条、27条と異なり、「行政機関の長等は…利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。」と規定しており、利用目的の範囲内であれば個人情報を提供することができると規定しています。

また、同法同条1項1号は、行政機関等は「本人の同意」があるときは提供ができると規定しており、さらに同条同項4号は、「本人以外の者に提供することが明らかに本人の利益になるとき」にも行政機関等は個人情報を提供できると規定しています(岡村久道『個人情報保護法 第4版』525頁、526頁)。

そのため、①公立学校は利用目的の範囲外である場合には、その保有する個人情報をPTAに提供するときは本人の同意(または保護者の同意)が必要となり、②利用目的の範囲内である場合には、その保有する個人情報をPTAに提供するときは本人の同意(または保護者の同意)が不要となります。また、③利用目的の範囲外であっても、本人の同意(または保護者の同意)があるときや、「本人以外の者に提供することが明らかに本人の利益になるとき」には個人情報を提供することが可能です。

(なおこの「本人以外の者に提供することが明らかに本人の利益になるとき」(個情法69条1項4号)について、個人情報保護委員会の「個人情報保護法ガイドライン(行政機関等編)」5‐5‐2 「例外的に利用目的以外の目的のための利用及び提供が認められる場合」は、「「本人以外の者に提供することが明らかに本人の利益になるとき」とは、本人の生命、身体又は財産を保護するために必要がある場合や、本人に対する金銭の給付、栄典の授与等のために必要がある場合などが含まれ、例えば、緊急に輸血が必要な場合に本人の血液型を民間病院の医師に知らせる場合、災害や事故に遭ったときにその旨を家族に知らせる場合等が考えられる。」と規定しています。そのため、この「本人以外の者に提供することが明らかに本人の利益になるとき」は、児童が交通事故にあったとき等、例外的な場合に限られるものと考えられます。)

(3)個情委の「自治会・同窓会等向け 会員名簿を作るときの注意事項」
つぎに、個情委の「自治会・同窓会等向け 会員名簿を作るときの注意事項」(以下「会員名簿注意事項」)は、まず「事業で名簿等を利用していれば、株式会社等の営利組織だけでなく、自治会・町内会、同窓会、PTA、マンション管理組合、NPO法人、サークル等の非営利の団体や、個人で活動している個人事業主も「個人情報取扱事業者」に該当します。」(4頁)と規定しており、PTAも個人情報取扱事業者に該当し、個人情報保護法の適用を受けるとしています。

また、「会員名簿注意事項」7頁は、「市町村等は、「行政機関等」であって「個人情報取扱事業者」ではありません(法16条2項、法2条11項)。…このとき、提供を受ける個人情報について、利用の目的や方法等の制限、又は取扱者の範囲の限定や取扱状況の報告等適切な管理のために必要な措置を求められた場合には、適正に対応する必要があります(法70条)。」と規定しています。

さらに、「会員名簿注意事項」7頁は、「行政機関等においては、法令の定める所掌事務や業務を遂行するために必要な場合において、特定した利用目的のために自治会等に保有個人情報を提供することがあります(法61条1項、法69条1項)。その他にも、法令に基づく場合(法69条1項)や利用目的以外の目的のために保有個人情報を提供する場合があります(法69条2項各号)が、実際に提供を行うことの適否については、各行政機関等において適切に判断される必要があるものです。市町村等が保有個人情報の提供を行うケースとして、災害時において特に必要があると認めるときに、避難支援等の実施に必要な限度で避難行動要支援者名簿を自主防災組織等に対して提供する場合(災害対策基本法第49条の11第3項)等が考えられます。」と規定しています。

市町村等から取得する場合
(個人情報保護委員会「自治会・同窓会等向け 会員名簿を作るときの注意事項」7頁より)

4.個別の事例に分けて考えてみる

(1)概要
公立学校とPTAの個人情報保護については、このように上でみてきた個人情報保護法および個情委のガイドラインや「自治会・同窓会等向け 会員名簿を作るときの注意事項」の規定によることになりますが、上で見た星野豊先生の「総合研究・教育と法・第72回 PTAに関する現代的問題点」『月刊高校教育』48巻3号82頁にあげられている具体例を次のとおり、いくつか検討してみたいと思います。

