DBS確認記録の保管義務:5年間?退職後30日以内?廃棄ルールと情報漏洩対策
目次
はじめに:「確認記録」は超機密情報:不正利用・漏洩の法的リスク
日本版DBS法(こども性暴力防止法)に基づく特定性犯罪歴の確認が完了すると、事業者には「犯罪事実確認書」や、それに付随する「同意書」「識別符号」などの確認記録一式が残ります。
これらの記録は、個人のデリケートな情報の中でも最も機微な「要配慮個人情報」に該当し、その取り扱いには極めて高い法的義務が課されます。
もし、確認記録が不正に利用されたり、外部に漏洩したりした場合、事業者は、DBS法に基づく認定取消しや罰則、個人情報保護法上の責任を問われるだけでなく、従業員からの信頼を完全に失墜させ、重大な労使紛争に発展する二重のリスクを負います。また、場合によっては、利用者である子どもの保護者からの信用も失い、経営に大打撃となるかもしれません。
本記事では、この超機密情報を安全に管理するための法定された義務と、最新の議論に基づく具体的なセキュリティ対策について、行政書士の視点から解説します。
法定された確認記録の「保管・管理義務」と「廃棄義務」
DBS法において、確認記録の管理は単なる「プライバシーへの配慮」ではなく、事業者に課された明確な義務です。特に、情報のライフサイクル全体をカバーする「保管期間」と「廃棄方法」の遵守が求められます。
法定された保管期間の義務
確認記録の保管義務は、台帳という形式で、事業者が継続的に子どもの安全を確保するために設けられています。
期間の設定
法令に基づき、台帳における犯罪事実確認の実施の記録は原則として5年間(再確認を行うまでの期間)保管することが求められます。この期間は、従業員の再確認(更新)手続きを漏れなく行うための基礎情報として不可欠です。
保管するにあたって注意すべき事項
「犯罪事実確認書」の原本を保管する場合、それは個人情報の中でも特に慎重な取り扱いが求められる「要配慮個人情報」に該当します。個人情報保護法の観点からも、厳格な保管方法および閲覧権限の管理体制を検討・整備する必要があります。
また、犯罪事実確認に使用される戸籍の識別符号は、たとえばパスポートの申請など他の行政手続きにも利用可能な情報であり、不正に取得・使用された場合、従業員に重大な損害が生じるおそれがあります。
こうしたリスクを踏まえ、保管方法やアクセスルールについては、技術的・組織的な安全管理措置を含めて明確に定めておくことが重要です。
厳格な「廃棄義務」と復元不可能な措置
保管期間が終了した後、または当該従事者が退職などで子ども関連業務に従事しなくなった場合、事業者は遅滞なく当該記録を復元不可能な方法で廃棄しなければなりません。特に、従事者が退職した場合は、原則として退職後30日以内に、確認記録を完全に廃棄することが求められます。
- 紙の記録の廃棄
機密性の高いシュレッダー(クロスカットなど)を使用し、確実に裁断します。 - 電子記録の廃棄
単なる「削除」ではなく、復元できないようにする必要があります。専用のソフトウェアを用いた完全消去を行うか、パソコンを廃棄する場合は記録媒体(ハードディスクなど)を物理的に破壊することが求められます。 - 廃棄記録簿の作成
いつ、誰が、何を、どのような方法で廃棄したかを詳細に記録した廃棄記録簿を作成・保持し、行政監査に対応できるようにすることが、義務履行の証明となります。
安全な情報管理のための「組織的・人的・技術的」対策
確認記録を安全に管理するためには、単なる「鍵をかける」だけでなく、最新の議論でも求められている「情報管理規程」に基づいた、組織的・人的・技術的な3つの側面からの多層的な対策が必要です。
組織的・人的対策:閲覧者の厳格な限定
最もリスクが高いのは、情報にアクセスできる人が的確に定められておらず、人的なミスや不正により情報が漏洩することです。
- アクセス権限の厳格化
記録へのアクセス権限は、人事責任者や事業責任者など、確認業務に直接関わる最小限の職員に限定します。アクセス権限を持つ者を文書で明確に指定し、指定された者以外が閲覧できない仕組みを構築します。 - 研修と誓約書
従事者全員に対し、情報管理の重要性と漏洩時の罰則、従事者同士の差別偏見の防止など関する定期的な研修を実施します。また、アクセス権限を持つ者に対しては、守秘義務に関する誓約書を必ず取得します。
物理的・技術的対策:不正アクセス・紛失の防止
記録の保管場所とデータへのアクセス方法の両面で、厳重な管理体制を構築します。
- 物理的セキュリティ
紙の記録は、施錠が徹底された鍵付きキャビネット(金庫)に保管し、キャビネットを設置した部屋自体への入退室管理も行います。また、盲点ですが、書類を机に放置しないようにするなど書類の取扱いに関する認識をこれを機に改めるようにしましょう。 - ITセキュリティ
電子記録は、外部ネットワークからの不正アクセスの対策が施された専用の端末で管理するか、アクセス時に二要素認証や強固なパスワードを必須とします。
不正アクセスを検知するための技術的な対策も重要です。また、パソコンの画面をのぞき込まれないフィルターを設置したり、離席する際は画面をロックするなども忘れがちなセキュリティ対策です。
情報漏洩発生時の対応フローと法的責任
万が一、確認記録の漏洩や紛失が発生した場合、事業者は以下の義務と法的責任を負います。
行政機関への速やかな報告義務
漏洩が発生した場合、事業者は直ちにこども家庭庁に報告する義務を負います。社内で漏洩事実を隠蔽しようとせず、適切かつ誠実に対応することが求められます。
- 報告内容
漏洩した情報の内容、件数、発生原因、および事業者が講じた再発防止策を速やかに報告しなければなりません。 - 本人への通知
漏洩により本人に被害が及ぶ可能性があり丁寧な対応が求められます。また、こども家庭庁への報告においても本人への対応について報告することとなっています。
法的責任と罰則
DBS法や個人情報保護法に違反し、確認記録を漏洩させた場合、事業者は以下の法的責任を問われます。
- DBS法上の責任
認定の取り消しや、確認記録の不正な提供・目的外利用に対する罰則の対象となります。 - 個人情報保護法上の責任
行政機関からの指導、勧告、命令の対象となり、行政罰が課される可能性があります。さらに、漏洩被害を受けた従業員からの損害賠償請求(民事訴訟)のリスクも発生します。
まとめ:廃棄までを視野に入れた情報管理規程の策定
DBS認定事業者にとって、確認記録の管理は、「情報のライフサイクル全体(取得→利用→保管→廃棄)」をカバーする情報管理規程の策定も重要です。
この規程には、誰が、いつ、どのように情報にアクセスし、いつ、どのように廃棄するのかを、組織的・人的・技術的な措置を含めて具体的に定める必要があります。
DBS制度に基づく情報管理規程の策定は、DBS法、個人情報保護法などの複数の仕組みに精通した知見が必要です。貴社の事業規模や管理体制に合わせて、法的な要件を完全に満たす情報管理規程の策定、廃棄マニュアルの整備、および従業員への教育資料の準備を通じて、貴社の情報管理体制の信頼性向上をサポートします。
適切な規程と厳格な運用には負担が大きいですが、この仕組みの構築はDBS制度の肝でもあります。法令遵守と従業員の信頼確保の基盤となりますので、慎重かつ丁寧に現状や課題を整理し、導入を進めていきましょう。
