日本版DBS情報管理規程の作り方|漏洩を防ぐ厳格なルールと実務(東京都府中市)
目次
はじめに:機密情報を守り抜く!情報管理規程に盛り込むべき厳格なルール
これまで「いかに子どもを守るか」「いかに現場を動かすか」というソフト面に焦点を当ててきましたが、最後を締めくくるのは、認定事業所にとって最も「守りが堅くなければならない」領域、すなわち「情報管理」です。
日本版DBSにおいて取り扱う「特定性暴力犯罪歴(犯罪事実の有無)」は、数ある個人情報の中でも、その人の社会的生命に関わる究極の機密情報です。この管理を誤り、万が一外部へ漏洩させるようなことがあれば、認定の取消しはもちろん、多額の損害賠償、さらには事業者としての再起不能なまでのブランド毀損を招きます。
今回は、事務担当者が迷わず、かつ経営者が安心して判を押せる「情報管理規程」の策定ポイントを解説します。
漏洩は「重大問題」。DBSにおける情報管理の特殊性
一般的な顧客情報や社員の住所録の漏洩も重大な問題ですが、DBSにおける情報管理は、その「特殊性」において一線を画します。
もし、「あの先生には前科があったらしい」といった噂が、事業所の管理不備によって漏れ聞こえたらどうなるでしょうか。たとえそのスタッフが更生し、現在は誠実に働いていたとしても、プライバシーの侵害として深刻な人権問題に発展します。
こども家庭庁など行政側も、この情報の取り扱いには極めて敏感です。認定事業者には日本版DBS法だけでなく、個人情報保護法の両面から「情報の安全管理」が法的な義務として課されており、規程の不備や運用の甘さは、不祥事が起きていなくても「認定取消し」の対象となり得ます。さらに、漏洩時には個人情報保護法に基づく報告義務、漏洩による損害賠償問題も発生します。
つまり、情報管理規程を整えることは、スタッフの尊厳を守ると同時に、自社のブランドを守るための最終防衛線なのです。
定めるべき必須項目:情報管理の「3大要所」
情報管理規程はとても細かい論点が多数ありますが、要所となる点は以下の3点です。
規程の目的と情報管理責任者の選任と権限(基本的事項、組織的事項)
「みんなで気をつける」は、管理の放棄と同じです。責任の所在を明確にします。
- 選任
通常、経営者や人事責任者、事務長などが想定されます。経営者に直轄するポジションであることが望ましいです。 - 権限
情報にアクセスできる人間を最小限に絞り込み、そのメンバーに対して「誰がいつアクセスしたか」を監督する権限を与えます。 - 利用目的の明示
犯罪事実確認をどのような目的(採用判断、配置転換等)で利用するのか規程内で明示します。これは個人情報保護法が求める制限であり、目的外利用や漏洩があった際の社内処分の判断基準にもなります。
犯罪事実確認を「誰が、どこで、どうやって」確認・保管するか(物理的情報管理、人的情報管理、技術的情報管理)
情報の「通り道」をすべて可視化し、どこに制限をかけるか検討をしましょう。代表的な論点は以下の通りです。
- 管理方法と場所
紙かデータかを特定し、「施錠された耐火金庫」や「外部ネットワークから遮断されたサーバー」など保管場所を厳定します。 - アクセス制限
閲覧できるのは管理責任者と経営者のみとするなど、職務上真に必要な者に限定し、不正アクセス対策も明らかにします。 - 取扱記録(台帳管理)
事実確認の状況を台帳に残します。台帳自体に「犯罪歴の内容」を記載しなければ、閲覧権限のないスタッフが台帳管理を担当することも可能になります。 - 体制の維持(点検・研修)
自己点検や監査の方法、規程見直しのタイミングを明文化します。また、スタッフへの意識啓蒙も重要です。「噂」などの口伝による漏洩や偏見も重大な人権侵害であることを定期研修で周知しましょう - 盗難防止策
情報を盗難・紛失しないようどのように防止するのか方法を明確にしましょう。
見落としがちな論点。保存期間の終了後、どのように「確実な廃棄」を行うか
犯罪事実確認の情報は、永久に保持して良いものではありません。
- 保存期間
法律やガイドラインに定められた期間(例:従事しなくなった後、一定期間)を過ぎたら、速やかに破棄する必要があります。作業をルーティン化するために、定めた保存期間をもとに、いつ作業を行うのかも明確にしておきましょう。 - 廃棄方法
「シュレッダー(クロスカット)」や「データ完全抹消ソフト」など、復元不可能な方法を明記します。
策定時の留意点:デジタルvs紙、そして有事の備え
デジタル管理 vs 紙管理
どちらを選ぶべきかは、事業所の規模やITリソースによりますが、それぞれのメリットとリスクを理解しておく必要があります。
| 管理方法 | メリット | セキュリティリスク |
| 紙(物理)管理 | 外部からのサイバー攻撃を受けない。 | 紛失、盗難、コピーの作成が容易。 |
| デジタル管理 | アクセスログが残り、物理的な場所をとらない。 | ウイルス感染、誤送信、ハッキング、操作ミス。 |
最近の傾向としては、クラウドストレージを活用するケースが増えていますが、その場合は「二要素認証」の導入や、アクセス権限の定期的な見直しが規程上も必須となります。
万が一の漏洩時における対応
「起きてから考える」では手遅れです。規程には以下の初動を盛り込みます。
- 被害者(スタッフ)への対応
直ちに事実調査・公表し、誠実な謝罪と被害拡大防止策を伝えます。 - 行政報告ルート
こども家庭庁や個人情報保護委員会等への速やかな報告。報告が遅れるほど、隠蔽を疑われ認定取消しのリスクが高まります。
事務担当者の心理的負担を減らす運用:ルールの「ルーチン化」
犯罪歴という重い情報を扱う事務担当者は、常にプレッシャーを感じています。その負担を軽減するのは「個人の注意」ではなく「仕組み(ルーチン)」です。
ワークフローの定型化
「採用決定→戸籍取得依頼→犯罪事実確認書を受領→調査結果の記録→廃棄時期が来たら直ちに廃棄へ」という一連の流れを、5W1Hで明確にし、マニュアル後、確実にルーチン化します。
定期監査の実施
半年または一年に一度、カレンダーに「チェックの日」を組み込み、保管や業務運用状況に関し自己点検を行います。
研修による「怖さ」の共有
担当者に対して、この情報がどれほど重要かを改めて教育することで、慣れによる「うっかりミス」を防ぎます。ダブルチェック体制を構築できる場合は、それぞれの役割を認識・尊重しながらミス防止のバディとして適切な情報共有をしましょう。
結び:情報管理への信頼が、スタッフの「同意」を生む土壌
情報管理を徹底することは、単なる守りの事務作業ではありません。スタッフが「この事業所なら、自分のプライバシーを預けても大丈夫だ」と確信できて初めて、犯罪事実確認へのスムーズな「同意」が得られます。
情報管理への信頼は、スタッフとの信頼関係の土壌となり、ひいてはそれが子どもたちへの質の高い教育・保育へと還元されます。DBS運用を「負担」ではなく「組織を強くする投資」と捉え、隙のない体制を築いていきましょう。
今回の内容が、貴所の認定取得と、子どもたちが安心して過ごせる環境づくりの一助となれば幸いです。規程の策定や運用に迷われた際は、いつでも「理想の伴走者」として弊所をご活用ください。共に、次世代を守る安全な教育環境を創り上げていきましょう。
