個人情報保護ガイドライン

日本教育学会の会員が取り扱う個人情報の保護等に関するガイドライン大綱

2023年8月26日改訂

2023日本教育学会個人情報保護ガイドライン改訂対応表

個人情報の保護に関する法律(以下「個人情報保護法」)が施行され、学校等の教育機関に保存される資料(以下「学校等保存資料」)がこれまで以上に厳密に管理され、あるいは徹底して廃棄されるようになり、その結果として学校等保存資料を教育学の研究に活用することが困難になってきている。

個人情報保護法では、その第50条第1項第3号において、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」が「学術研究の用に供する目的」で個人情報を取り扱う場合には、学術研究の公益性を重視し、個人情報取扱事業者の義務等に関する同法第4章の各条項の規定の適用を除外するとしているが、規定の適用除外の具体的な手続きは何ら定められていない。

そこで、日本教育学会としては、各会員が個人情報を含む資料を適正に利用するために必要なことがらをとりまとめた「日本教育学会の会員が取り扱う個人情報の保護に関するガイドライン」を作成した。下記の項目はその要点である。各会員がこれらの事項を遵守して研究活動を行う事実や実績が積み重ねられることにより、教育学研究に対する信頼が高まり、その結果として、貴重な学校等保存資料が廃棄されることなく保存され、研究資料として活用されやすくなっていくような社会的環境が醸成されることを期待したい。

  1. 個人情報を取り扱う場合には、利用目的を明確に特定する。
  2. 不正の手段によって個人情報を取得しない。
  3. 利用目的を公表せずに個人情報を取得した場合は、速やかにその目的を本人に通知し、または公表するように努める。
  4. 調査・実験等を行う場合は、その対象者や協力者の個人の尊厳やプライバシーなどの人権を守る。対象者・協力者から個人情報を取得する場合は、調査・ 実験等の実施主体、目的、方法、情報管理の仕方、報告の仕方などを説明し、理解や同意を得る。対象者・協力者はいつでも同意を撤回することができることについても説明する。
  5. 同意を得ずに利用目的以外に個人情報を取り扱わない。
  6. 個人情報の管理にあたっては、漏洩、滅失、毀損などを防ぐための最大限の安全措置をとる。
  7. 個人情報を含む資料を第三者に提供する場合には、あらかじめ本人の同意を得る。他の研究者と共同で利用することになった場合には、利用の範囲、目的、管理などについてあらかじめ本人に説明する。
  8. 調査・実験等で得られた知見を論文等の形で公表する場合には、調査対象の匿名化など、個人情報の保護のための必要な措置を講じる。
  9. 当事者から保有する個人情報の開示を求められた場合には、すみやかに応じる。
  10. 個人情報保護法が適用されない量の個人情報を取り扱う場合であっても、同法の趣旨とこのガイドライン要綱に従って取り扱うものとする。
  11. 上記1〜10の事項は、研究のみならず、本学会および会員が実施する広報活動に対しても適用される。

日本教育学会の会員が取り扱う個人情報の保護等に関するガイドライン

1.目的

個人情報の保護に関する法律(以下、単に「法」という。)第50条第1項第3号において、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」が個人情報を取り扱う場合、その目的の全部又は一部が「学術研究の用に供する目的」であるときは、学術研究の公益性を重視し、個人情報取扱事業者の義務等に関する法第4章の規定の適用を除外するとしている。

しかしながら、法第50条第3項においては、「個人情報の安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。」と規定されている。

そこで、法第50条第3項の規定の趣旨を踏まえ、専ら個人情報を学術研究の用に供する目的で取り扱う場合を念頭におき、日本教育学会(以下、「学会」という。)の会員(以下、「学会員」という。)が取り扱う個人情報の性質にかんがみ、個人情報の有用性に配慮しつつ、個人の権利利益を保護するための基本となる事項を定めることにより、学会員による個人情報の適正な取扱いを確保すること等を目的として、このガイドラインを定めるものである。