【児童や保護者の本人の同意が必要と思われる場合】
(2)PTAの役員決めやPTA会費徴収等のために公立学校がPTAに児童等の個人情報を提供する場合
この場合については、「PTAの役員決めやPTA会費徴収等」をPTAが行うことはPTA内部の問題であり、公立学校の個人情報の利用目的とは関係がないため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに行うことはできないと考えられます(個情法69条1項1号)。

(3)PTAにおいて、PTA活動における各家庭の負担分配に際して、同じ学校に兄弟姉妹が在学しているかを確認する場合
この場合については、「PTA活動における各家庭の負担分配」をPTAが行うことはPTA内部の問題であり、公立学校の個人情報の利用目的とは関係がないため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに行うことはできないと考えられます(個情法69条1項1号)。

【児童や保護者の本人の同意が不要と思われる場合】
(4)PTAで雇用した職員等が事実上学校の事務を補助している場合
この場合には、「学校の事務を補助する」という公立学校の利用目的の範囲内で個人情報を提供する場合にあたると考えられるため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに可能と考えられます(個情法69条1項)。

(5)学校の進路説明会や高大連携企画等においてPTAが「援助」「協賛」等を行う場合
この場合も、学校の進路説明会・高大連携企画等は公立学校の個人情報の利用目的の範囲内と考えられるため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに可能と考えられます(個情法69条1項)。

(6)学校として行うべき事務連絡の一部をPTAないし各家庭の相互連絡に委託するための「連絡網」の場合
現在は、こうした「連絡網」ではなく公立学校等から各家庭への一斉メールなどが一般的であると思われますが、このような「連絡網」も、「学校として行うべき事務連絡の一部」である限りは、公立学校の個人情報の利用目的の範囲内であると思われ、この個人情報のPTAへの提供については本人同意(または保護者の同意)は不要であるように思われます(個情法69条1項)。

(7)災害時において特に必要があると認めるときに、避難支援等の実施に必要な限度で避難行動要支援者名簿を自主防災組織等に対して提供する場合
この場合には、上の個情委の「会員名簿注意事項」7頁が規定しているとおり、災害対策基本法第49条の11第3項の規定に基づいて、自治体や公立学校等が名簿などの個人情報をPTAに提供することは可能となる余地があるように思われます。しかしその一方で、災害時でない平時においては、公立学校等からPTAに名簿を提供するには児童本人の同意(または保護者の同意)が必要となると思われます。

公立学校からPTAに個人情報を提供する場合の本人同意の要否の図

【注1】なお、児童・子どもの本人の同意について、個情委の「会員名簿注意事項」14頁は、「一般的には12歳から15歳までの年齢以下の子ども」については、保護者などの「法定代理人の同意を得る必要がある」と規定しています。

【注2】自治体や公立学校等がPTAに個人情報を提供する場合には、当該個人情報について、利用目的や方法等の制限、取扱者の限定、取扱方法の報告など適切な管理のために必要な措置が課されることがあり、その場合にはPTA等は当該措置を遵守する必要があります(個情法70条、個情委「会員名簿注意事項」7頁)。

5.その他・まとめ

なお、冒頭の朝日新聞の記事によると、埼玉県教育委員会は2017年に、「学校が入手した個人情報を「PTAへの加入」などに用いるのは「目的外利用」だとする見解などを事務連絡として各市の教育委員会に伝えており、白岡市教育委員会も2023年2月に、市内の全10小中学校に対して「学校が保有している個人情報は、PTAに提供しないことを原則とする」などとする通知を発出したとのことです。

