個人情報保護違反・・・になっちゃいますか

まずは一刻も早く上司・会社(塾)に報告しなさい。 社会人として最低限のルールです。 Ａ君、Ｂ君への対処はその後です。

そもそも個人情報保護法で「第三者提供」を規制しているのは，体系化された「個人データ」であって，散在する「個人情報」は規制の対象外なんですけれどね。 その意味では，塾が個人情報取扱事業者かどうかは関係ないのだと思うのですけれど。 ただＡさんが何か損害を受けた場合は，民法上の不法行為に該当し，損害賠償の対象になるとは思われますが，被害者はＢさんですよね。 Ｂさんには連絡しておくべきかとは思いますが。

　こんにちは。 　これは、いわゆる個人情報保護法をお読みになれば、お分かりになると思いますが、貴方個人にはこの法律は適用されません。 　あくまでも、この法律が適用されるのは、事業主(今回ですと塾の経営者)です。この法律では、事業主に個人情報の厳重な管理と、従業員への個人情報の取り扱いの監督責任を定めており、従事者に対する義務を課したり、罰則を設けているわけではありません。 --------------------------------------------------------------- ○個人情報の保護に関する法律(抜粋) （安全管理措置） 第二十条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 （従業者の監督） 第二十一条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/ --------------------------------------------------------------- 　ですから、「個人情報の保護に関する法律」に違反するかとのご質問に対するお答えは、塾の経営者は違反するが、従業員は法律の対象にならないということになります。 　ですから、まずするべきことは、上司に報告してBさんに謝罪することですね。 　なお、Aさんについては、この法律には関係ありません。Aさんがその情報を悪用すれば、AさんがBさんからプライバシーの侵害に問われることがありえることぐらいでしょうか。 (おまけ) ・この法律は、個人情報を5000件以上持っている事業主が対象になります。逆に言えば4999件以下しか情報を持っていなければ、原則(事業の所管省庁によって、もう少し厳しい内容を課している場合もあります)として事業主もこの法律の対象外になります。 　老婆心ながら… 　ただ、実際は、対象にならなくても同義的な問題や、今後の事業所の信用問題にもかかわることですから、この法律では対象外であっても、Bさんへの謝罪は必要だと考えます。

　違反であるという意見が続いていますが、過失により流出したという事件そのものは「個人情報の保護に関する法律」に違反するわけではありません。お勤めの塾が「個人情報取扱事業者（過去６ヶ月に５０００件以上の個人情報を取り扱う）」に該当する場合に、責任者を定めて安全な取扱方法を規定した上で社内教育を行なうことが求められています。今回の場合にはこうしたクレームに対して、行政官庁に報告したり社会に公表し、その上で取扱方法を改善するなどの対策を実施しなければならないことになります（３０条）。したがって、ご質問者さまのとるべきはすみやかに上司に報告し、塾で定められた個人情報取扱規則にしたがって行動することです。そういう規則が全く作られていなかったとすると塾の個人情報保護責任者が個人情報保護法により責任を追求されます。ご質問者ご自身の処遇については塾内の規則により訓告、戒告などの処分ということになります。

一応、法律的なところでいうと、個人情報保護について個人情報取扱事業者がどのように取り扱うかは、その事業者が基本指針等を定め、それによることとなっています。 個人情報取扱事業者は、その名前のとおり個人情報データベース等を事業の供に用する事業者、とされています。今回は、あきらかに個人情報に該当しますので、個人情報保護法違反は明確です。 さて、個人塾程度であれば、前述の指針等はわざわざ作成していないかもしれませんが、ある程度、情報管理に対する方針みたいなものはあるでしょう。ひょっとしたら、明確な指針でなく、就業規則として定めがあるかもしれません。 一般常識で考えて、貴方は事業者の一担当者として情報を漏出してしまったわけですから、これを上司に報告する義務はあるはずです。これをおこたっていれば、懲戒の対象になるかもしれません。 また、前出の回答のとおり、生徒A、Bの両者に迷惑をかけたわけですから、いち早く謝罪等の対応することが必要です。 Aに対しては実質的な損害は与えていませんが、精神的な損害の代償として慰謝料請求してくることがありえないとは言い切れません（それが認められるかどうかは別物）。 ただし、Bに対しては明らかに法律違反なわけですから、漏洩の事実の説明とともに謝罪をしないと、最悪の場合、貴方だけの問題では済まされなくなります。指針等を作成していなければ、このことをもとに（小さい事業所であっても）行政指導が入らないとはいいきれませんから。 今後の対応は、まず上司と相談してください。 なお、 ＞生徒Ａも偶然手に入れたＢという生徒の住所・氏名・受験大学を何か悪用すれば、これも問題なのではないでしょうか・・・？ ここについては、当然、個人情報保護法違反ではありません。Aは個人情報取扱事業者ではないですから。 ただし、これがBの実質的な損害に結びつけば、そのことを元に不法行為となる可能性はあります。もっとも、これは貴方が判断することではありません。

立派な個人情報保護違反です。 今は、行政処分等の厳しい罰則が科せられる場合もあります。 しかし、それは生徒Ｂもしくは生徒Ａから訴えられた時に初めて成立する問題。 まずは塾の最高責任者が生徒Ａ、生徒Ｂに対して事情を説明し、謝罪すべきです。 あなた自身がすべき事は、一刻も早く上司に報告すること、それ以外にはありません。