【1のポイント】
学会員(学会を含む)が個人情報を「学術研究目的」で利用する場合には、仮に個人情報を5001以上保有する場合においても、法第50条第1項第3号の適用除外規定により、「個人情報取扱事業者」として法的に扱われることを免れる。すなわち、法第4章に定める、個人情報取扱事業者の様々な義務規定等が適用されることはない。

ただし、「個人情報取扱事業者」として扱われることを免れることが、そのまま、個人情報の扱いに関して何の制約も受けないことを意味するのではない。「個人情報取扱事業者」に特定された義務規定等は適用されないものの、個人情報保護法の他の条文は遵守を求められるからである。

なお、学会は、会員や事務局職員に係る個人情報を保有しているが、これらは、「雇用管理・人事管理」等の目的で取得され、利用されることが通常である。法第50条第1項第3号の適用除外規定は個人情報を「学術研究目的」で利用する場合に適用されるものであり、個人情報を専ら「雇用管理・人事管理」等の目的で利用する場合には適用されない。

したがって、会員および事務局職員に係る個人情報を、「学術研究目的」ではなく、専ら「雇用管理・人事管理」等の目的で利用する場合は、その限りにおいて、学会は、法の原則に立ち戻り、(これらの個人情報の5001以上保有する場合には)「個人情報取扱事業者」として、法第4章に定める、個人情報取扱事業者の様々な義務規定等が適用となる可能性がある点に留意しておく必要がある。

2.定義

このガイドラインにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

一 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの及び他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。

【一のポイント】
個人情報保護法の保護対象となるのは「生存する個人に関する情報」である。例えば、死者の遺伝子に関する情報や死者の相続財産に関する情報等、死者に関する個人情報が、同時に遺族自身の個人情報と考えられる場合は、あくまで「遺族」という「生存する個人」に関する情報として法の対象となるが、純粋に死者のみに関係する個人情報は保護の対象とはならない。

「特定の個人を識別する」手かがりとなるものとしては、氏名、住所、生年月日が典型例だが、そのほか、例えば、電話番号、役職名、個人別に付された記号、番号(振込口座番号、試験の受験番号、保険証の記号番号、年金証書の番号等)などがある。また、映像や音声であっても、特定の個人が判別できるものは含まれる。

二 個人情報データベース等 個人情報を含む情報の集合物であって、次に掲げるものをいう。

① 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
② ①に掲げるもののほか個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次索引その他検索を容易にするためのものを有するもの

【二のポイント】
「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものをいう。

三 個人データ 個人情報データベース等を構成する個人情報をいう。

四 個人情報データベース等を扱う学会員 学会員で、個人情報データベース等を学術研究の用に供している者であって、その学術研究の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において、5001以上となる者をいう。学会が個人情報データベース等を学術研究の用に供する場合は、学会も含まれる。

【四のポイント】
事業者の形態は、個人であるか個人事業主であるか法人であるか、営利を目的とするかしないかなどは問われない(私的利用の場合は除く)。また、5001以上か5000以下かは、学会員(学会を含む)が管理する全ての個人情報データーベース等を構成する個人情報によって識別される特定の個人の総和が5001人以上か5000人以下かで判断される(ただし、同一個人の重複分は除かれる)。

五 保有個人データ 個人情報データベース等を扱う学会員が、開示、訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人データであって、次に掲げるもの以外のものをいう。

① 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
② 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
③ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
④ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
⑤ 6か月以内に消去することとなるもの

六 本人 個人情報によって識別される特定の個人をいう。

3.利用目的の特定

(1) 個人情報データベース等を扱う学会員は、個人情報を取り扱うに当たっては、利用目的をできる限り明確に特定するものとする。

【(1)のポイント】
「利用目的をできる限り明確に特定する」とは、個人情報データベース等を扱う学会員が個人情報を利用するに際して、当該個人情報において識別される本人に不測の損害が生じないよう、本人において、自己が識別される個人情報の利用範囲を予想できるようにすることにある。

したがって、利用目的を特定すべき程度は、「本人において、自己が識別される個人情報の利用範囲を予想できる」か否かという基準で判断されるべきということになる。単に「学術研究のため」だけでは特定したことにはならず、どのような分野のどのような研究(調査)であるかを列挙しておくことが適切である。

