2026年12月25日から施行される、こども性暴力防止法(通称:日本版DBS。以下「法」)。法では事業者に対して適切な情報管理措置を講じる義務を課しています。
これに関して、「ガイドラインで示された3種類のひな型から自施設の状況に合うものを選び、必要事項を記入した。これで情報管理の義務を果たした。」と考えていませんか?
法が定める情報管理義務は、学校・保育所・放課後等デイサービスなどの義務対象事業者と、認定取得を目指す学習塾・スポーツクラブなどの認定対象事業者、いずれにも課されます。義務対象事業者は施行と同時に情報管理体制の整備が求められ、認定対象事業者は申請要件として情報管理規程の提出が必要です。
しかし申請の有無にかかわらず、規程はひな型を選んで記入した段階で終わりではありません。
権限設定・漏えいリスク対策・研修が伴わなければ、書類の上では整備が完了しているように見えても、実態として機微性の高い情報の漏えいリスクを抱えたまま運用を始めることになります。
このような状態の場合、行政上の是正措置や罰則の問題にとどまらず、犯罪事実確認で得た情報が実際に外部に流出した場合は、損害賠償請求を受けるリスクだけでなく、施設への社会的信用の失墜という取り返しのつかない結果を招くおそれがあります。
この記事では、情報管理規程のひな型を選択した後に具体的に整備・運用すべきことを、権限設定・漏えいリスク対策・研修という三つの軸に沿って整理します。
ひな型の3区分と、その後に求められる整備
別紙8・9・10の区分と選択の基準
こども性暴力防止法施行ガイドライン(令和8年2月更新版)が示す情報管理規程のひな型は3種類あります。別紙8は取扱者が1名で、こども性暴力防止法関連システム(通称:こまもろうシステム)外への情報保存がない場合が対象です。別紙9は取扱者が複数名で、システム外保存がない場合。別紙10は取扱者が複数名で、システム外への保存が生じる場合を対象とします。
※別紙7から別紙10という番号は、いずれもガイドラインに添付された書類番号を指しています。
多くの施設・事業所はシステム内のみで管理する想定であることから、別紙9が対象になるケースが多いと考えられます。ただし、これはあくまで管理の形を選ぶ作業であって、その形に合わせて実態を整備する作業はここから始まります。
規程の整備は義務の完結ではなく、起点に過ぎない
義務対象事業者には、施行後に情報管理措置を実際に運用していることが求められます。認定対象事業者は、作成した情報管理規程に沿った情報管理体制を実際に整備・運用することが法令上の義務となります(法27条1項)。
いずれの場合も、規程を書類として整えることと、実態として機能させることは別の問題です。ひな型を自施設の実態に合わせてカスタマイズしていても、権限設定・研修・廃棄手順が現場で運用されていなければ、義務を履行しているとは言えません。書類の上では整備が完了しているように見えても、実運用が伴っていない場合は是正を求められるリスクが残ります。
権限設定表の作成と継続的な維持
閲覧権限者を文書で限定する理由
犯罪事実確認記録等へのアクセスは、最小限の取扱者に限定することが情報管理規程の基本要件となっています。
具体的には、誰がどの情報にどの範囲でアクセスできるかを記載した権限設定表(別紙7)を作成・管理することが求められます。施設内で誰でも閲覧できる状態と、閲覧権限者を文書で定めている状態とでは、万一情報漏えいが発生した際の法的評価が大きく異なります。
採用・退職・異動のたびに更新が必要な理由
アクセス権限の管理で重要なのは、こまもろうシステム上の実際のアクセス設定と、それを記録する権限設定表の内容を常に一致させることです。
取扱者が変わった際にシステム上のアクセス権限を適切に削除・変更しなければ、権限を持つはずのない者が情報を閲覧できる状態が生じます。権限設定表はその実態を記録・管理するための内部文書であり、システム上の設定と乖離しないよう維持することが求められます。人事上の退職手続きとシステム上の権限削除が連動していない場合にこのリスクは起きやすく、規程に退職時の対応手順を明記し、担当者・期限・確認者を定めた運用フローとして整えておくことが実効的な対策となります。
退職時にはアクセス権限の管理とは別に、犯罪事実確認記録等の廃棄・消去という法令上の義務も発生します。法38条は、従事者が離職等した日から30日以内に犯罪事実確認記録等を廃棄・消去することを定めており、違反には刑事罰(50万円以下の罰金)が科されます(法46条3号)。システム外に記録を保存している場合(ひな型③)は特に、廃棄・消去の手順と証跡を規程の中で明確にしておく必要があります。