学校やPTAにおいても、個人情報保護法や個情委のガイドライン等に準拠した個人情報の取扱いが求められると思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・「入学前の子の個人情報、小学校が無断でPTAに提供 埼玉県内で判明」朝日新聞2024年1月29日付
「はじめましてPTA」日本PTA全国協議会
・星野豊「総合研究・教育と法・第72回 PTAに関する現代的問題点」『月刊高校教育』48巻3号
・個人情報保護委員会「自治会・同窓会等向け 会員名簿を作るときの注意事項」
・岡本久道『個人情報保護法 第4版』525頁、526頁
・「公立学校から個人情報第三者提供の原則禁止について」|長野県(2023年7月)
・佐藤香代「教育問題法律相談No.417 PTA活動と改正個人情報保護法」『週刊教育資料』2017.7.3号31頁
・木村草太『木村草太の憲法の新手』31頁

※なお、個別の紛争解決などに関しては、弁護士や法律学者などの専門家にご相談ください。

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

三菱銀行トップページ
(三菱UFJ銀行サイトより)

1.はじめに
2022年5月8日の読売新聞の報道によると、三菱UFJ銀行はサイバーエージェントと提携し、年度内に自社の個人・法人の顧客の金融資産などの個人データを利用した広告事業を年度内に開始するとのことです。記事によると三菱UFJ銀行はこの新しい広告事業を同銀行本体で実施するようですが、これは2021年の銀行法改正で可能になったスキームのようです。銀行の広告事業などには関心があったため、2021年の銀行法改正や個人情報保護法上の「本人の同意」について少し調べてみました。

・三菱UFJ銀、サイバーエージェントと提携し広告事業参入…同意得て匿名化の顧客情報活用|読売新聞

2.三菱UFJ銀行の広告のスキーム
まず、本記事によると、「三菱UFJ銀は約3400万人の預金口座や約120万社の取引データの活用を想定している。顧客の事前の同意を前提に、口座所有者の年齢や性別、住所に加え、預金額や運用資産・住宅ローンの有無といった金融データを匿名化した上で利用する。広告主は宣伝したい対象として、例えば「預金1000万円以上の女性」や「資産運用している40歳代男性」などに絞る。対象に合った個人や法人が、スマホやパソコンなどの端末でSNSやアプリ、検索サイトなどを利用すると、広告が表示される仕組み」とのことです。

三菱銀行の広告スキーム図
(三菱UFJ銀行の広告事業のスキーム図。読売新聞より)

3.2021年の銀行法改正
(1)2021年の銀行法改正の趣旨
令和3年の第204国会で5月19日に成立した「新型コロナウイルス感染症等の影響による社会経済情勢の変化に対応して金融の機能の強化及び安定の確保を図るための銀行法等の一部を改正する法律」は新型コロナの社会的影響を受けて、日本経済の回復・再生を力強く支える金融機能を確立するため、規制緩和や環境整備を推進するために、銀行に対してはデジタル化や地方創生への貢献を強化するための銀行法改正が行われています。

概要2
(2021年銀行法改正の概要。金融庁サイトより)

(2)銀行法改正の具体的内容
①銀行業高度化会社の他業業務の認可の要件の緩和
広告事業などの関係をみると、まず、2017年に制度が開始した銀行の子会社としての「銀行業高度化等会社」は、ITを活用した銀行業務の高度化などを認めるための制度ですが、従来「他業」とされていたFintechや地域商社業務などを金融庁の他業の認可を受けて実施するものでした。この認可には収入依存度規制などの厳格な規制が存在していました。

これに対して2021年の改正銀行法は、銀行高度化等会社の業務に「地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務」が新たに追加されました。この業務の個別列挙は行われず、各銀行の創意工夫で幅広い業務を行うことが可能となります。具体的には、デジタル、地域創生、持続可能な社会の構築などに関する業務が想定されています。この業務は、収入依存度規制はなくなり銀行の負担を減らして金融庁の認可が取得できることになっています。(改正銀行法16条の2第1項15号など。)

②特例銀行業高度化等業務を行う銀行業高度化等会社の新設
つぎに、銀行業高度化等会社の他業認可よりも基準が緩い「特例銀行業高度化等業務」のみを行う高度化等会社というカテゴリが新設されました。この高度化等会社の業務は個別列挙されていますが、具体的には、①Fintech、②地域商社、③登録型人材派遣、④自行アプリやシステムの販売、⑤データ分析・マーケティング・広告、⑥ATM保守点検、⑦障害者雇用促進の特例子会社、⑧成年後見業務などが想定されています。そしてこれらの他業の金融庁の認可については収入度依存度規制などの厳格な規制はなくなり、銀行の負担が緩和されています。(改正銀行法52条の23の2第6項など。)