ただし、あまり細かく特定してしまうと、次に掲げる②の目的の変更の範囲におさまらず、既に取得済みの同じ個人情報を再度利用するにもかかわらず、新たに利用目的を特定しなおして、個人情報を取得しなおさなければならない不便が生じるので、一定程度概括的な特定となるのはやむを得ない。

利用目的の例:
○ 戦前期学校教育の研究
○ 戦後における学校教員の研究
○ 高等学校の社会学的な分析

なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を明らかにする必要がある。

(2) 個人情報データベース等を扱う学会員がいったん特定した目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行わないものとする。

4.取得に際しての原則

(1) 個人情報データベース等を扱う学会員は、偽りその他不正の手段により個人情報を取得してはならない。

【(1)のポイント】
犯罪行為に該当するような違法な手段により個人情報を取得することは、明らかに本項に違反する。また、本人に対して利用目的を隠したり、偽ったり、誤解させたりすることにより個人情報を取得することも許されないと解される。

さらには、第三者への提供制限に違反して個人情報を提供している者からその事実を知りつつ取得することも不正な取得に当たると考えられる。

(2) 個人情報データベース等を扱う学会員は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表するよう努めるものとする。

【(2)のポイント】
「通知」の具体的な例としては、文書を郵送する場合、対面若しくは電話での口頭による場合、電子メール又はファクシミリを送信する場合等が考えられる。

他方、「公表」の具体的な例としては、ホームページへの掲載、パンフレットの配布、事務所の窓口等における書面の掲示等が考えられる。

5.学術研究目的のために行う各種の調査・実験等に関する対応等

(1) 学会員(学会を含む)は、学術研究目的のために各種の調査・実験等を行うに当たっては、調査・実験等の対象者並びに協力者(以下、「対象者等」という。)について、対象者等個人の尊厳とプライバシーなどの人権を守るようにしなければならない。

(2) 個人情報データベース等を扱う学会員が、学術研究目的のために、各種の調査・実験等を行うに際して、調査・実験等の対象者等から当該対象者等の保有する個人情報(対象者本人に係る個人情報及び対象者本人以外に係る個人情報)を取得する場合は、できる限り、対象者等に対して、書面又は口頭で、調査・実験等に関する必要十分な情報(調査・実験等の実施主体・目的・方法、取得した個人情報の管理等の方法、調査・実験結果報告の仕方など)を提供し、対象者等の理解を得、個人情報の取得についての同意を得るよう努めるものとする。

ただし、調査・実験等の性格上、あらかじめ調査・実験等に関する情報を明らかにすることができないときは、できる限り、その旨を対象者等に告げて、理解を得、個人情報の取得についての同意を得、明らかにすることができなかった情報については、事後に説明するよう努めるものとする。

(3) 前項において、対象者等の理解・同意を得るに際しては、学術研究目的で個人情報を取扱う者に対して、個人情報を提供する行為については、法第35条で、主務大臣の権限(報告の徴収、助言、勧告又は命令)が行使されないこととされていることもあわせ説明し、理解を得るようにすることが望ましい。

(4) また、対象者等に対して、このガイドラインを示すなどして、個人情報データベース等を扱う学会員が、このガイドラインに従って個人情報を適切に取り扱っている旨説明し、理解を得るようにすることが望ましい。

【5のポイント】
個々の調査・実験等を行う場合において、対象者等から協力を得やすくし、調査・実験等がスムーズに行えるよう、学会及び学会員の心構えや配慮すべき事項(対象者等の情報提供者の理解を得るために説明すべき内容等)について特に規定したものである。

なお、5の(1)は、主語が、「個人情報データベース等を扱う学会員」ではなく、「学会員(学会を含む)」となっている。(1)の内容である調査・実験等の対象者等個人の尊厳とプライバシーなどの人権を守ることは、調査・実験等を行う研究者なら誰でも当然なすべきことであり、保有する個人情報の多寡の問題ではないからである。

