神奈川県小田原市が、市立の幼稚園・保育所・小中学校で園児や児童生徒の個人情報を、保護者の同意を得ないままPTAへ提供していたと公表しました。提供は2年間で1万件を超えます。学校の話のように見えますが、本質は「第三者提供には原則として本人の同意が要る」という個人情報保護法の基本原則であり、社員会・健保組合・労働組合・OB会などへ従業員データを渡す企業にとっても他人事ではありません。
この記事でわかること
- 小田原市で何が起きたのか(提供された情報の範囲と件数)
- なぜ「同意なき提供」が法律上問題になるのか
- 企業・団体の情シスが自社で確認すべき「データの外部流出経路」
- 第三者提供・委託・共同利用の違いと、よくある落とし穴
何が起きたのか
小田原市は2026年6月、市立の幼稚園・保育所・小中学校において、園児・児童生徒の個人情報を記載した名簿を、保護者の同意を得ずにPTA役員らへ提供していたと明らかにしました。提供された情報はPTA会費の集金時の確認などに使われていたとされます。報道によれば提供件数は2年間で1万件を超えます。
公表された提供範囲の概要は次のとおりです(施設により項目は異なります)。
| 施設区分 | 2025年度 | 2026年度 |
|---|---|---|
| 幼稚園 | 5園 約140件 | 4園 約125件 |
| 小中学校 | 25校 約7,700件 | 8校 約2,200件 |
| 市立保育園 | 5園 約340件 | 5園 約310件 |
提供された項目には、氏名・学年・学級・出席番号・性別のほか、兄弟姉妹の氏名、保護者氏名、電話番号、地域イベントの参加意向などが含まれていたとされます。単なる名前の一覧ではなく、家族構成や連絡先を含む粒度の高い個人情報です。
なお、提供に至った詳しい原因や市の再発防止策は、本記事執筆時点で公開情報が限定的です。ここでは断定を避け、確認できた事実に基づいて論点を整理します。
なぜ「同意なき提供」が問題なのか
結論から言うと、個人データを第三者へ渡すには、原則としてあらかじめ本人(未成年なら保護者)の同意が必要だからです。個人情報保護法第27条は、個人情報取扱事業者が個人データを第三者に提供する場合、原則として本人の同意を得なければならないと定めています(いわゆるオプトイン原則)。
ここで見落とされがちなのが、学校・自治体とPTAは「別の主体」だという点です。同じ建物で活動し、長年協力関係にあっても、PTAは法的には独立した任意団体です。したがって、学校が保有する名簿をPTAへ渡す行為は「第三者提供」にあたり、原則として保護者の同意が前提になります。「ずっとそうしてきたから」「学校行事に必要だから」は、同意を省略してよい理由にはなりません。
自治体(行政機関等)については、2023年4月に全面施行された改正個人情報保護法により、民間と同じ個人情報保護委員会(PPC)の所管へ一元化され、保有個人情報の利用・提供にも明確な制限が課されています。今回の件も、この「外部提供のルール」が運用面で守られていなかった事例と整理できます。
慰めにならない事実:違反の多くは「悪意」ではなく「慣行」から起きる
注意したいのは、この種の問題が不正アクセスや内部不正のような派手な事件ではなく、「昔から続く善意の運用」から生まれる点です。会費集金のため、連絡網のため──目的そのものは業務上もっともらしい。だからこそ誰も立ち止まらず、同意取得や提供ルールの確認が抜け落ちたまま長年続いてしまう。情シスにとって最も厄介なタイプのリスクです。
これは企業の情シスにとっても他人事ではない
「学校とPTAの話」と片づけてしまうと、自社の足元を見落とします。企業でも、従業員や顧客の個人データが『身内のような外部団体』へ同意なく流れている構図は珍しくありません。たとえば次のようなケースです。
- 社員会・親睦会・互助会へ従業員名簿(氏名・所属・連絡先・家族構成など)を渡す
- 健康保険組合・企業年金基金・労働組合・共済会への従業員データの提供
- OB会・同窓会・社外サークルへの連絡先リストの共有
- 親会社・グループ会社への従業員情報の横展開
- 取引先・委託先への顧客リストの受け渡し
これらの多くは「社内の延長」という感覚で運用されがちですが、法的には別法人・別団体への第三者提供にあたる可能性があります。小田原市の件は、こうした「同意の確認が形骸化したデータの外部流出経路」を自社で洗い出す、よいきっかけになります。
