ユキマサくん純さん、日本版DBSの認定を申請しようと思って準備を始めたんだけど、情報管理規程って何のために作るの?
児童対象性暴力等対処規程とは別に作らないといけないの?
純さん情報管理規程は、犯罪事実確認で得た従事者の犯歴情報という、極めて機微な個人情報を守るためのルールブックです。
こどもを守るための対処規程とは目的がまったく違いますし、両方の作成が認定申請の必須条件になっています。
日本版DBS(こども性暴力防止法)では、犯罪事実確認(DBSチェック)を通じて従事者の性犯罪歴を把握することになります。この情報は非常に機微な個人情報であるため、適切な管理体制を規程として文書化することが法律で求められています。それが「情報管理規程」です。
情報管理規程は、認定申請時にこども家庭庁へ提出しなければならない必須書類のひとつです。こども家庭庁がひな型を公開していますが、空欄を埋めただけで提出すると差し戻しになることがあります。自分の事業所の実態に合わせて記載内容を整えることが必要です。
この記事では、情報管理規程とはどのような書類なのか、何を盛り込めばいいのか、認定後の運用ではどんなことが求められるのかを、行政書士の視点から解説します。
- 情報管理規程が認定申請に必要な理由と、児童対象性暴力等対処規程との違い
- 情報管理規程で管理する2種類の情報
- 作成が必要な事業者(義務対象・認定対象)
- 規程に盛り込むべき5つの内容(基本的事項・組織的・人的・物理的・技術的措置)
- 認定後の継続運用で押さえておくべきこと(見直し・廃棄・変更届)
児童対象性暴力対処規程に関する記事はこちらをご覧ください。
情報管理規程とは何か、なぜ必要なのか
管理する情報は2種類
情報管理規程で管理する対象は、大きく分けて2種類あります。
① 犯罪事実確認書およびその記録
こども家庭庁から交付される書類で、特定性犯罪事実(性犯罪前科)の有無という結論が記載されています。こども家庭庁のシステムを通じて交付される公式な情報です。
「特定性犯罪」とは?
不同意性交、不同意わいせつ、児童ポルノ、盗撮、痴漢などの性犯罪のことです。すべての犯罪歴が対象になるわけではありません。
② 特定性犯罪事実関連情報
確認の結果「前科あり」となった従事者に対して、事業者が防止措置を検討するために面談等を通じて取得した、より詳細な背景情報のことです。具体的な行為内容・背景事情・その他関連する情報が含まれます。
これは公式記録とは別に事業者が取得する情報であり、極めて機微性の高い個人情報として厳格に管理することが求められます。
児童対象性暴力等対処規程との違い
ユキマサくん2種類の規程があるんだよね。正直、何が違うのかよくわからないんだけど。
純さん目的がまったく違います。一言で言うと、対処規程は「こどもを守るための行動マニュアル」、情報管理規程は「犯歴情報という極めて機微な個人情報を守るための管理ルール」です。
| 児童対象性暴力等対処規程 | 情報管理規程 | |
|---|---|---|
| 目的 | 性暴力を防ぎ、疑いが生じたときにこどもを守る手順を定める | 犯罪事実確認で得た犯歴情報の漏えいを防ぐルールを定める |
| 守る対象 | こどもの安全・尊厳 | 従事者の犯歴情報(極めて機微な個人情報) |
| 主な内容 | 不適切な行為の定義・相談窓口・事実確認の手順・被害児童の支援 | 情報の閲覧権限・保管方法・廃棄手順・漏えい時の対応 |
| 周知の義務 | 従事者・こども・保護者に周知する義務あり | 情報を取り扱う者(責任者・担当者)への周知が中心 |
| ひな型 | 別紙1 | 別紙8・別紙9・別紙10(3種類から選択) |
2つの規程は内容が連動しています。たとえば対処規程に「疑いが生じた場合は責任者に報告する」と定めている場合、その責任者が情報管理規程上の責任者と一致しているかどうかを確認しておく必要があります。
作成が必要な事業者
情報管理規程の作成が必要な事業者は、大きく2つに分かれます。
| 事業者区分 | 主な対象 | 必要な規程 |
|---|---|---|
| 学校設置者等 (義務対象) | 学校・認可保育所・児童福祉施設など | 情報管理規程のみ ※対処規程は規程という形での作成義務はないが、安全確保措置そのものは実施義務あり |
| 民間教育保育等事業者 (認定対象) | 学習塾・スポーツクラブ・認可外保育施設など | 情報管理規程 + 児童対象性暴力等対処規程 (認定申請に両方必要) |
犯歴という非常に機微な情報を扱う以上、学校設置者等であっても民間事業者であっても、情報管理規程の作成と提出は必須です。犯罪事実確認を初めて申請する前に、こども家庭庁へ提出しなければなりません。
ひな型の選び方
こども家庭庁が公開している情報管理規程のひな型は3種類(別紙8・別紙9・別紙10)あります。選び方のポイントは「犯歴情報を閲覧・管理する人数」と「こども家庭庁のシステム以外に記録を保存するかどうか」の2点だけです。
ひな型の選び方と各種類の詳細については、以下の記事をご覧ください。
情報管理規程に盛り込む5つの内容
ユキマサくんひな型の選び方はわかったけど、実際に何を書けばいいの?