6.利用目的による制限

(1) 個人情報データベース等を扱う学会員は、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を越えて、個人情報を取り扱わないものとする。

(2) 前項の規定は、次に掲げる場合については、適用しない。

一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童生徒の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

【6のポイント】
目的外利用の原則禁止を規定したものである。(2)の例外の内容については、12の第三者提供制限の例外と同じである。

7 データ内容の正確性の確保
個人情報データベース等を扱う学会員は、利用目的の達成に必要な範囲内において、できる限り個人データを正確かつ最新の内容に保つようにすることが望ましい。

【7のポイント】
「利用目的の達成に必要な範囲内において」、できる限り個人データを正確かつ最新の内容に保てばよいとされているため、過去の一定時点の事実に関する情報が必要である場合や、現在利用していない情報に関しては、データを更新する必要はない。

8.安全管理措置

(1) 個人情報データベース等を扱う学会員は、取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置(以下、「安全管理措置」という。)を講じるものとする。

(2) 学会は、前項の安全管理措置として、可能な範囲内で、次の措置をとることが望ましい。

一 組織的・人的・物理的安全管理措置の例

① 個人データの管理に関する責任者(個人情報保護管理者)の設置とその権限、責任の明確化等組織体制の整備
② 個人データの保護に関する内部規程の整備(プライバシー・ポリシー、事務員の管理すべき情報などに関する規定)
③ 個人データ取り扱いマニュアル、文書又はデータの登録(入力)・保管(保存)・廃棄(消去)に関する管理規程等の作成
④ 個人データの委託先の選定基準の策定
⑤ 委託契約における安全管理の条項の整備
⑥ 個人情報の取扱いに関する従業者(学会又は法人若しくはその他の団体である学会員の事務局職員等及び個人の学会員が学術研究目的で個人データを取扱う場合において、学会員本人の補助者となり作業をする者などをいう。)に係る管理規程の作成及び教育・研修等の実施
⑦ 事務所の出入口には警備システム等のセキュリティなど個人データを取り扱っている場所(事務所全体または部屋)への入退室管理
⑧ 個人データの保管場所の施錠及び鍵の管理
⑨ 個人データへのアクセス権限を付与する者の限定
⑩ 個人データの事務所外への持ち出しの制限(個人データを持ち出す権限を付与するものの限定、持ち出し手段の限定等)
⑪ 個人データが含まれる書面又は媒体等のシュレッダー・メディアシュレッダー等による廃棄、焼却又は溶解等個人データの廃棄方法の決定
など

二 技術的安全措置の例

① コンピュータごとに別なパスワードを設定するなど個人データのアクセス権者へのID・パスワードの付与
② 個人データを取り扱うシステムのセキュリティレベルの高度化(外部からの不正アクセス防止の機能を持つソフトウエアを組み込むシステムの設定が主となる)
③ 外部のネットワークからの個人データを取り扱うシステムの遮断、または、外部のネットワークと接続しているコンピュータへのファイアウォールの設置
など

(3) 個人情報データベース等を扱う学会員が法人その他の団体である場合は、可能な範囲内で、前項に定める安全措置に準じた措置をとることが望ましい。

(4) 個人情報データベース等を扱う学会員が個人である場合は、②に定める安全措置のうち、可能な範囲内で技術的安全措置を講ずるようにするとともに、個人データの保管場所の施錠及び鍵の管理、個人データの自宅等の保管場所外への持ち出しの自粛、個人データが含まれる書面又は媒体等のシュレッダー・メディアシュレッダー等による廃棄、焼却又は溶解等データの復元ができない厳格な廃棄方法の実施などを行うようにすることが望ましい。

【8のポイント】
個人情報の漏えい等が見られる現状にかんがみれば、安全管理措置は、調査・実験等に当たり、個人情報をスムーズに提供してもらう(提供する側が安心して提供することができる環境を作る)ためにも重要であり、できる限りしっかりと行うことが望ましい。特に学会については、その取り扱う個人情報の量や教育に係る研究に対する対外的信用を確保する役割などの観点から、事務局の人員・予算等の制限はあるが、可能な限り充実した安全管理措置を講ずることが求められる(ただし、学会員について、学会と同様の安全管理措置を講ずることは実際上困難であるため、そのレベルは緩和した)。

