「Getty Images」より

写真拡大

●保護者からの苦情

 先日、小学生の子どもを持つ知人から、「学校とPTAが共同で開催する卒業生向けの『ホームカミングデー』の通知を小学校の卒業生名簿を使って発送したら、卒業生の親から個人情報の漏えいではないか、というクレームが来た。本当なのか?」といった相談がありました。どうやら昨今、PTAが在校生や卒業生の名簿を使用することが、大きな問題であるかのようにいわれています。先般、個人情報保護法が大きく改正されたところでもあり、以下、解説していきたいと思います。

●個人情報の漏えいなのか

 まず、小学校や中学校は、当然ながら児童の氏名、住所、連絡先などを把握し、これをリスト化していることでしょう。毎年、各地方自治体の教育委員会は、その地方自治体が管理する住民票等から、小中学校に入学する年齢の子どもの自宅に、「あなたは、どこそこの公立学校に通ってください」といった「入学通知書」を発送します。同時に、小中学校に対しても「今年、そちらに入学する子どもの氏名などは、以下のとおりです」という手続がなされます。

 この結果、小中学校には「児童の氏名、住所、連絡先など」がリスト化された「個人情報データベース(児童名簿)」が保有されることになります。ここまでは、各種の法律に基づく手続なので、誰も文句を言う人はいないでしょう。

 ちなみに、当職は30年以上前、とある大学の附属小学校に通っていたのですが、当時の児童名簿には「児童の氏名、住所、連絡先など」のほかに、児童の顔写真、親の職業まで載っていました。今、考えるとオソロシイことだったのかもしれませんね。

 さて、PTAは、ときには単独で、ときには学校と共同で、親睦会や講習会などのイベントを開催しています。また、PTAは毎年、児童の親御さんのなかから役員を選ぶのですが、同じ人が重ならないように注意して選任しなければなりません。このようなとき、すなわちイベントの通知を児童や親御さんに発送したり、PTAの選任をしたりする際、どうしても小学校が持っている「個人情報データベース(児童名簿)」が必要となります。

 ここでやっかいなのは、このご時世、当職の時代とは異なり、学校は児童名簿を配布しないことが多いようですし、ましてPTAが独自に児童の情報を入手して名簿を作成することは、なかなか難しいようです。

 では、PTAが学校から「個人情報データベース(児童名簿)」をお借りしてイベントの通知を発送したり、PTAの役員選任をすることは問題なのでしょうか?

●「コジンジョウホウ」という思考停止ワード

 昨今、「コジンジョウホウ」という言葉だけが独り歩きをしてしまっています。当職がしつこく理事長を務めているマンションには、たまにマンション内でイタズラをしている“クソガキ”がいるのですが、注意する際、「君たちの親にも注意するから、どこの部屋?」と聞くと、「コジンジョウホウだから答えません」とふざけた返事をすることがあります。このようなとき、当職は「では、裁判所にきみたちを呼び出して尋問するけどいいね」と大人げない態度をとり、ことを解決することにしています。

 話を戻すと、このように子どもから大人まで、「コジンジョウホウ」という言葉ですべてを拒絶することができ、すべてを解決することができるという完全な思考停止に陥っていることがわかります。

 前述の知人からの相談も、「PTAが学校の名簿を使うことはコジンジョウホウの問題だ!」というバカの一つ覚えのような発想から発生しているのでしょう。

 そこで、実際に去年施行されたばかりの改正個人情報保護法の関係条文をしっかりとみていきましょう。

●改正された個人情報保護法の考え方(第23条を中心に)

 先にお断りしますが、今回の改正は多岐にわたるので、今回の問題に関係のあるところだけフォーカスすることをお許しください。

 まず、基本的なところですが、個人情報保護法第23条は、「本人の同意を得ずに、個人情報を第三者に提供してはいけません」と規定しています。したがって、学校がPTAに対し、「個人情報データベース(児童名簿)」を使わせることは、ダメということになりそうです。

 しかしながら、法律というものは実際の都合不都合、実情にあわせてとてもよくつくり込まれており、この後の「例外」についてしっかりと理解しなければなりません。

 実は、個人情報保護法は、わざわざ上記第23条の例外として第23条第5項を設け、以下の旨を規定しています。

<次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。>

 要するに、ざっくり言うと「『ある人や団体と個人情報を共同で使うこと』を、あらかじめ本人が知ることができるような状態にしているときは、共同で何かを行う際に個人情報を使う分においては、その特定の人や団体は、そもそも個人情報を開示してはならない『第三者』にあたらないから、個人情報を使うことができる」ということです。
 
 とすると、前述の「ホームカミングデー」などは、その発案の経緯、体裁、参加者などの点において「学校とPTAの共催」と考えることができるわけですから、たとえば学校の掲示板や何かの連絡文などで、あらかじめ「学校が持っている児童名簿は、PTAと共催するイベントなどで使うことがあるよ」と告知しておけば、PTAが、学校の「個人情報データベース(児童名簿)」を使用することはなんの問題もないわけです。
 
 このように、よく法律を読めば、簡単に解決できる話なのです。

●PTAが持つ個人情報について

 ところで、上記の問題とは別に、今後はPTAが独自に取得し保有する児童などの個人情報について問題になりそうです。なぜなら、改正された個人情報保護法は、これまでと異なりPTAも「個人情報取扱事業者」として認定されるため、個人情報の取得や個人情報の管理など、さまざまな規制が課せられることになるからです。この問題は当職個人として、「PTA強制加入の問題」と切り離すことができない話なので、稿を分けて後日解説したいと思います。
(文=山岸純/弁護士法人ALG&Associates執行役員・弁護士)