③銀行本体の付随業務
さらに、金融システムの潜在的なリスク(優越的な地位の濫用等)に配慮しつつ、銀行本体の付随業務に銀行業に係る経営資源を主として活用して営む業務であって、デジタル化や地方創生などの持続可能な社会の構築に資するものが個別列挙され認められることになりました。具体的には、①自行アプリやシステムの販売、②データ分析・マーケティング・広告、③登録型人材派遣、④コンサルティングなどが個別列挙されます。そして従来、銀行本体の付随業務には「銀行業との機能的な親近性」などの要件が課されていましたが、個別列挙された業務にはその制約がなくなります。(改正銀行法10条2項21号など。)

4.改正銀行法10条2項21号および金融分野における個人情報保護に関するガイドライン
(1)改正銀行法10条2項21号
読売新聞の本記事を読むと、三菱UFJ銀行が行おうとしているデータ分析・マーケティング・広告事業は③の銀行本体における業務であると思われます。そこで、個人情報に関する顧客の本人の同意についてはどうなっているのかと改正銀行法10条2項21号をみると、ここには特に規定がありません。

銀行法

(業務の範囲)
第十条 銀行は、次に掲げる業務を営むことができる。
 預金又は定期積金等の受入れ
 資金の貸付け又は手形の割引
 為替取引
 銀行は、前項各号に掲げる業務のほか、次に掲げる業務その他の銀行業に付随する業務を営むことができる。
(略)
二十一 当該銀行の保有する人材、情報通信技術、設備その他の当該銀行の営む銀行業に係る経営資源を主として活用して営む業務であつて、地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務として内閣府令で定めるもの

(2)主要行等向けの総合的な監督指針
つぎに、金融分野個人情報保護ガイドライン(金融分野における個人情報保護に関するガイドライン)14条(個人関連情報の第三者提供の制限等(法第31条関係))1項 はつぎのように規定しています。

金融分野個人情報保護ガイドライン

第14条1項

金融分野における個人情報取扱事業者は、個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第1号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、

① 対象となる個人関連情報の項目
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的

本人に認識させた上で同意を得ることとする。

すなわち、個人情報保護法31条と同様に金融分野個人情報保護ガイドライン14条1項も、銀行が顧客の顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を広告会社などに第三者提供する際には、本人の同意を得ることが必要であるとしています。

5.まとめ
したがって、仮に三菱UFJ銀行が広告事業を行うにあたり、顧客の属性や金融資産情報などを匿名加工情報にしたとしても、顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を第三者提供する限りはやはり本人の同意の取得が必要となります。

なお、この銀行法改正に関連して、例えば野村総合研究所は銀行の広告事業を支援するサービスを開始したそうです(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」)。

概要3
(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」より)

このスキームは銀行と広告主の間に野村総研が入り、銀行の個人データなどの第三者提供などを媒介するスキームであるようです。この野村総研のスキームにおいては、銀行は個人関連情報だけでなく、金融資産や属性データ、閲覧履歴、行動履歴などの個人データの第三者提供のための顧客の本人の同意をあらかじめ取得することが必要であると思われます(個人情報保護法27条1項)。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・荒井伴介・脇裕司・杉本陽・豊永康史「2021年銀行法等の一部を改正する法律の概要」『金融法務事情』2170号(2021年9月25日号)14頁
・家森信善「業務範囲規制の緩和を生かして顧客支援の充実を」『銀行実務』2021年8月号12頁
・松本亮孝・今拓久真・椎名沙彩・赤井啓人「金融分野における個人情報保護に関するガイドライン改正の概要」『『金融法務事情』2183号(2022年4月10日号)9頁

■関連する記事
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・コロナの緊急事態宣言をうけ、代表取締役が招集通知後に取締役会決議を経ずに株主総会の日時場所を変更したことが違法でないとされた裁判例-大阪地決令2.4.22
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見














このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