9.調査・実験等に関する資料の保管

個人情報データベース等を扱う学会員は、学術研究目的のための調査・実験等に関する資料を保管する場合には、8で規定する安全管理措置を踏まえつつ、保管に関する記録を整えるとともに、資料に含まれている個人情報の漏えい、盗難、紛失、混交等が起こらないように適切に、かつ、研究結果の確認に資するよう整然と保管するものとする。

【9のポイント】
個人情報を適切に取扱い、個人情報の漏えい等を起こさないよう管理するため、そして、調査・実験等の結果等の適時適切な公表のためには、調査・実験等に関する資料の適切な保管が重要であることを踏まえた規定である。

10.従業者の監督及び教育等

個人情報データベース等を扱う学会員は、安全管理措置その他の個人データの適正な取扱いの確保のため、従業者(学会又は法人若しくはその他の団体である学会員の事務局職員等及び個人の学会員が学術研究目的で個人データを取扱う場合において、学会員本人の補助者となり作業をする者などをいう。)に対し、必要かつ適切な監督、教育等を行うものとする。

【10のポイント】
言うまでもなく、個人データの安全管理のためには、実際に個人データを取り扱う事務に従事する職員が、法令や本ガイドラインの趣旨を理解するとともに、安全管理措置を遵守することが必要である。実際の漏えい事案では、従業者の過失・故意によるものが多く見受けられるが、これらは個人情報保護の重要性に関する認識の欠如に起因するところが大きいことから、個人情報データベース等を扱う学会員は、職員等の監督と共に、研修等を実施するなどして職員の意識の啓発を図ることが非常に重要である。

11.個人データの委託に伴う措置

(1) 個人情報データベース等を扱う学会員が個人データの取扱の全部又は一部を外部に委託する場合は、個人データの保護について十分な措置を講じていると認められるものを選定するとともに、委託を受けたものに対する必要かつ適切な監督を行うものとする。

(2) 個人情報データベース等を扱う学会員は、前項の監督を行うに当たっては、委託契約等において次に示す事項について定めるよう努めるものとする。

一 委託を受けた者の個人データの取扱に関する事項
二 委託を受けた者の秘密の保持に関する事項
三 委託された個人データの再委託に関する事項
四 契約終了時の個人データの返却等に関する事項

【11のポイント】
個人データの取扱いを外部に委託した場合において、例えば受託者から個人情報の漏えいが発生したときに、漏えい被害者に対して最終的な責任を負うのは、委託者である学会員になる。

したがって、委託先(例としては、個人情報の入力、編集等の処理を行う者や名簿等を出版する際の印刷業者等が挙げられる)の選定に当たっては、適切な取扱いができると認められる者を委託先として選定することが望ましい。具体的には、委託先において、個人情報保護のための内部規程の整備、技術的なセキュリティ対策、従業員に対する教育その他必要な安全管理措置がなされているか等を考慮することになると思われる。

また、「必要かつ適切な監督」としては、委託契約に盛り込まれた安全管理措置等が適切に遵守されるよう、委託先に対して確認・監督することが求められる。

なお、委託先からさらに再委託がなされた場合においても、最初の委託を行った個人情報データベース等を扱う学会員は、委託先による再委託先の選定及び監督について、委託先を監督することが求められる。

12.第三者提供の制限

(1) 個人情報データベース等を扱う学会員は、個人データを第三者に提供しようとするときは、あらかじめ本人の同意を得るよう努めるものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童生徒の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

【(1)のポイント】
一の 「法令に基づく」とは、「法令上、第三者提供が義務づけられている場合に限らず、第三者提供の根拠が規定されている場合をも含む趣旨である」(宇賀克也「個人情報保護法の逐条解説」第2版111頁)とされている。

