(個人を識別できる情報?)
個人情報は、個人を識別できる情報。。というようなご説明を前回しましたが、例えば、住所・生年月日の情報を教員が流出させたとして、何が困るんでしょう?
個人情報が流出したら、生徒や保護者との信頼関係が損なわれる、法令に違反した扱いをしたことで教育委員会から指導される、保護者から損害賠償が請求される、というようなことが回答になりそうですが、それは法律で定められた後だからという面が大きい気がします。。そもそもの実質的な、いわば実害はあるのでしょうか。。
もう一度定義を振り返ってみると、個人情報とは、
①生存する個人に関する情報で、
②当該情報に含まれる氏名等により特定の個人を識別することができるもの
となっています(簡略化してますが)。
②の識別のための情報に加え、そもそもの①の「個人に関する情報」がの方を忘れてはいけないのだと思います。こうした「個人に関する情報」(例えば、成績など)があって、個人を識別できるものとなっている場合に、全体として個人情報になるというイメージで理解をしておくとよいと思います。
例えば、通知表などで、①氏名、②学年・クラス・番号、③住所、④保護者氏名、⑤1学期の成績、などの情報が一体になっていると思いますが、この場合、通知表の記載全体が個人情報になります。氏名や学年・クラスなどが流出しても、実害があるか微妙ですが、、成績や保護者氏名、住所などは、学習塾が営業をする際などに利用できますし、流出すれば実害が出ることもありそうかな、と思えるのではないでしょうか。。
定義だけ見ると、ついつい「個人を識別できる情報」だけを意識してしまいがちなのですが、「個人に関する情報」の部分にプライバシーに関わる情報などが含まれている場合も多いと思います。
(5000件以上の名簿がなければ大丈夫?)
以下余談ですが、個人情報保護法をご存知と思われる方から、小中学校では、5000件を超えるデータを扱っていないから、個人情報保護法の適用はないでしょう? と言われたことがあります。
二点で誤解がありそうなのですが、まず公立学校の場合は、行政機関として個人情報保護法の適用になります。(当時は、地方自治体の条例の適用でしたが。。)
次に、私立学校は、事業者として、個人情報保護法の適用がありますが、2015年の法改正で、小規模取扱事業者にも個人情報保護法が適用されることとなりましたので、件数は関係ありません。
更に余談ですが、2021年の法改正で、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律が1本の「個人情報保護法」に統合されました。この際、地方自治体の個人情報保護制度についても統合後の個人情報保護法で全国的な共通ルールを規定し、全体の所管が個人情報保護委員会に一元化されました。(このことにより、各自治体でルールが異なる、いわゆる「2000個問題」が解消されました。)
(ポイント)
・個人情報は、特定の個人を識別できる「個人に関する情報」。
(識別に利用できる氏名・住所などだけでなく、全体が個人情報。)
・公立学校は行政機関として、私立学校は事業者として、個人情報保護法が適用。
(2021年の改正で、適用される「個人情報保護法」は一本化されている。)