システム管理だからこそ見えにくいリスク
物理的な施錠管理では捉えきれないデジタル漏えいのパターン
多くの施設は、性犯罪歴情報をこまもろうシステム内のみで管理し、ダウンロードや複製は原則として行わない方針をとることになると思います。そのため、USBメモリの持ち出しや書類の物理的な鍵管理が中心的なセキュリティ課題になるわけではありません。
しかし、システム内管理であっても現実に起こりうる漏えいとして、スクリーンショットによる持ち出し、権限のない者にシステムを操作させる行為、退職後も削除されていないアクセス権限の残存といったパターンが存在します。これらはファイルを施錠するという発想では見えにくく、対策が手薄になりやすい領域です。
デジタルデータを扱う感覚として鍵をかけた実感を持ちにくい環境ほど、こうした経路からの漏えいリスクは高まります。システム内管理を選択した施設こそ、デジタル特有の漏えいパターンを念頭に置いた対策設計が必要となります。
業務外・社交の場での口頭開示が違反になる
法39条が定める秘密保持義務は、業務時間外・職場外での発言にも適用されます。飲食の席で「先日面接に来た人が性犯罪者だった」と話す行為も、法45条2項の情報漏示等罪(1年以下の拘禁刑もしくは50万円以下の罰金またはその併科)の対象となりうるおそれがあります。業務外の発言であることや、仕事の愚痴として話したという事情も、義務の範囲を狭めることにはなりません。
この点は、通常の情報セキュリティ教育では十分に扱われないシナリオです。一般的なセキュリティ研修はシステムや書類の取り扱いを中心に構成されるため、口頭による開示が法的に同じ義務の対象であることが伝わりにくい傾向があります。従事者向け研修で明示的に取り上げることが、この種のリスクを減らす上で特に重要となります。
こまもろうシステム以外で収集した情報も厳格な管理が必要
情報管理の対象は、こまもろうシステムを通じて確認した犯罪事実確認記録等だけではありません。施行ガイドラインは、安全確保措置等を通じて収集した以下の2種類の情報についても、犯罪事実確認記録等に準じた厳格な情報管理が必要であると明示しています。
- 特定性犯罪事実関連情報:性犯罪歴が確認された従事者について、防止措置を実施する過程で面談等を通じて取得した詳細情報
- 児童等から聴取した情報:安全確保措置(早期把握・相談対応等)を通じて、園児・児童等から直接聴取した性暴力等のおそれに関する情報
これらは法律上「犯罪事実確認記録等」には該当しないため、法38条の廃棄・消去義務や刑事罰が直接適用されるわけではありません。しかしガイドラインは準じた管理を求めており、誰が保管するか・どこに保存するか・誰がアクセスできるかを規程の中で明確にしておく必要があります。
この観点から、「こまもろうシステムのデータだけ管理すればよい」という理解は不十分だといえます。とりわけ児童から性暴力の訴えを聴取した記録は、漏えいした場合の被害が取り返しのつかないものになりえます。情報管理体制の設計においては、こうした記録の存在を最初から想定しておくことが重要です。
研修なしでは情報管理規程は機能しない
研修の実施が認定基準の要件になっている理由
情報管理規程を整備することと、規程の内容が従事者に伝わり理解されていることは別の問題です。
たとえば、研修の実施は、法20条1項5号に定める認定基準の要件の一つでもありますし、規程に禁止事項を明記しても、従事者がその内容を知らなければ規程は機能しません。
施行ガイドラインは、規程を作るだけでは義務を完結したとは言えず、研修によって従事者の行動を変えることで初めて義務が完結するという考え方を示しています。
実効性を高める研修内容の組み立て
施行ガイドラインが例示する研修内容は、以下の5点です。
- 犯罪事実確認記録等の管理の重要性
- 情報管理措置の基本原則と具体的措置の内容
- 漏えい等の事実・兆候を把握した場合の責任者への報告連絡体制
- 禁止事項と罰則
- 法令・規程に変更があった場合の対応
なお、ガイドラインはこども家庭庁や情報処理推進機構(IPA)など公的機関が無料公開する情報セキュリティ研修資料の活用も可能としています。ただし、これらは一般的な情報セキュリティを対象にしており、各施設ごとに最適化されているものではなく、具体的に施設としてどのように行動すべきかといった点は汎用資料だけでは伝えきれません。