法令の規定の趣旨が、関係機関への個人情報の提供を義務づける趣旨である(法令上、提供義務が明記されている場合又は提供義務があると解される場合)かどうかにかかわらず、具体的な法令の根拠規定が存在すれば(法令の規定で提供そのものが義務付けられているわけではないが、第三者が情報の提供を受けることについて法令上の具体的な根拠がある場合であっても)、それに基づいて第三者提供する場合は、本人の同意がなくても違法にはならないと解されている。

二の「人の生命、身体又は財産の保護のために必要がある場合」とは、「災害、事故又は犯罪等の危険から生命、身体又は財産を保護するために個人情報の利用が必要な場合」とされている。

三の「公衆衛生の向上」とは、がんの疫学的研究のように、疾病の予防、治療のための研究等を意味し、「児童生徒の健全な育成の推進」とは、心身の発達途上にある児童の健全な育成を阻害する児童虐待等を防止することや非行の防止等を意味する

四の「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」とは、国の機関等からの情報提供の要請が法令の定める事務の実施のために行われるものであり、協力する事業者が目的外利用や第三者提供を行うことについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(同意を得ようとすることにより、調査の密行性が失われ、証拠湮滅が行われるおそれがあったり、同意を得るべき者が極めて多数に上り、同意を義務付けると、実際上協力が困難になる場合等)をいう。

(2) 個人情報データベース等を扱う学会員は、本人の求めに応じて当該本人が識別される個人データの当該本人が識別される第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く方法で、本人のあらかじめの同意なくして、当該個人データを第三者に提供することができる。

一 第三者への提供を利用目的とすること
二 第三者に提供される個人データの項目
三 第三者への提供手段
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

【(2)のポイント】
いわゆる「オプトアウト」を認めた規定であり、個人情報データベース等を扱う学会員が取得した個人情報を、第三者に提供する必要性があらかじめ予想される場合には、このオプトアウトの方法により、第三者提供制限の原則をクリアし、本人の同意なく、第三者に個人情報を提供できるようになる。

なお、対象者等の情報提供者が保有している個人情報を個人情報データベース等を扱う学会員に提供することは、第三者提供となるが、対象者等の情報提供者は、この第三提供対象となる個人情報の本人から、第三者提供の同意をとっていないことが多いのではないかと想定される。

そこで、状況に応じて、対象者等の情報提供者に対して、「オプトアウト」の措置をとるよう要請・助言することも検討する必要があると思われる。

(3) 個人情報データベース等を扱う学会員は、前項の二又は三に掲げる事項を変更する場合は、変更する内容について、できる限り、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くことが望ましい。

【(3)のポイント】
「本人が容易に知り得る状態」とは、本人が知ろうと思った時点で、通常の努力の範囲内で知り得るということが必要であり、単に一時的に公表すればよいというものではなく、公表が継続的に行われている状態をいうものである。

具体的には、①インターネットのホームページに継続的に掲載すること、②事務所の窓口等への掲示・備付け、③パンフレットへの掲載・配布するなどの方法が該当する。

(4) 個人情報データベース等を扱う学会員は、(1)の規定にかかわらず、個人データを特定の者との間で共同して利用することができるが、共同利用に当たっては、共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、できる限り、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くことが望ましい。

【共同利用を行う場合の4つの要件の表示例】
(インターネットのホームページに掲載する場合を想定)

例1 現在、○○県××小学校の学校所蔵資料中の個人データを利用して、次のような研究をおこなっております。
①共同利用者の範囲:学校太郎(研究代表者)及び、大学教員3名、大学院生2名
②共同利用される個人データの項目: 昭和50年代までの在学生・卒業生に関わる情報
③利用する者の利用目的:戦前・戦後学校教育の研究
④当該個人データの管理について責任を有する者の氏名:学校太郎(西京大学文学部)

例2 現在、○○県××高校の学校所蔵資料中の個人データを利用して、次のような研究をおこなっております。
①共同利用者の範囲:「進路問題研究会」(大学教員4名、大学院生2名。連絡先・西京大学文学部教育学研究室)
②共同利用される個人データの項目:昭和50年代までの教員・在学生・卒業生に関わる情報
③利用する者の利用目的:高等学校の歴史研究
④当該個人データの管理について責任を有する者の氏名:学校太郎(西京大学文学部)

