『教職研修』No.393、2005年5月号、教育開発研究所、pp.38〜41
 
個人情報の管理をどう工夫するか
−プライバシー・ポリシーの策定とCPOを中心にした責任体制−
 
                     古藤泰弘
                     星槎大学教授・放送大学大学院客員教授
【対応のポイント】
1.個人情報保護の徹底とプライバシー尊重を学校マネジメントの基本に位置づけ、「プライバシー・ポリシー」を策定して内外に公表し、学校への信頼を高めるようにする。 
2.学校長をCPO(個人情報管理責任者)とする個人情報の安全管理に関する職務分掌規定を作成し、実務監督責任者を設定して各教職員の役割と責任を明確にする。
3.個人情報保護の意義やその重要性についての教職員研修を定期的に開催し、模擬訓練などの実践的研修も取り入れ全教職員あげて責任ある行動がとれるようにする。
4.個人情報の安全管理の意義は、教育活動の中で安心して個人情報を有効活用でき(可用性)、改ざんや毀損されないように保護し(完全性)、外部への漏えいを防止すること(機密性)にある、との認識を深める。
5.参考になるホームページ(内閣府);http://www5.cao.go.jp/seikatsu/kojin/index.html
 
学校は個人情報の宝庫
 「学校は個人情報の宝庫である」といわれる。これからの社会で活躍する「金の卵」が集って学ぶ場だからである。学校はその「金の卵」に関するさまざまデータを収集・生成し、活用し保管している。
 それは在校生だけではない。卒業生に関する個人データも保管している。それだけではない。保護者に関する情報、教職員に関する情報、授業研究など研修に関する情報(これにも個人情報が含まれている)、ゲストティチャーなど外部協力者や講師などに関する情報(名刺などを含む)など、多種多様な個人情報とそれに関連する大量のデータを保有している。
 その保存形態は、印刷用紙をファイルしたもの、本形式(冊子)に印刷したもの、コンピュータでデジタル化したもの、あるいは手書き(メモを含む)の書類など、これまた実に多様である。
 これらの多種多様で大量な情報を日常の教育活動の中で、いかに安心して有効に活用できるようにし(可用性)、内容の書き換えや棄損がないよう保護する(完全性)か、そして外部に漏えいしないようにする(機密性)か、そための管理運営をどう工夫するか。これが学校における個人情報管理の最大の課題である。
 
プライバシーポリシーの策定・公表
 第1に、学校としてプライバシーを尊重し個人情報保護のための管理を厳格に行っていることを「指針」(ポリシー)として策定することである。そしてその「指針」を学校案内パンフレットやホームページで公表することが望ましい。
 その指針の内容としては、@個人情報保護に関する校内の責任体制を明確にし、厳格な運用規定を定めていること、A利用目的を明確にした上で活用していること、B個人情報の紛失、破壊、改ざんや漏えいのないよう厳正な管理を行っていること、C蓄積し保管している個人情報は常に正確かつ最新の内容に更新していること、D個人情報についての問い合わせなどの窓口を設置していること、E全教職員に対して定期的に研修を行っていること、などを盛り込んで文書化し、公表することにする。
 そのためには、まず、校長をリーダーとして個人情報保護の推進体制を立ち上げ、個人情報に関する現況を把握する必要がある。学校として保管している個人情報や各教職員が管理・保有している個人情報などすべての情報を洗い出し、どんな種類の情報がどんな状態でどこに保管されどのように利用されているか確認作業を行う必要がある。
 通常、法定表簿は伝統的な形式で保存されている場合が多いが、任意表簿はパソコンなどによるデジタル情報として保存される傾向がある。また、成績評価などの情報は担当の教員が個人的に保持している場合もある。どう分類して整理すると完全性が保護され活用しやすくなる(可用性)か検討するとよい。
 
学校内の責任体制の明確化
 第2には、「指針」に基づいて個人情報管理責任者(CPO、チーフ・プライバシー・オフィサー)は学校長であることを確認し、個人情報の安全管理に関する職務分掌規定を作成する。CPOのほかに、個人データ取り扱い作業(取得・入力、加工・生成、利用、保管・バックアップ、消去・廃棄など)の実務監督責任者を設定し、各教職員の役割と責任との関係を明確にした規定を作成する。
@ 例えば、教職員は個人情報の利用目的を明示して収集することや目的外利用は原則として行わないこと、あるいはセンシティブ(機微)な情報の取得は原則禁止することなどの規定を盛り込む。
A 教員が成績の追加記入などのため蓄積してある個人情報が必要な場合は、実務監督責任者の許可を得て行うこと。例えば、コンピュータにアクセスして、過去の成績情報をフロッピーやCDなどの記録媒体にコピーする際には、アクセス記録を個人情報管理台帳などに書き残しておくことや、コピーした記録媒体への追加・修正の作業は必ず校内で行い校外(例えば自宅)に持ち出さないことなど手続きを明記する。
B さらに、更新したデータの返却に際しては、実務監督責任者の許可を得て追加・修正したフロッピーやCDから上書きコピーを行って更新データとして保存すること。そして手持ちの記録媒体からはデータを完全に削除(フォーマット)し、その旨を個人情報管理台帳に記入することなど、安全管理に関する規定を盛り込むようにする。こうすることによって情報の機密性が確保される。
C 実務監督責任者は絶えず個人情報の取り扱い状況を監査し、もしも異常や規定に違反している状況を発見したときは直ちに個人情報管理責任者(CPO)に報告するなど連絡体制を明記する。また、個人情報の漏えいや流出、改ざんなどのトラブルが発生した場合には報告連絡し早急に対処する手順を明確に規定しておく。
D このほかにも、個人情報の外部からの問い合わせに対する対処手順についても規定するなど、リスク管理を含め人的責任体制を明確にしておくことが肝要である。
 
