学校の個人情報保護の問題から、第三者提供禁止の範囲について考える
【関連カテゴリー】

去年12月15日号のメールマガジンで、個人情報保護法へのいわゆる過剰反応事例の問題点に触れ、いくつかのヒントをご説明しました。
今回、2月1日に文部科学省は「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」の解説を改訂しました。
今回はその内容を少しご紹介し、第三者提供禁止の範囲について考えます。

個人情報保護の上で、最も気にかかるのが、ある場面で個人情報を第三者に渡していいのか、という点です。
学校の現場では、個人情報保護法施行を機に、クラスの緊急連絡網やクラス名簿を作らなくなった例があるようです。大学の中には卒業者名簿を廃止したところもあります。
ところが、最近では、これらは過剰反応事例として挙げられます。学校行事で何か事故が起こったときなど緊急に保護者に連絡をとるような場合、学校の先生が一人一人に連絡するというのではなくて、緊急連絡網を活用する方がスムーズな場合がありえます。そもそもクラスメートの住所が一覧になっていないと年賀状のやりとりさえも面倒くさいというようなことがあるでしょう。また、学生が就職活動のために卒業生を訪ねるのも困難になるということもあります。
このような「顔のない社会」で果たしていいのか、というのが最近の論調です。

では、どうすれば、「過剰反応」にならなくてすむのでしょうか。
文部科学省の指針解説は、保護者に緊急連絡網の連絡名簿を配布する場合や、卒業生に卒業生名簿や卒業アルバム等を配布する場合は、「第三者提供」にあたるとしたうえで、入学時や新学期の開始時に、個人情報の利用目的や個人データの提供先を示した上で、各生徒や保護者から同意の書面を得て個人情報を取得するという対応方法が例として考えられるとしています。
さらにこれらを配布するときについては、利用目的や保有期間が終了すれば、学校へ返却するか、各自確実に破棄するよう求めるなどの対応方法を例として挙げています。
これらは第三者提供禁止の原則の現在の通説的解釈に忠実な方策であり、学校側はこれらを参考に、同意書を得ることをマニュアルとして、連絡網や名簿等の整備に努めることになるでしょう。仮に学校法人から法律相談を受けたら、現時点では、私自身も弁護士として、そのような回答をするでしょう。

しかし、問題はそこから先にあるように思います。連絡網や名簿への記載、これらの配布について同意をするか否かは各人の判断に委ねられることになりますが、そうすると、いわば歯抜けの名簿になりえますし、さらに進んで大多数が同意しなくなると名簿を作ることが無意味になります。逆に、同意しないのがごく少数派だと、逆に目立ってしまうのもいやだ、ということになりますし、みんなが同意するのが当然となると、そもそも同意などいるのか、ということにもなります。

個人情報保護やインターネットに詳しい牧野二郎弁護士の見解によると、クラス名簿を生徒に配布したり、卒業生名簿を在校生に配布したりするのは、第三者提供には該当しない、したがって、同意も不要と考えておられるようです。
クラスメートや在校生は第三者ではないという判断です。
これは踏み込んだ判断と言えると思います。確かに職場などでも小規模な会社であったり、同じ部署内であったりすれば、社員名簿をそれぞれが持っているというのはあり得ることでしょう。しかし、大企業内で面識もない社員の自宅、住所が自由に閲覧可能なデータであるというのは現実的ではありません。全校生徒の名簿や卒業生名簿はこれに近いでしょう。
これは要するに、提供が禁じられる第三者の定義を、「個人情報をある範囲内で知られることに同意するのが社会通念上妥当だと考えられる範囲外にある人」というような実質判断を必要とする問題です。このように考えると、個人情報の種類によっても第三者の範囲が変わってくることもあり得るでしょう。この人に自宅住所のリストを渡してもいいが、年収のリストを渡すのはいやだというように。
文部科学省もそうですが、他の行政庁のガイドラインも当然そのような実質判断をするものではありません。法人が保有する個人データを、例えば役員や従業員間でやりとりするのは、第三者提供の問題ではありません(権限なき人が個人データに接してはいけないという安全管理措置に関する問題はありますが)が、生徒や保護者は、学校法人と「教育契約」を結んだ人として、法人内部の人ではないので、第三者と見ているようです。

本稿で結論は出せませんが、個人情報保護法が脅威として想定する第三者提供のケースと、「そんな世知辛いこと言うのも如何なものか」と言われるようなケースとの間で綱引きがあって、その時代に応じて、どこかで線引きがなされるような問題と言えるでしょう。
これを解決するには、個人情報保護とは一体何のためなのか、といった根本的な議論をもっとする必要があるように考えます。