また「禁止事項と罰則」を正確に説明するには法律の条文の読み解きが、「報告連絡体制」の整備には施設の実態に合わせた手順設計が必要です。これらは規程の作成とは別の専門性を要します。
情報処理安全確保支援士として情報セキュリティの実務を、行政書士として法的義務の根拠を正確に押さえた上で、各施設の体制に合わせた研修を設計・実施することが当事務所の対応範囲です。「既製の資料を読み上げる研修」ではなく、自施設で実際に起きうる場面に即した内容で実施します。
整備状況のセルフチェックリスト
情報管理体制が適切に整備されているか、以下の項目で確認できます。
- 情報管理規程のひな型を選択し、自施設の実態(取扱者数・システム利用状況等)に合わせてカスタマイズしているか。
- 情報管理規程を、施行時点(義務対象事業者)または認定申請前(認定対象事業者)に運用を開始できる状態になっているか。
- 権限設定表(別紙7)を作成し、犯罪事実確認記録等の閲覧権限者を最小限に限定して明記しているか。
- 採用・退職・異動のたびに権限設定表を更新する手順を定めているか。
- 退職した従事者のこまもろうシステムへのアクセス権限を、退職と連動して速やかに削除する運用が確立しているか。
- 退職した従事者の犯罪事実確認記録等を、離職日から30日以内に廃棄・消去する手順を定めているか(法38条)。
- 従事者に対して情報管理に関する研修を実施し、禁止事項および関連する罰則について伝えているか。
- 情報管理上、留意すべき点や違反になるおそれのある行為といった点について研修等で明示的に伝えているか。
- インシデント発生時の報告手順(速報・確報の期限と報告先)を全ての従事者が把握しているか。
1つでも「まだ対応できていない」と感じた項目があれば、それは書類の不備ではなく、運用体制の課題として残っている状態です。
情報管理規程の作成だけであれば、こども家庭庁が公開しているひな型を選んで記入する作業で形式上は完結します。
しかし権限設定表の整備・廃棄手順の運用フロー化・研修の組み立ては、法令の正確な読み解きとセキュリティ運用の両方を要する作業です。この二つを一体で見ることができる専門家は、この領域では限られています。行政書士として規程・文書を整え、情報処理安全確保支援士として運用設計まで担当できることが、当事務所に依頼する実質的な理由になります。
まとめ
情報管理規程のひな型を選択し提出した段階は、情報管理体制整備のスタートラインに過ぎません。情報管理体制が実態として機能するためには、権限設定表の整備状況・定期的な更新・従事者への研修という三つの軸が必要不可欠です。
注目すべきは、これらの課題がいずれも法令上の問題であると同時に、ITと運用の問題として現れる点です。退職者の権限削除漏れも、スクリーンショットによる持ち出しも、業務外での口頭開示も、法令を正確に読んだだけでは見えにくく、セキュリティ運用の視点が加わって初めて対策が立てられる領域でもあります。
加えて、性犯罪歴に関する情報は個人情報保護法上の要配慮個人情報に該当する場合が多いため、漏えい事案によっては個人情報保護委員会への報告と本人への通知という手続きが、こども性暴力防止法固有の対応と並行して求められるケースがあります。日本版DBSの法令だけを参照していると、この二重対応の必要性に気づかないまま事後対応を迫られるおそれがあります。法令と情報セキュリティの両面を俯瞰する視点が、この領域では特に重要となります。
書類上の整備と実際の運用との差を施行前に埋めておくことが、情報漏えいと行政処分のリスクを遠ざける最短経路となります。
情報管理規程の作成(ひな型のカスタマイズ)・権限設定表の整備・従事者向け研修の設計と実施を、行政書士および情報処理安全確保支援士(登録セキスペ)として一括して担当します。
施行まで残り8ヶ月を切った今(※記事執筆時点)、書類と運用体制の両方を確実に整えたい場合は、まずお問い合わせください。費用は内容をお聞きした上で事前にお見積もりし、ご承認後に作業を進めます。
情報処理安全確保支援士(登録セキスペ)/行政書士/個人情報保護士
ビーンズセキュリティサービス代表(ビーンズ行政書士事務所内)
「セキュリティが詳しくない経営者でも、統制できる仕組みを作る」をテーマに、情報処理安全確保支援士と行政書士のダブル国家資格を持つ専門家。中小企業の経営者・役員向けに各社に適したセキュリティの”はじめの一歩”をご提案します。
▶ お問い合わせ