地方公務員として必ず知っておかなければならないのが、個人情報保護です。
皆さんきちんと理解していますか?
私が県庁で個人情報保護に関係する仕事をしていたときの話ですが、職員にこの質問をしてみると、理解していない職員が結構多くてビックリした記憶があります。
さて、こちらの記事で詳しく述べていますが、地方自治体は個人情報保護条例の対象となります。個人情報保護法よりも条例が大事なんです。
「えっ!?知らなかった…」なんて方はまず上記の記事を読まれるのをオススメします。公務員なら常識ですよ~
本題に戻りますが、地方自治体は個人情報保護条例の対象になるので、地方公務員が業務に必要な個人情報保護を理解しようとすると自団体の条例を理解する必要があります。
とはいえ、自団体の条例をきちんと理解するのは分かりやすい資料もないし、なかなか気が進まないと思います。
そこで今回は、最低限これだけは理解しておくべき「個人情報保護の基本ルール」について、自治体一般に共通する規定を中心にまとめてみました。
個人情報を「収集」する際の基本ルール
役所だからといって個人情報をなんでもかんでも収集してよいわけではありません。
個人情報は必要最小限しか収集できませんし、なぜ収集するのかを明確にする必要があります。
事務の目的の明示
(収集の制限)
第6条 略
2~3 略
4 実施機関は、本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人情報を収集するときは、あらかじめ、本人に対し、その収集目的を明示しなければならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
以下略
個人情報を収集する際には
- 何のために収集するのか
- どのように利用するのか
といった業務の目的や内容を本人に明らかにする必要があります。
目的を明示する方法として、個人情報を収集する際の申請書などにあらかじめ業務の目的や収集の根拠を記載しておくケースが多いです。
不必要な個人情報の収集は禁止
(収集の制限)
第六条 実施機関は、個人情報を収集するときは、個人情報を取り扱う事務の目的を明確にし、当該目的を達成するために必要な範囲内で、適法かつ公正な手段により収集しなければならない。
2~4 略
個人情報は「目的を達成するために必要な範囲内で」収集しなければなりません。
つまり、事務の目的を達成するために必要最小限である必要があります。
要するに、不必要な個人情報を収集することは禁止です。
個人情報を収集する際には、その個人情報が業務の遂行のために本当に必要なのかどうか、常に意識するようにしましょう。
個人情報の収集は原則本人から
(個人情報の収集の制限等)
第5条 実施機関は,個人情報を収集するときは,本人から収集しなければならない。ただし,次の各号のいずれかに該当するときは,この限りでない。
(1) 本人の同意に基づき収集するとき。
(2) 法令又は条例の規定に基づき収集するとき。
(3) 人の生命,身体又は財産の保護を目的として収集するとき。
(4)~(7) 略
個人情報は本人から直接収集することが原則です。
これには例外もあります。
色々ありますが、代表的なものは以下のとおりです。
- 本人の同意があるとき
- 法令および条例に定めがあるとき
- 人の生命,身体又は財産の保護を目的として収集するとき
本人の同意がある場合や法令等で定められている場合などの例外を除いて、個人情報は原則本人から収集しなければならないと覚えておきましょう。
どんな個人情報を保有しているか住民が分かるようにする
(事務の届出)
第6条 実施機関は、個人情報取扱事務を開始するときは、次に掲げる事項を個人情報取扱事務登録簿(以下「登録簿」という。)に登録し、市長に届け出なければならない。届け出た事項を変更するときも、また同様とする。
(1)個人情報取扱事務の名称
(2)個人情報取扱事務を所掌する組織の名称
(3)個人情報取扱事務の目的及び根拠
(4)~ (9) 略
2~3 略
4 市長は、登録簿を一般の閲覧に供するものとする。
5 略
個人情報を取り扱う事務を行う際は、自治体で定められた登録簿に登録して、住民が閲覧できるようにしておく必要があります。
個人情報を実際に収集して事務を行うときでは遅いので、必ず個人情報を取り扱い始める前に住民が閲覧できるようにしましょう。
登録簿に記載する内容は自治体によるところはありますが、これらが代表的なものです。
- 事務の名称
- 組織名
- 事務の目的と根拠
登録簿の様式や登録手続き、公表の仕方は自治体の規定や通知等で決められているはずです。
住民が閲覧できるようにする方法としては以下の方法が一般的です。詳しくは自治体の規定等を確認してください。
- ホームページに掲載
- 県民(市民)情報センターや役所の出先施設に配架
- 各所属で登録簿の写しを準備
個人情報の「利用・提供」に関する基本ルール
個人情報を取り扱う事務に従事する公務員であっても、業務以外の目的で個人情報を見たり、他の機関に勝手に個人情報を渡したりすることはできません。
目的外利用の原則禁止
(利用及び提供の制限)
