はじめに

学生情報の電子化と
個人情報保護法への対応
学生個人情報データベース活用のための
個人情報保護規程の策定
取り組みの概要


学生個人情報を活用した教育事業を展開するため、
「個人情報保護に関する法律」を参考にしながら
学生個人情報保護に関する規程を新たに整備
同時に、全学的な情報セキュリティポリシーを策定し、
個人情報保護に関する規程を
ポリシーの構成要素に位置づけることとした



対策を実効化するために取り組んでいること
法律の完全施行へ向けて現在検討中の課題
決してあってはならない情報セキュリティ事件が発生
学生個人情報保護のための規程

個人情報保護法の完全施行を目前に控え、


本年4月~6月にかけて、以下のルールを定めた

学生個人情報保護のための規程(2004年4月)

取り扱い要領(2004年4月)

教員向け、職員向けガイドライン(2004年5~6月)
本学では、これを単なる規程の整備に止めることなく、
全学的な 【情報セキュリティポリシー】 の構成要素に位置
づけることとした
【情報セキュリティポリシー】 ・・・・・・
情報セキュリティポリシーとは
「情報セキュリティ」とは、不正侵入や攻撃、破壊などの脅威に対する
安全という意味

情報ネットワークシステムや「情報資産」を守るための基本
的な方針や対策、規約を体系的に定めたもの


一般的に、以下の2つの観点で策定される

被害者にならない:学内のネットワーク及びネットワーク上の情報資産
を侵害等の脅威から守る

加害者にならない:学内外の情報セキュリティを損ねる加害行為を阻
止し、社会的信頼を確保する
典型的なセキュリティポリシーの構成・・・・・・3階層モデル
セキュリティポリシーの3階層モデル

基本方針(Policy)


対策基準(Standard)


セキュリティに対する基本的な考え方、目的、
対象範囲、組織・体制など
基本方針に沿って実施するセキュリティ対策
の規程
実施手順(Procedure)

利用者やシステム管理者等、各現場におけ
るセキュリティ対策の具体的手順、マニュア
ル、ガイドライン
出展:私立大学向けネットワークセキュリティポリシー 2002年版
私情協 ネットワーク研究委員会 不正侵入対策小委員会(2002年5月31日発行)
個人情報保護のためのポリシー策定

本学では、3階層モデルの中で個人情報保護対策を実施

個人情報や情報システム全般の安全性を確保するために、全学的
な情報セキュリティポリシーの策定が有効

ポリシーを明確にし、対外的にアピールすることで、個人情報の適正
な管理と保護に関して、学生及び社会からの信頼を築き上げる
なぜ、個人情報保護対策が必要か? 背景には
・・・・・・学生個人情報データベースの構築
学生個人情報データベースの構築

「学生個人情報データベース」を構築( 2003年度に開発着手)

各部局に分散していた学生情報を統合

ここから個々の学生支援に必要な情報を抽出、加工し、
「電子的な学生カルテ」として利用する情報システムを開発

教職員がそれぞれの専門性を発揮しながら学生の個別指
導を展開する取り組み

学生の学習前状態、学修状況、キャリア関連情報などが網羅

学生からの相談や教職員のアドバイスの内容も記録

教職員がこれを共有しながら学生を中心とした個別支援を行う
学生個人情報データベースの構築

これを展開するためには


個人情報保護のための対策が必要不可欠
しかし

対策が部分的・局所的で、大学全体の情報ネットワーク上の資産を
守るという観点が欠落していては、有効に機能しない

全構成員が、全学的な 情報セキュリティポリシー に従って情報資産
の活用と保護を実現する必要がある
情報セキュリティポリシーへの適用

そこで、「3階層モデル」に従い、

全学的な「情報セキュリティポリシー」の基本方針を定め、



ネットワークに係る情報セキュリティに関する基本方針
その対策基準のひとつとして、個人情報保護に関する具体的な遵守
事項を網羅した規程を制定

学生個人情報データベースで管理する学生個人情報の保護に関する規程

学生個人データの安全管理措置に関する取扱要領
さらに、利用者向けの実施手順として具体的なガイドラインを制定

職員向け「学生個人データの安全管理措置に関するガイドライン」

教員向け「研究室におけるパソコン利用に関するガイドライン」
3階層モデルにあてはめると……

基本方針(Policy)


対策基準(Standard)


全学的な情報セキュリティポリシーの基本方
針
学生個人情報保護のための規程、取り扱い
要領
実施手順(Procedure)

学生個人情報保護のための利用者向マニュ
アル、ガイドライン
 今回は、個人情報保護に限定した対策基準、実施手順を策定
 将来的には、情報セキュリティ全般を網羅したポリシーを完成させる
ポリシー策定の検討経過


トップダウン・アプローチを志向

学長をはじめとする大学執行部に強い意志を持たせることが策定作
業に有効に働く

2002年12月、セキュリティポリシー策定の最初のステップとして、
大学執行部にセキュリティ確保の重要性を認知させることから出発
1年半の検討を経て制定

ワーキンググループによる検討(9か月)

