皆さんこんにちは。
プライバシーザムライ中康二です。
学習塾大手「四谷大塚」の元講師が児童を隠し撮りし、氏名や連絡先などの情報と共にSNSに投稿していた盗撮事件。報道でご存じの方も多いことと思います。
本件に関しては、元講師が警視庁に逮捕され、個人情報保護法の両罰規定に基づき、法人としての四谷大塚も書類送検されたことを過去の記事でご紹介しました。
今回の事件に対して、個人情報保護委員会(PPC)が、株式会社四谷大塚に対して、個人情報保護法に基づいて指導を行ったと2月29日付で発表しました。
今回の指導のポイントをまとめると下記の2点になります。
(1)PPCへの報告の遅れ=体制の不備
同社が個人情報保護法26条1項の規定に基づいてPPCに報告したのは、速報が事件発覚の58日後、確報が65日後であったとのことです。PPCのガイドラインでは速報は3~5日以内、確報が30日以内(不正アクセスの場合のみ60日)となっているところを大幅に遅れての報告となりました。
報告の遅れについて、PPCは「人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置しておらず、また、責任者の設置はしていたものの、漏えい等事案が発生した場合に当委員会に報告するための体制が機能していなかった」と指摘しています。
すなわち、報告が遅かったのだとすれば、そもそも社内体制が不十分だったと評価するよという訳です。今やプライバシーマークを取っている/取っていないに関係なく、企業として個人情報を保護するためのしっかりとした社内体制を整備しなければならないということです。
(2)こどもの個人情報を取扱う事業者としての責任
四谷大塚は、全校で8700名の児童が在校し、大量のこどもの個人情報を利用しており、また、生徒の氏名、生年月日、住所、小学校名及び成績など、管理する個人データの項目も多いといいます。
このことについて、PPCは「こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要」と指摘しています。
個人情報の重要性を考える際に、やはり社会的弱者と言えるこどもの個人情報については、成人より一層の配慮が必要との判断が見えます。同様に特殊詐欺事件に狙われやすい高齢者の情報なども、やはり同様に配慮が必要と言えると思います。
株式会社四谷大塚に対する個人情報の保護に関する法律に基づく行政上の対応について(PPC)
https://www.ppc.go.jp/news/press/2023/240229_houdou/
(過去記事)
個人情報保護法の両罰規定に基づき法人が書類送検される事案が発生~学習塾での盗撮画像公開事件において~
https://www.optima-solutions.co.jp/support_article/samurai-20231116/
この内容が皆さんにとって何かの参考になればと思います。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