第六条 実施機関は、個人情報を取り扱う事務の目的以外の目的のために保有個人情報(保有特定個人情報を除く。以下この条において同じ。)を当該実施機関内において利用し、又は当該実施機関以外のものに提供してはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
一 法令等の規定に基づいて利用し、又は提供するとき。
二 本人の同意に基づいて利用し、若しくは提供するとき、又は本人に提供するとき。
三 略
四 人の生命、身体又は財産の保護のために緊急かつやむを得ない必要があると認められる場合において、利用し、又は提供するとき。
五~八 略
2~4 略
個人情報は、それぞれの業務ごとに収集し、その業務の目的の範囲内でしか利用できません。
効率が悪いように感じるかもしれませんが、これが原則です。
個人情報を取り扱う事務に従事する公務員だからといって、好きに個人情報を利用できるわけではありません。悪用は言わずもがなですが、興味本位で個人情報を見ることもNGです。他の事務で勝手に個人情報を利用することもダメです。
このように業務の目的の範囲内でしか利用できないのが原則ですが、目的外利用も例外的に認められています。
目的外利用をするときは、事前に本人の同意を得るのが原則です。
市税に関する情報を、感染症法による医療費助成申請と本人確認のために使用
※市税の事務で個人情報を収集する際に、感染症による医療費助成申請でも利用することについて本人の同意を得ることになる
外部提供の原則禁止
「目的外利用の原則禁止」と同じ条項に規定されているケースがほとんどですので、条例の参考例は上の「目的外利用の原則禁止」をご確認ください。
原則として、個人情報を他の機関に渡す(=提供)のはNGです。
分かりやすい例でいくと、個人情報を国や他の地方公共団体などに渡すことは「提供」にあたります。
個人情報を他の機関に提供するには、事前に本人の同意を得るのが原則です。
あらかじめ外部に提供をすることが明らかな場合は、申請書等に同意欄を設けるなど、収集の段階で本人の同意を得ておくのが望ましいでしょう。
このほか、提供に関して必ず覚えておいてほしいことがあります。
それは
首長部局において保有する個人情報を他の実施機関(例えば教育委員会)に渡すことは提供にあたる
という点です。
首長部局
地方公共団体の組織のうち、首長の指揮監督を直接受け、人事権が一般職員にまで及ぶ部局。都道府県の場合は知事部局と呼ばれる。
[補説]教育委員会・公安委員会などの行政委員会や警察・消防部局などはこれにあたらない。出典元:デジタル大辞泉
普通にあり得るケースとして、知事部局から教育委員会に個人情報を渡すケースが考えられますが、これも「提供」にあたります。
したがって、このケースだと個人情報は原則渡してはいけないことになります。
必ず覚えておきましょう。
目的外利用や外部提供ができる場合
上の説明で、目的外利用や外部提供は本人の同意がない限り原則ダメ、という説明をしました。
「原則」ダメですので、当然例外もあります。
例外とは、本人の同意を得ないで目的外利用または外部提供をすることができるケースです。
そのケースは、条例に限定列挙されているのが一般的です。
ちなみに「限定列挙」とは
「~するとき」といった条件が一つ一つ限定的に列挙されていて、その列挙されているものが全て(それ以外はない)
というものです。
先ほども引用した広島県の条例の場合(改めて下に再掲します)だと
「ただし、次の各号のいずれかに該当するときは、この限りでない。」以降の各号(一 ~ 八)に、目的外利用または外部提供をすることができる条件が限定列挙されています。
(利用及び提供の制限)
第六条 実施機関は、個人情報を取り扱う事務の目的以外の目的のために保有個人情報(保有特定個人情報を除く。以下この条において同じ。)を当該実施機関内において利用し、又は当該実施機関以外のものに提供してはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
一 法令等の規定に基づいて利用し、又は提供するとき。
二 本人の同意に基づいて利用し、若しくは提供するとき、又は本人に提供するとき。
三 略
四 人の生命、身体又は財産の保護のために緊急かつやむを得ない必要があると認められる場合において、利用し、又は提供するとき。
五~八 略
2~4 略
本人の同意を得ないで目的外利用または外部提供をすることができるケースはいくつかありますが、とりあえずは次の2つを覚えておきましょう。
- 法令等に定めがあるとき
- 人の生命、身体、健康または財産に対する危険を避けるため、緊急かつやむを得ないと認められるとき
個人情報の「管理」に関する基本ルール
収集した個人情報の管理に関しても次のような決まりごとがあります。
個人情報を適切に管理するために安全管理措置を講じる
(適正管理)
第9条 実施機関は、個人情報の漏えい、滅失及びき損の防止その他個人情報の適正な管理のために必要な措置を講じなければならない。
2 略
3 略
簡単に言うと
個人情報が漏えいしたり改ざんされたりしないようにきちんと措置をして安全に管理しなさい!