純さん大きく5つの柱があります。基本的な考え方を定めたうえで、組織・人・物理・技術の4つの観点から管理措置を規定していく形です。
情報管理規程に盛り込むべき内容は、法律とガイドラインによって次の5つの柱が定められています。
この骨格を理解しておくと、ひな型のどの部分を自分の事業所の実態に合わせて書き換えればいいかが見えてきます。
① 基本的事項――7つの基本原則を定める
規程全体の土台となる考え方です。こども家庭庁のガイドラインでは、次の7つの基本原則を規程に盛り込むよう定めています。
| 原則 | 内容 |
|---|---|
| ア 取扱者の限定 | 犯罪事実確認記録等を取り扱う者は必要最小限とする |
| イ 記録・保存の最小化 | 犯罪事実確認書の内容を別途記録・保存することを極力避ける |
| ウ やむを得ない場合の対応 | やむを得ず記録・保存する場合は、リスクに応じた情報管理措置を行う |
| エ 機器・ネットワークへの対応 | 使用する情報機器の種類やネットワークの状況に応じた措置を講じる |
| オ 手順に応じた対応 | 犯罪事実確認記録等の取扱いの手順に応じて必要な対応を行う |
| カ 組織的な点検・改善 | 組織の長自らが情報管理の重要性を理解し、組織として点検・改善を実施する |
| キ 法令の遵守 | 法に定める情報管理措置に関する規定を遵守する |
この7原則はひな型にすでに記載されています。
ただし「組織の長」や「管理責任者」の役職名・氏名は自分の事業所の実態に合わせて書き換える必要があります。
② 組織的情報管理措置――体制と記録のルールを定める
組織全体として情報を守るための体制を定めます。主に次の4点を規程に落とし込みます。
責任者・担当者の設置
犯罪事実確認記録等の管理を統括する責任者を設置し、役職名・氏名を規程に明記します。責任者が担当者に権限の一部を委譲する場合は、担当者の役職名・氏名も記載します。
民間事業者が認定を受ける場合、情報管理の責任者を含めて2人以上の従事者を置くことが認定基準のひとつです。代表者1人だけで管理する場合は別紙8のみ対応可能ですが、2人以上が関わる場合は別紙9または別紙10を使います。
漏えい等の事案に対応する報告体制
情報漏えい等が発生した場合(またはそのおそれがある場合)の報告連絡体制を規程に定めます。「誰が誰に報告するか」を体制図として規程に添付する形が一般的です。
取扱記録の整備(別紙10の場合)
こども家庭庁のシステム以外にも犯歴情報を記録・保存する場合(別紙10を選択した場合)は、「いつ・誰が・どの情報を・どのような目的で取り扱ったか」を記録に残すことが求められます。こども家庭庁が様式案(別紙6)を公開しているので、それを活用するのが実務上もっともスムーズです。
定期的な点検・監査
責任者が定期的に自己点検または他部署等による監査を行い、運用状況を確認することを規程に定めます。点検のたびに取扱いの不備や改善点を洗い出し、必要に応じて規程を更新する仕組みを作っておきましょう。
③ 人的情報管理措置――研修と秘密保持のルールを定める
情報を取り扱う「人」に対する教育と義務を定めます。
研修の実施
責任者・担当者など犯罪事実確認記録等を取り扱う者に対し、着任時および定期的に研修を実施することを規程に定めます。研修内容として規程に明記しておくべき事項は次のとおりです。