13.調査・実験等の結果の報告

(1) 個人情報データベース等を扱う学会員が、学術研究目的のために行った調査・実験等の結果又はこれらの調査・実験等に基づき作成された論文・報告書等は、本来、社会の共有財産・知識となるべきものであることに鑑み、支障のない限り、できる限り出版物等により公表されることが望ましい。

(2) 前項の公表に当たっては、できる限り対象者等の保有する個人情報の保護のために必要な措置を講じた上で行うことが望ましい。

ただし、対象者等が、積極的に保有する個人情報が公表されることを希望するような場合においては、当該希望を勘案しつつ、必要な措置を講ずることができる。

【13のポイント】
学術研究目的のために行った調査・実験等の結果等は、公益性の高さからも社会の共有財産・知識となるべきものとの考えに立ち、できる限り積極的に公表することを可能にするための措置について定めた規定である。

14.学会に対する開示請求

(1) 学会は、本人から、当該本人が識別できる保有個人データについて開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められた場合は、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)により、遅滞なく、当該保有個人データを開示するよう努めるものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 学会の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 法令に違反することとなる場合

(2) 学会は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するよう努めるものとする。

(3) 法令により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。

【14(から19まで)のポイント】
14から19までの規定については、個人情報データベース等を扱う学会員に対して(判断が極めて困難をきたすような)開示・訂正・利用停止請求が頻繁になされることはあまり想定できないが、情報主体本人について、個人情報保護法が認めた重要な権利であるので、制度としては、きちんと整備しておく観点から、基本的に個人情報保護法の規定どおりの内容で定めたものである(学会員については、19において、学会に係る14から18までの規定を参考にしつつ、適切に対応するよう努めるよう求めている。ただし、学会員の研究活動の実際に鑑みて、その要求レベルは少し緩和している)

15.学会に対する訂正等請求

(1) 学会は,本人から当該本人が識別される保有個人データの内容が事実でないという理由によってその内容の訂正,追加又は削除(以下この条において「訂正等」という。)を求められた場合には,その内容の訂正等に関して法令の規定により特別の手続が定められている場合を除き,利用目的の達成に必要な範囲内において,遅滞なく必要な調査を行い,その結果に基づき,当該保有個人データの内容の訂正等を行うよう努めるものとする。

(2) 学会は,前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき,又は訂正等を行わない旨の決定をしたときは,本人に対し,遅滞なく,その旨(訂正等を行ったときは,その内容を含む。)を通知するよう努めるものとする。

16.学会に対する利用停止等請求

(1) 学会は,本人から,当該本人が識別される保有個人データが4の(1)の規定(適正な取得)に違反して取得されたものであるという理由又は6の規定(利用目的による制限)に違反して取り扱われているという理由によって,当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって,その求めに理由があることが判明したときは,違反を是正するために必要な限度で,遅滞なく,当該保有個人データの利用停止等を行うよう努めるものとする。ただし,当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって,本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは,この限りでない。

(2) 学会は,本人から,当該本人が識別される保有個人データが11の(1)の規定(第三者提供の制限)に違反して第三者に提供されているという理由によって,当該保有個人データの第三者への提供の停止を求められた場合であって,その求めに理由があることが判明したときは,遅滞なく,当該保有個人データの第三者への提供を停止するよう努めるものとする。ただし,当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって,本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは,この限りでない。

(3) 学会は,前2項に規定する求めについて,利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき,又は第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは,本人に対し,遅滞なく,その旨を通知するよう努めるものとする。

17.理由の説明

学会は、14の(2)、15の(2)又は16の(3)の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。

18 学会が開示等の求めに応じる手続
(1) 学会は、14の(1)、15の(1)又は16の(1)若しくは(2)の規定による求め(以下この条において「開示等の求め」という。)に関し、その求めを受け付ける方法として次に掲げる事項を定めることができる。

一 開示等の求めの申出先
二 開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)の様式その他の開示等の求めの方式
三 開示等の求めをする者が本人又は代理人であることの確認の方法
四 手数料を徴収する場合はその徴収方法