第三者提供・委託・共同利用はどう違うのか
本人同意が「必要か」を判断する前に、その提供がどの類型にあたるかの整理が欠かせません。同意の要否や手続きが変わるためです。
| 類型 | 本人同意 | 典型例 | 主な留意点 |
|---|---|---|---|
| 第三者提供(原則) | 原則必要 | 別団体・別法人へデータを渡す | あらかじめ同意を取得。記録義務にも注意 |
| 委託 | 不要(同意不要) | 給与計算・クラウド保管などの外部委託 | 利用目的の範囲内に限る。委託先の監督義務が発生 |
| 共同利用 | 不要(同意不要) | グループ内での共同利用 | 利用目的・項目・管理責任者などを事前に本人へ通知・公表 |
ポイントは、「委託」や「共同利用」に当てはまれば同意は不要だが、それぞれ別の要件(委託先監督、事前の通知・公表など)が課されることです。「同意を取っていないから違法」とも、「身内だから自由」とも単純には言えません。自社の運用がどの類型なのかを、まず正確に当てはめる必要があります。
現場目線の所感
正直に言えば、この手の「外部団体へのデータ提供」は、情シスにとって最も見えにくい領域のひとつです。サーバーやクラウドの設定なら台帳で追えますが、総務が紙の名簿を社員会に渡す、人事が労組へファイルをメールする──こうした業務フローはシステムの外で動いており、情シスの監視が届きにくい。「いつの間にか慣行になっていた」データの流れを、限られた人員ですべて把握するのは現実的に難しいのが本音です。
だからこそ、技術的な対策よりも先に「個人データがどこから外へ出ているか」を業務部門と一緒に棚卸しする地道な作業が効きます。今回のような事案は、その棚卸しを社内で提案する格好の説明材料になります。「他自治体で1万件規模の同意なき提供が問題になった。自社は大丈夫か」という問いは、経営層にも刺さります。
情シスはどうすべきか
自前で長大なチェックリストを作るより、まずは公的機関の指針を起点にするのが確実です。第三者提供・委託・共同利用の考え方は、個人情報保護委員会(PPC)のガイドラインに体系的にまとまっています。
- 個人情報保護委員会 ガイドライン(通則編・第三者提供時の確認記録義務編)を起点に、自社の提供類型を確認する:https://www.ppc.go.jp/personalinfo/legal/
- 個人データの外部提供経路の棚卸し(誰が・どの団体へ・どの項目を・どの根拠で渡しているか)を業務部門横断で実施する
- 同意なき提供が見つかった場合は、止める/同意を取り直す/委託・共同利用として整理し直す、のいずれかを法務と判断する
あわせて、現場の総務・人事・各部署への啓発も欠かせません。「身内の団体でも、データを渡す前に一度情シス・法務に相談する」という文化を地道に作ることが、結局は最も効果的な再発防止策になります。中小規模の組織であれば、IPAの「中小企業の情報セキュリティ対策ガイドライン」(https://www.ipa.go.jp/security/guide/sme/index.html)も、社内ルール整備の出発点として有用です。
まとめ
- 第三者提供には原則として本人(保護者)の同意が必要。同じ敷地・長年の協力関係でも、別団体への提供は同意が前提になる。
- 違反の多くは悪意ではなく「昔からの慣行」から生まれる。会費集金・連絡網など、目的が業務上もっともらしいほど見落とされやすい。
- 企業も同じ構図を抱えている。社員会・健保・労組・OB会・グループ会社への従業員データ提供を棚卸しし、第三者提供/委託/共同利用のどれにあたるかを正確に整理することが第一歩。
出典
- Security NEXT「保護者の同意なく子どもの個人情報をPTAへ提供 – 小田原市」https://www.security-next.com/185935
- カナロコ(神奈川新聞)「小田原市、子どもの個人情報を無断提供 保護者同意得ず、2年で1万件以上」https://www.kanaloco.jp/news/government/article-1278040.html
- 個人情報保護委員会 個人情報保護法ガイドライン https://www.ppc.go.jp/personalinfo/legal/
- IPA 中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/guide/sme/index.html