- 犯罪事実確認記録等の管理の重要性
- 情報管理措置の基本原則と具体的な措置の内容
- 法違反・漏えい等を把握した場合の対応
- 禁止事項と罰則
秘密保持義務の明記
就業規則等に秘密保持義務と違反時の懲戒処分に関する規定を盛り込んだうえで、その条番号を情報管理規程に記載します。また、担当者が退職する際に「永久に犯罪事実確認記録等に記載された情報を漏らしてはならない」ことを確認するプロセスも規程に定めておきます。
④ 物理的情報管理措置――保管場所と廃棄のルールを定める
物理的な盗難・のぞき見・紛失を防ぐためのルールを定めます。
取り扱う区域の管理
犯罪事実確認書を閲覧する区域を特定し、権限を持たない者が閲覧できないよう次のような措置を講じることを規程に定めます。
- 間仕切り等の設置・座席配置の工夫・のぞき込みを防止する措置
- 責任者の承認なく記録媒体・カメラ等を持ち込まないルール
機器・媒体の保管
閲覧に使うPCや電子媒体の盗難・紛失を防ぐため、次のいずれかの措置を規程に定めます。
- PCをセキュリティワイヤーで固定する(または不在時に机の引き出し・ロッカーに施錠して格納する)
- 施錠できるキャビネット・書庫に保管する
廃棄のルール
不要になった犯罪事実確認記録等は、復元不可能な方法で廃棄・消去することを規程に定めます。
- 紙媒体 シュレッダー処理
- 電子データ こども家庭庁のシステム上から消去、またはデータ削除ソフトウェアを使って完全に削除する(ゴミ箱への移動だけでは不十分)
- PCや電子媒体ごと廃棄する場合 物理的な破壊または専門業者への委託
⑤ 技術的情報管理措置――ITシステム面の防御策を定める
不正アクセスや情報漏えいを防ぐためのシステム面の対策を定めます。
アクセス制御
犯罪事実確認書を閲覧できる機器と担当者を明確に限定し、責任者のIDでログインしたPCからのみ閲覧できる状態にすることを規程に定めます。担当者が異動・退職した際は、即時にこども家庭庁のシステムのアクセス権を解除することも明記しておきます。
外部からの不正アクセス対策
閲覧に使う機器について、次の措置を講じることを規程に定めます。
- アンチウイルスソフトウェアの導入
- OS・アプリケーションをサポート期間内の最新バージョンに維持する
- 業務上不要なインターネット通信の制限
クラウドサービスを使う場合の要件
クラウドサービスへの保存は、真にやむを得ない場合に限られます。
利用する場合は、アクセス管理・セキュリティ設定・データの暗号化等の必要な対策を講じたうえで、ISMAP基準を満たし、国内法が適用される拠点にデータを保存できるサービスを選定することが原則とされています。
スマホのメモ帳・カメラロール・LINEのノート・パスワード設定のないGoogleドライブなどへの保存は、セキュリティ対策が不十分な環境に犯歴情報を置くことになり、情報漏えいのリスクが非常に高くなります。こうした保管方法は規程上も認められません。
ユキマサくん5つの柱を整理して書けばいいんだね。
ひな型の空欄を埋めるだけじゃなくて、自分の事業所の実態に合わせて内容を書き換えることが大事なんだ。
認定後の継続運用で押さえておくべきこと
ユキマサくん規程を作って認定が取れたら、あとはもう何もしなくていいの?
