個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 29 日、株式会社四谷大塚(以下「四谷大塚」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。
1.事案の概要
本件は、中学受験のための学習塾を運営する四谷大塚において、令和4年4月~令和5年8月まで勤務していたXが、在職中に、A校舎に通う小学生児童(以下「在校児童」という。)の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Xの私用スマートフォンに入力して記録し、6人分の個人データ(氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。)をXの SNSアカウントに掲載して漏えいさせた事案である(以下「本件漏えい事案」という。)。
2.事実関係
(1) 事案発覚の経緯
四谷大塚は、令和5年8月 10 日、メディア関係者から、Xが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Xから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム(以下「本件システム」という。)について、Xのアクセス権を停止するとともに警察に通報した。
(2) Xによる在校児童の個人データ持ち出しの態様
四谷大塚によれば、Xは、令和4年4月に採用され、A校舎に所属し、理科、算数及び国語の授業を担当していたところ、解雇された令和5年8月頃までに、自身に業務上付与された ID 及びパスワードで本件システムにログインし、在校児童の個人データを検索し閲覧した。そして、Xは、自身のスマートフォンに、個人データを打ち込んで記録し、6人分の本件個人データを SNS アカウントに送信して投稿した。
(3) 当委員会に対する漏えい等報告の提出の状況
四谷大塚は、当委員会に対し、法第 26 条第1項の規定に基づき、令和5年 10 月6日付けで漏えい等報告書(速報)を提出し、同月 13 日付けで漏えい等報告書(確報)を提出した(個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号。以下「規則」という。)第7条第3号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告)。
3.法律上の問題点-安全管理措置(法第 23 条)の不備
法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)「10(別添)講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。
四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人(令和6年1月1日現在)の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。
こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。
本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。
(1) 組織体制の整備及び漏えい等事案に対応する体制の整備が不十分であったこと
ガイドラインにおいて、個人情報取扱事業者は、安全管理措置を講ずるための組織体制を整備しなければならず(10-3(1)組織体制の整備)、また、漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならないとされている(10-3(4)漏えい等事案に対応する体制の整備)。
しかしながら、四谷大塚では、大量の児童の個人データを保有及び管理しているにもかかわらず、人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置しておらず、また、責任者の設置はしていたものの、漏えい等事案が発生した場合に当委員会に報告するための体制が機能していなかった。そのため、令和5年8月10 日に本件漏えい事態が発覚してから約2か月後の、同年 10 月6日に速報、同月 13 日に確報を提出したものである。
ガイドラインにおいて、速報の提出期限である「速やか」の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内とされている(3-5-3-3 速報(規則第8条第1項関係))。また、確報の提出期限については、規則第8条第2項において「当該事態を知った日から 30 日以内(当該事態が前条第3号に定めるものである場合にあっては、60 日以内)」とされている。しかし、四谷大塚が速報を提出したのは、本件事態の発覚日から 58 日目であり、確報を提出したのは 65日目であることから、組織体制の整備及び漏えい等事案に対応する体制整備に不備があったものと認められる。
(2) 取扱状況の把握及び安全管理措置の見直しが不十分であったこと
ガイドラインにおいて、個人情報取扱事業者は、個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならないとされている(10-3(5)取扱状況の把握及び安全管理措置の見直し)。
四谷大塚によれば、責任者である塾長(会社全体を統括する者)が定期的に内部監査を実施していたとのことであるが、監査の項目は、研修の実施状況を確認するにとどまるものであり、個人データの取扱状況については確認していなかった。
したがって、四谷大塚においては、個人データの取扱状況の把握及び安全管理措置の見直しに不備があったものと認められる。
(3) 小括
このように四谷大塚においては、組織的安全管理措置(組織体制の整備、漏えい等事案に対応する体制の整備、並びに取扱状況の把握及び安全管理措置の見直し)に不備が認められた。四谷大塚においては、本件漏えい事案を重く受け止め、こどもの個人データを取り扱う事業者として、今回の指導事項を含め、個人データの安全管理措置の実施について、より一層留意するべきである。
4.指導等の内容
(1) 法第 147 条の規定による指導
- 個人データの安全管理措置を講ずるための組織体制を整備すること。
- 漏えい等事案の発生又は兆候を把握した場合に、個人情報保護委員会に対し適切かつ迅速に対応するための体制を整備し、法の改正などに応じて適宜見直すこと。
- 個人データの取扱状況を確認するために、定期的に監査を実施すること。
- 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し(必要に応じて見直すことを含む。)、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。また、その遵守状況の確認を定期的に実施すること。
(2) 法第 146 条第1項の規定による報告等の求め
- 指導に係る改善措置の実施状況について令和6年5月 31 日(金)までに関係資料を添付の上、報告するよう求める。
リリース文(アーカイブ)