というものです。
個人情報が漏えいすると、個人の権利や利益が侵害される恐れがあります。なのでそれを防ぐためのルールですね。
個人情報が漏えいしないように安全に管理していますよ!
と住民に対して謳っているわけです。
安全管理措置の例としては、以下のものが挙げられます。
- 職員への教育・研修
- 保管場所の施錠や立入の制限
- コンピューターのアクセス制限
個人情報は必要なくなったら速やかに廃棄する
(適正管理)
第8条 略
2 略
3 実施機関は、保有する必要がなくなった個人情報を確実かつ速やかに廃棄し、又は消去しなければならない。ただし、歴史的又は文化的な資料として保存する必要があると認められるものについては、この限りでない。
個人情報を取り扱う事務の目的上、個人情報を保有する必要がなくなった場合には、速やかに廃棄しなければなりません。
廃棄する場合にも、漏えいしたり、盗用されたりすることのないような方法をとる必要がありますので要注意です。具体的には、焼却、溶解、シュレッダーによる裁断といった方法が挙げられます。
なお、歴史的または文化的資料として価値があるものである場合には、例外的に、歴史的または文化的資料として保存することがOKとなっている自治体が多いです。上の堺市の例でいうと、ただし書きの部分ですね。この点は参考程度に留めておけばいいでしょう。
個人情報を取り扱う事務の「委託」に関する基本ルール
個人情報を取り扱う事務を委託することは可能です。
ただし、委託する場合にも守らなければならない決まりごとがあります。
個人情報を取り扱う事務を委託する際もきちんとした措置が必要
(委託に伴う措置等)
第12条 実施機関は、個人情報を取り扱う事務を実施機関以外のものに委託しようとするときは、委託契約において、委託を受けたものが講ずべき個人情報の保護のために必要な措置を明らかにしなければならない。
2 実施機関から個人情報を取り扱う事務の委託を受けたものは、個人情報の漏えい、滅失又はき損の防止その他の個人情報の適正な管理のために必要な措置を講じなければならない。
3 前項の委託を受けた事務に従事している者又は従事していた者は、当該事務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。
4 略
個人情報を取り扱う必要のある事務を委託する場合、委託先においても自治体と同様の安全管理措置が講じられている必要があります。
加えて、安全管理措置がきちんと図られるように、委託先に対して適切な監督を行うことも必要です。
この規定を守るために、自治体の委託契約書には個人情報の取り扱いに関する条項が細かく盛り込まれています。一度ご自身の自治体の契約書を確認してみるといいでしょう。
(最後に)より理解を深めるために自団体の条例をしっかりと勉強しよう!
自治体の個人情報保護は条例に規定されていますので、自治体の数だけあります。
しかし、各条例の基本的な部分は共通しています。本記事ではそういう共通部分をベースにして個人情報保護の基本ルールとして紹介しました。
そのため、本記事で紹介した基本ルールは完全ではありません。
自治体の個人情報保護についてより理解を深めるためには、自団体の条例や規則などをしっかりと勉強する必要があります。
もし自団体の条例をしっかりと理解したいと思ったら、まずは個人情報保護担当部署が発信している情報を確認してみましょう。
個人情報保護条例を正しく運用するために、手引きや運用マニュアル、逐条解説などが作られているはずです。
職員向けの資料だけでなく、下記の京都市の手引きのようにホームページで外部にも公開している資料もあったりします。
- 京都市個人情報保護条例の趣旨及び運用 – 京都市ホームページ「京都市情報館」
https://www.city.kyoto.lg.jp/sogo/page/0000084692.html - 個人情報保護の手引(抄) – 東京都公式ホームページ
http://www.johokokai.metro.tokyo.jp/kojinjoho/gaiyo/tebiki/index.html - 個人情報保護制度運用の手引 – 練馬区公式ホームページ
https://www.city.nerima.tokyo.jp/kusei/johokokai/johohogo/tebiki.files/20190219.pdf
そのほか、職員向けに個人情報保護に関する研修が実施されている自治体も少なくありません。一度も研修を受けたことがない方は受講しておくべきだと思います。
これらを活用すれば必要な知識はきっと身につくはずです。