純さん残念ながらそうではないんです。
規程は「作って出して終わり」ではなく、実際に運用し続けることが求められます。年1回の見直し・廃棄の期限管理・変更届の提出など、継続的な対応が必要になります。
年1回の見直しと更新
情報管理規程は、定期的に内容を見直して実態と一致しているかどうかを確認することが求められます。見直しが必要になる主なタイミングは次のとおりです。
- 責任者・担当者が交代したとき(氏名・役職の更新)
- 犯歴情報を閲覧できる人数が変わったとき
- 保管に使うPCや保管場所が変わったとき
- こども家庭庁からガイドラインの改定や新たな通知が出たとき
- 就業規則を改定して、秘密保持規定の条番号が変わったとき
「実態との不一致」は、責任者が交代したのに規程の氏名を更新していないというケース。担当者が変わったタイミングで、規程の記載見直しとシステムのアクセス権の解除を必ずセットで行う習慣をつけておきましょう。
また、別紙10(ひな型③)を選んで取扱記録を作成している場合は、責任者が取扱記録を定期的に確認し、運用状況の自己点検を行うことが規程上も求められています。
年に1回、決まった時期に点検する習慣をつけておくと管理しやすくなります。
廃棄の期限と手順
犯罪事実確認記録等は、法律で定められた期限内に確実に廃棄・消去しなければなりません。「いつか消せばいい」という感覚での放置は厳禁です。
| 対象者の状況 | 廃棄・消去の期限 |
|---|---|
| 在職中のスタッフ(確認から5年が経過) | 確認書に記載された確認日から5年を経過した日の属する年度末から30日以内 |
| 離職したスタッフ | 離職日から30日以内 |
| 採用しなかった応募者 | 従事予定日(または確認書の交付日のいずれか遅い方)から30日以内 |
別紙10を選んでこども家庭庁のシステム以外にも記録を保存している場合は、システム上のデータだけでなく、PCやクラウド上のファイルもすべて廃棄・消去の対象になります。保存している場所を一覧で把握しておくことが重要です。
変更届が必要なケース
認定後に事業内容や規程の内容に変更が生じた場合は、変更する前にこども家庭庁へ変更の届出を行うことが原則です。変更してから届け出るのではなく、事前の届出が求められていることに注意してください。
| 変更の内容 | 届出のタイミング |
|---|---|
| 代表者・法人名の変更 | 変更前にあらかじめ届け出る |
| 事業所の移転・名称変更 | 変更前にあらかじめ届け出る |
| 情報管理規程の大幅な変更 | 変更前にあらかじめ届け出る |
| 児童対象性暴力等対処規程の変更 | 変更前にあらかじめ届け出る(軽微な変更を除く) |
| 事業の廃止 | 廃止する前にあらかじめ届け出る |
「軽微な変更」の範囲については今後内閣府令で定められる予定です。誤字の修正や担当者名の差し替えなど、内容の実質に影響しない変更は届出不要となる見込みですが、判断に迷う場合は専門家に相談することをおすすめします。
漏えい発生時の対応
万が一、犯罪事実確認記録等の漏えい等が発生した場合(またはそのおそれがある場合)は、速やかにこども家庭庁へ報告する義務があります。規程には、この報告の流れをあらかじめ定めておく必要があります。
- 漏えい等を把握した担当者から責任者への報告ルートを規程に明記する
- 責任者からこども家庭庁への報告手順を定める
- 本人(当該従事者)への通知方法を定める
- 再発防止策の策定と実施を規程上の義務として明記する
漏えい等の事案を把握したにもかかわらず報告を怠った場合、法に基づく刑事罰の対象となるだけでなく、民事上の損害賠償請求を受けるリスクもあります。「まず内部で解決しよう」とせず、こども家庭庁への報告を最優先に動ける体制を整えておくことが重要です。
ユキマサくん見直し・廃棄・変更届・漏えい対応と、認定後もやることが結構あるんだね。自分だけで全部把握できるか不安だな。
純さんそうですね。維持管理まで含めてサポートしてくれる専門家と一緒に進めると、抜け漏れなく対応できますよ。
まとめ
ユキマサくん情報管理規程って、作って提出するだけじゃなくて、運用まで含めて考えないといけないんだね。
純さんそうです。犯歴という極めて機微な個人情報を扱う以上、「誰が見るか」「どこに保管するか」「いつ廃棄するか」を規程に明確に定めて、実際に運用し続けることが求められます。
ひな型を選んで空欄を埋めるだけでは不十分ですし、作って提出したら終わりでもありません。
この記事の重要ポイント
- 情報管理規程は認定申請の必須提出書類。犯罪事実確認を初めて申請する前に、こども家庭庁へ提出しなければならない
- 児童対象性暴力等対処規程は「こどもを守るための行動マニュアル」、情報管理規程は「犯歴情報を守るための管理ルール」。目的がまったく異なる書類で、2つの規程の内容は整合している必要がある