(2) 学会は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、学会は、本人が容易かつ的確に開示等の求めをすることができるよう、保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとるものとする。

(3) 学会は、次に掲げる代理人による開示等の求めに応じるものとする。

一 未成年者又は成年被後見人の法定代理人
二 開示等の求めをすることにつき本人が委任した代理人

(4) 学会は、開示等の求めに応じる手続きを定めるに当たっては、本人に過重な負担を課すものとならないように配慮するものとする。

(5) 学会は、14の(1)の規定による開示を求められたときで、当該措置の実地に関し、手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めるものとする

19.個人情報データベース等を扱う学会員である学会員に対する開示請求等

個人情報データベース等を扱う学会員に対する開示等の求めについては、個人情報データベース等を扱う学会員は、14から18までの規定を参考にしつつ、適切に対応するよう努めるものとする。

20.苦情及び問い合わせ等の処理

学会は、学会員(学会を含む)による個人情報の取扱いに関する苦情,問い合わせ等に対して迅速かつ適正に対応するとともに,そのために必要な体制の整備に努めるものとする。

【20のポイント】
学会は、学会員を束ねる組織であり、教育研究に関する対外的信用を確保する役割を有していることから、やはり、個人情報の取扱いに関する苦情処理については、担当者を置くなどして、苦情があれば迅速かつ適切に処理できるようにする努力を講じるべきである。

21.死者に関する個人情報の取扱い

個人情報データベース等を扱う学会員が、学術研究目的で、死者に関する個人情報(死者に関する個人情報が、同時に、遺族等の生存する個人に関する情報である場合は除く。)を取り扱う場合においては、死者に関する個人情報は、法の保護対象ではないが、死者に関する個人情報の取得若しくは死者に関する個人情報を含んだ調査・実験等に基づき作成された論文・報告書等の公表に際して、可能な範囲内において、当該死者の遺族等の理解を得るよう努め、又は取得した死者に関する個人情報について安全管理措置を講ずるなど適切な対応を行うことが望ましい。

【21のポイント】
2で既に述べたとおり、死者のみに係る個人情報は個人情報保護法の保護対象ではない。しかし、学会員(学会を含む)の行う研究においては、歴史上のものとなった死者の個人情報を素材にすることも多く、その場合には、素材とされる死者の遺族等のさまざまな感情が存在し、公表等により当該研究自体が問題とされるケースがなくはない。

したがって、研究に従事する者として、死者に関する個人情報の取扱いについても一定の慎重さと配慮を持って行うことが望ましいことから、精神規定的な色彩も含め規定したものである。

22.個人情報データベース等を扱う学会員以外の学会員による個人情報の取扱い

個人情報データベース等を扱う学会員以外の学会員が、学術研究目的で個人情報を取り扱う場合は、3ないし19の規定に準じて、その適正な取扱いの確保に努めるものとする。

【22のポイント】
管理する全ての個人情報データーベース等を構成する個人情報によって識別される特定の個人の総和が5000人以下で、個人情報データベース等を扱う学会員に該当しない学会員等であるため、このガイドラインにおいて、「個人情報データベース等を扱う学会員」が主語(主体)となっている規定が直接適用されないとしても、個人情報をいい加減に取り扱うことが許されているわけではない(法第3条の基本理念「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」は、個人情報を取り扱うすべての事業者に適用となる)。

したがって、個人情報データベース等を扱う学会員以外の学会員についても、学術研究目的で個人情報を取り扱う場合は、このガイドラインの3ないし19の規定に準じて、その適正な取扱いの確保に努めることを求めた規定である。

23.本ガイドラインの実施

本ガイドラインのうち、特に努力を求めた項目については、条件が整った時点において実施するものとする。

【23のポイント】
本ガイドラインの条項には会員や学会の努力やその方向性を示したものが多く含まれる。これらのことがらを近い将来において全面的に厳密に実施することは困難が大きいので、教育学研究を取り巻く状況や個人情報保護のシステムの社会的な定着の動向を見定めつつ、少しずつ実施のための条件を整備していくことが期待される。