2026-01-01
2026年12月に施行される「こども性暴力防止法(日本版DBS)」において、事業者が最も慎重に取り扱うべき実務の一つが「情報管理措置」です。この制度の根幹を支えるのは、こどもと接する従事者の特定性犯罪前科という、極めて機微性の高い個人情報です。
万が一、これらの情報が漏えいした場合、従事者個人の人権を著しく侵害するだけでなく、事業者への社会的信頼は失墜し、制度全体の存続すら危うくしかねません。そのため、全ての対象事業者は「情報管理規程」を策定し、それを遵守することが法律で義務付けられています。
本記事では、事業者の皆様が「情報管理規程」を作成する際に盛り込むべき具体的な内容と、実務上の留意点について徹底解説します。
1. なぜ「情報管理規程」が必要なのか?
こども性暴力防止法では、学校設置者等や認定を受けた民間事業者は、犯罪事実確認記録等を適正に管理しなければならないと定めています。
この適正管理を具体化する仕組みが「情報管理規程」です。事業者は、この規程を定めるだけでなく、管理責任者の設置や、民間事業者の場合は2人以上の従事者を置くこと(小規模事業者への配慮)なども併せて求められます。
認定事業者を目指す民間教育保育等事業者の場合、この規程が認定基準の一つとなっており、適切な規程が策定されていない限り、認定を受けることはできません。
--------------------------------------------------------------------------------
2. 情報管理規程に盛り込むべき「基本原則」
規程の冒頭には、組織全体で遵守すべき情報管理の基本方針を明記する必要があります。法律が示す主な原則は以下の通りです。
• 取扱者の最小限化:犯罪事実確認記録等にアクセスできる者は、業務遂行上、真に必要な最小限の従事者に限定します。
• 記録・保存の制限:犯罪事実確認書の内容を別途書き写したり、独自に保存したりすることは極力避けなければなりません。システム上で閲覧するにとどめるのが原則です。
• 適切な環境整備:使用する情報機器(業務用端末に限定)やネットワークのセキュリティを確保し、リスクに応じた措置を講じます。
• 組織のトップの関与:組織の長(理事長や代表取締役など)が情報管理の重要性を理解し、組織的な点検と改善を主導します。
--------------------------------------------------------------------------------
3. 具体的な4つの管理措置
情報管理規程の具体的な内容は、個人情報保護法のガイドラインとの整合性を図りつつ、以下の4つのカテゴリーで構成されます。事業者は、「標準的措置」または小規模事業者向けの「最低限求められる措置」のいずれかの水準を選択して規定します。
① 組織的情報管理措置
組織としての管理体制を明確にします。
• 管理責任者の選任:情報管理を統括する責任者を設置し、その役割を定めます。
• 取扱記録の作成:いつ、誰が情報を閲覧・利用したかを事後的に検証できるよう、取扱記録(システムログなど)を作成・保存します。
• 報告連絡体制:情報の漏えいや規程違反の兆候を把握した際の、迅速な報告ルートを整備します。
② 人的情報管理措置
従事者に対する「教育」と「規律」を定めます。
• 研修の実施:犯罪事実確認記録等を取り扱う者に対し、適正な取扱いについての周知や定期的な研修を義務付けます。
• 秘密保持義務の明文化:就業規則等において、業務上知り得た犯歴情報の秘密保持義務や、違反時の懲戒処分について規定します。
③ 物理的情報管理措置
物理的な盗難や紛失を防ぐための対策です。
• 取扱区域の管理:情報を閲覧する場所(取扱区域)や、サーバを置く場所(管理区域)を特定し、権限のない者の立入りを制限します。
• 機器の持ち出し制限:原則として犯罪事実確認記録等を持ち出すことは禁止し、やむを得ない場合は暗号化や封緘などの安全策を講じます。
• 復元不可能な廃棄:情報を廃棄する際は、シュレッダー処理(クロスカット推奨)やデータの完全消去など、復元できない手段を用います。
④ 技術的情報管理措置
システム面でのセキュリティ対策です。
• アクセス者の識別と認証:ユーザーIDとパスワードに加え、生体認証やICカードなどの多要素認証を組み合わせてアクセス権を確認します。
• 外部攻撃からの保護:最新のOSやアンチウイルスソフトを導入し、不正アクセスやコンピュータウイルスからシステムを保護します。
• 暗号化:情報の通信経路や保存データ自体を暗号化し、万が一の流出に備えます。
--------------------------------------------------------------------------------
4. 漏えい等が発生した際の「報告・通知」ルール
情報管理規程には、不測の事態が発生した際の具体的なアクションも盛り込んでおく必要があります。
• こども家庭庁への直ちに報告:情報の漏えい、滅失、毀損、または不適切な第三者提供の事態が生じた場合、**30日以内(不正目的による攻撃等の場合は60日以内)**に詳細を報告しなければなりません。
• 「速報」と「確報」の二段階報告:事態を知ってから3〜5日以内に「速報」を、その後期限内に調査結果を含む「確報」を提出します。
• 本人への通知:特定性犯罪事実がある旨の情報が漏えいした場合、原則として本人にその旨を通知し、謝罪と説明を行う義務があります。
--------------------------------------------------------------------------------
5. 情報の「廃棄・消去」に関する厳格な期限
犯歴情報は、必要がなくなれば速やかに消去することが鉄則です。規程には以下の期限を明記し、確実に実行する体制を整えます。
• 5年ルール:犯罪事実確認の確認日から5年が経過した年度の末日から30日以内に消去します。
• 離職・不採用時:従事者が退職した場合や、採用を見送った場合は、その日から30日以内に情報を廃棄・消去しなければなりません。
• 罰則の認識:これらの廃棄・消去義務に違反した場合、50万円以下の罰金に処される可能性があります。
--------------------------------------------------------------------------------
まとめ:適正な管理は「信頼」の土台
情報管理規程の策定は、単なる事務手続きではありません。それは、こどもを守るために働く人々を不当な偏見から守り、同時に保護者が安心してこどもを預けられる環境を作るための「約束事」です。