- 規程に盛り込む内容は①基本的事項・②組織的措置・③人的措置・④物理的措置・⑤技術的措置の5つの柱で構成される。ひな型の空欄を埋めるだけでなく、自分の事業所の実態に合わせた記載が必要
- ひな型は3種類(別紙8・別紙9・別紙10)あり、選び方の基準は「犯歴情報を閲覧する人数」と「こども家庭庁のシステム以外に記録を保存するかどうか」の2点のみ
- 認定後も年1回の見直し・担当者交代時の更新・離職後30日以内の廃棄が継続的に必要。変更届は変更する前に提出することが原則
申請前の確認チェックリスト
ユキマサくん申請前に自分で確認できるリストがあると助かるな。
純さん規程の作成から運用開始まで、3つのフェーズに分けてまとめました。順番に照らし合わせてみてください。
【規程作成前】ひな型選択の確認
- 犯歴情報を閲覧・管理するのが責任者1名だけかどうかを確認している
- こども家庭庁のシステム以外に記録・保存をするかどうかを決めている
- 上記2点をもとに、別紙8・別紙9・別紙10のいずれを使うかを決めている
- 将来的なスタッフ構成の変化も考慮してひな型を選んでいる
【規程作成時】記載内容の確認
- 責任者・担当者の役職名と氏名をひな型の空欄に正確に記入している
- 犯歴情報を閲覧できる者を責任者(および担当者)のみと明記している
- 犯歴情報を保管する媒体(PC・クラウド・紙など)を具体的に記載している
- 保管場所のセキュリティ対策(施錠・パスワード・アクセス制限)を記載している
- 就業規則の秘密保持規定の条番号を規程に記入している
- 漏えい等が発生した場合の報告連絡体制を規程に定めている
- 別紙10を選んだ場合は、取扱記録(別紙6)の作成・管理方法を規程に明記している
- 情報管理規程の責任者と、児童対象性暴力等対処規程の責任者が整合している
【運用開始後】継続管理の確認
- 責任者・担当者が交代したとき、規程の記載更新とシステムのアクセス権解除をセットで行っている
- 年1回以上、規程の内容と実際の運用が一致しているかを点検している
- スタッフが離職したとき、離職日から30日以内に犯歴情報を廃棄・消去している
- 在職スタッフの確認から5年が近づいたとき、再確認のスケジュールを立てている
- 廃棄・消去を行った記録を残している(別紙10の場合は別紙6に記録)
- 定期報告(年次報告)の提出期限をカレンダーで管理している
日本版DBS(こども性暴力防止法)の認定申請や運用はお任せください
こんなお悩みはありませんか?
- 情報管理規程のひな型をどれにすればいいか分からない
- ひな型の空欄をどう書き換えればいいか、自分の事業所の実態に合わせられるか不安
- 児童対象性暴力等対処規程と情報管理規程、2つの整合性を取る自信がない
- 認定申請の手続き全体を専門家に任せたい
- 認定後の年次報告や変更届も含めて継続的にサポートしてほしい
このようなお悩みをお持ちの経営者・施設長・事務長の方は、ぜひ当センターにご相談ください。
当サポートセンターがお役に立てること
- 2つの規程の作成支援 ひな型をベースに、あなたの事業所に合った規程を作成します
- 認定申請の代行 民間事業者としてこまもろうマークの取得を代行申請します
- スタッフ研修の企画・実施 当センターの代表が直接現地にて研修を実施します
- 業務委託契約書の対応 外部講師・インストラクターとの業務委託契約書をDBSに対応したものに修正します
- 認定後の継続サポート 定期報告や変更届など、認定後の手続きもサポートします
純さん貴社・貴園の実情をしっかりとヒアリングしたうえで、最適なサポートをいたします。
まずはお気軽にご相談ください。
保育・福祉施設:認可外保育施設、認証保育所、企業主導型保育施設、病院内保育所、ベビーシッター事業、放課後児童クラブ(学童)、一時預かり事業、病児保育事業、児童発達支援事業所、放課後等デイサービスなど
教育施設:学習塾、スポーツクラブ、ダンススクール、音楽教室、英語教室、スイミングスクール、体操教室、武道教室、野球教室、サッカー教室、ピアノ教室、プログラミング教室など
LINEで簡単!全国どこからでも対応いたします
初回だけ、メールまたはLINEでお問い合わせください。詳しいお話は電話でお伺いします。
北海道, 札幌, 青森, 岩手, 秋田, 宮城, 山形, 福島, 東京(東京都23区, 千代田区, 中央区, 港区, 世田谷区, 大田区, 目黒区, 品川区, 渋谷区, 杉並区, 中野区, 練馬区, 新宿区, 江東区, 墨田区, 葛飾区, 江戸川区, 台東区, 文京区, 荒川区, 足立区, 北区, 豊島区, 板橋区), 神奈川, 横浜, 埼玉, 千葉, 茨城, 群馬, 栃木, 愛知, 名古屋, 静岡, 三重, 岐阜, 新潟, 長野, 山梨, 石川, 富山, 福井, 大阪, 京都, 奈良, 兵庫, 神戸, 滋賀, 和歌山, 岡山, 広島, 鳥取, 山口, 島根, 愛媛, 徳島, 高知, 香川, 福岡, 佐賀, 長崎, 大分, 熊本, 宮崎, 鹿児島, 沖縄