個人情報の安全保管
 第3には、個人情報の安全保管のための方策の工夫である。従来から、学校では各種諸表簿(特に法定表簿)など個人情報が記載されている書類等は耐火庫等に保管して機密性を確保してきた。最近はコンピュータの導入によって各種情報のデジタル化が進み、情報検索が容易になっただけでなく大量の情報が保存でき、その追加・修正や削除が容易にできるなど利便性が高まった。それは同時に外部からの改変や流失が容易になったことでもあり、情報の安全保管に新しい課題が生じてきた。
 デジタル情報は、パソコン内蔵のハードディスクに貯蔵して保管するか、それとも特定の媒体に保存して保管するかである。鍵付きの特別な小部屋(コンピュータルーム)があるなど施設条件が整っていれば前者の方が便利だが、職員室などの一隅を利用する施設環境だと利便性にやや難があるが後者の方が安全である。
 前者の場合は実務監督者の許可を得て入室するようにする。後者の場合には特定の専用パソコンを指定し、実務監督者の許可を得て記録媒体を借り出して操作することになる。いずれも外部と接続していない専用のパソコンを準備・設置(デスクトップ型)することになる。記憶媒体(フロッピーやCD、USB用スチックなど)は耐火庫等に保管しておき、情報管理台帳に利用目的などを記載して許可を得て取り出することにする。
 学校における最近の傾向としては、内蔵ハードディスクへの保存・管理方式よりも、保存する外部記憶媒体を特定しておき、耐火庫等に入れて管理する方式が多くなってきている。また、専用のコンピュータは外部との接続は行わないなど安全性に気を配っている。
 いずれの場合も、それぞれの教職員が自分のIDとパスワード(有効期限の設定)を打ち込まないと操作できないようするなど、個人情報へのアクセスを物理的・技術的に厳格にしておく必要がある。
 
個人情報やその取り扱いに関する研修
 「ゴミ箱から個人情報が漏れる」といわれるように、どんなに工夫した人的組織を構築し、また物理的・技術的にアクセスをどんなに厳格にしても、その運用は人間(教職員)である。ちょっとした不注意や認識不足から安全性が損なわれかねない。全教職員が自覚して責任行動がとれるよう意識向上を図る必要がある。これが究極の安全方策である。
 そのためには研修による啓発が必要である。全教職員(非常勤や教育実習生も含めて)を対象に、個人情報やその取り扱いに関する研修会を定期的にもち、それを記録に留め保存しておくことにする。
 主な研修内容として、次のような事項をあげておきたい。
@公表した自校の個人情報保護指針(プライバシーポリシー)についての理解、
A自校の安全管理のための諸規定や手続きとそれを遵守することの重要性、
B個人情報の意味や性質・種類とプライバシーとの関係
C所属する自治体の「個人情報保護条例」の概要(特に「要注意個人情報」=センシティブな情報についての取り扱い)
D「個人情報の保護に関する法律」について(特に個人情報取り扱い事業者に課せられる義務の内容)
 以上のほか、E事例研究として、
@)保護者から、本人やその子女に関する個人情報の修正や開示が求められた時の対応、A)第三者(又は卒業生)から卒業名簿などの個人情報の閲覧を求められたときの対処、B)第三者(PTA関係者や外部も含めて)に行事案内状などの宛名書きや発送を依頼(委託)する場合のポイント、C)学校のホームページなどに教育活動などを紹介する場合の個人情報(写真などを含む)の取り扱い、D)個人情報漏えい事件が起きた時の対応、などを取り上げて模擬練習(ロールプレイなど)しておくとよい。リスク・マネジメントからみても大切な研修である。
 個人情報は「ひとりの人間そのもの」といわれるように、個人情報を保護し安全に管理することは、まさにその人間の「人としての権利=人権」を尊重することである。細心の注意を払っても払い過ぎることはない。
 例えば、会議の際などで配布された個人データ資料(例、成績一覧表など)は、会議終了後に直ちに全員から回収し完全に破棄するなどの気配りが必要である。あるいは、個人情報が記載されているメモなどはゴミ箱に捨てるのではなく、シュレッダーにかけて完全に処分するなどの習慣を身に付けることである。 
 情報が価値を持つ時代である。利便性を求め技術が進歩するほどリスクは高まる。それだけにリスクを排除するポリシーは重要な意味を持つ。個人情報の取り扱いに関するポリシーを明確にし、それを地域社会にアピールしていく。それが学校への安全・信頼と価値を高める重要な施策であることを強調しておきたい。
もどる