電子計算機センター長、法学部教員、総務部長、情報処理課長、情報処
理課職員の5名で構成

学部教授会の議を経て、大学協議会で承認、発効(2004年4月)

利用者向けガイドラインを策定し、全構成員に配布(5~6月)
基本方針(特徴的なポイント)
「被害者にならない」、「加害者にならない」という、情報セキュリティポリ
シーが定める一般的な基本方針に加え、

本学では、


「学生情報のシステマチックな活用を基本とした学生支援策を展開す
る」という観点から
「情報資産の円滑かつ有効な活用」を基本方針のひとつに
掲げた

適切な管理を通じて、学内のネットワーク上の情報資産を円滑かつ
有効に活用する(第1条・趣旨)
対策基準(特徴的なポイント)

「個人情報の保護に関する法律」の第4章「個人情報取扱事
業者の義務等」の各条文に準拠した

同法の目的が本学がめざす対策基準の方向性に合致


「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」
同法が民間の事業者に共通する「必要最小限」のルールを定めたも
のである

これを指針に本学の実態に応じた基準を検討しながら、必要に応じてよ
り厳しい基準を策定することが作業上、効率的であった

必要な基準が抜け落ちるといった危険性を回避できた

大学としてのその時点での適正な状態を見いだすことに傾注
実施手順

実施手順とは


対策基準に詳細なマニュアルや部署固有のルールを加えたもの

エンドユーザごとに配布されるドキュメント

技術的な部分と人間的な部分をバランスよく統合するための具体的な基
準を定めている
たとえば、

技術的: ローカルハードディスクに暗号化ツールを導入

人間的: 暗号化の必要性、意味を理解させる

この両面を統合させる重要なドキュメントである
実施手順

わかりやすい実施手順を策定し、具体的に守るべきことを理
解させ、常に意識させ、全員が遵守するよう促す

遵守を怠った場合の具体的な被害について実感させること
が重要であるが・・・・・・

実際にそのような被害が起きるなどとは本気で考え難い

「楽観的な信頼感」によって、迫りつつある脅威は実感できない
大学の存続にかかわるような重大な危機に直面して、
はじめてその重大性を認識するというのが実際
・・・・・・本学で、決してあってはならない事件が発生
パソコン紛失事件

学生約6千6百名分の個人
情報が入ったパソコンを学内
で紛失した

氏名や住所、生年月日、メー
ルアドレスなどが入っていた

現在のところ情報漏れは発
生していない

学生に対して学長が文書な
どで謝罪
(記事抜粋)
パソコン紛失事件


暗中模索しながら事態の対応にあたっている

再発防止策を懸命に考えることはもとより

将来に禍根を残さない誠実な対応を行うことを基本方針に

学長から現場まで一体となって対応にあたることとした

事件が発覚したのが4月末、ちょうど策定直前の状態にあった情報セ
キュリティポリシーによって、それぞれの役割を担った機関が所定の
機能を発揮しながら、組織的に対応した
事件の内容及び対応については、ホームページでも報告
パソコン紛失事件

具体的な対応


再発防止のために対策を講じることはもとより、二次的な被害を防止
するため、当事者への迅速な報告と謝罪及び定期的な経過報告を
徹底することとした。

在学生に対しては、学内掲示と情報ポータルシステムへの配信により、
適宜状況を報告

約1千名の卒業生に対しては、発生直後とその後1か月ごとに、これまで
に3回、郵送により報告
相談窓口を置き、情報漏えいと疑わしいケースに関して情報を収集し
ながら、警察と協力した全容解明への努力を基本とした
パソコン紛失事件

文部科学省への報告

「保有する個人情報の情報管理の徹底について」(平成16年3月31
日付文部科学省高等教育局私学部私学行政課長名 事務連絡)に
基づき、担当の同課法規係に電話で紛失の事実と格納されている個
人情報の内容を報告

報告の際の文部科学省の担当者の話

まだ各省庁とも情報漏洩に対する個々の対応について、統一的な整備
がなされていない状況にある

文部科学省への報告については、今回の電話で受理されたという扱いと
する

今後の対応については、各大学の判断に委ねたい。迅速に対応いただ
きたい
パソコン紛失事件

想像もしていなかった重大な事態に遭遇し、初めて情報セ
キュリティポリシー遵守の重要性を実感できた

今回の事件は、まさに「情報セキュリティポリシーの策定と遵
守が一体化しない」という典型的な事例である

このことは、4月30日に開催された大学協議会の中で

パソコン盗難事件が報告され

同時に情報セキュリティポリシーが承認された
という皮肉な事態に、きわめて象徴的に現れている
パソコン紛失事件

事件を契機に教職員の意識は変わった

手痛い洗礼を受け、
セキュリティ上の脅威を、現実感覚として体感した

危機意識を維持、高めるためにはポリシー浸透が重要

利用者に対して、具体的に守るべきことを理解させること

ポリシーを常に意識させ、全員が遵守するよう促すこと

これを遵守しない場合の具体的な被害について理解させること
ポリシー浸透の取り組み

「情報セキュリティメールマガジン」の発行

具体的な啓発、教育活動のひとつとして

編集方針の中核は、「教職員の中に危機感を醸成しながらポリシー
の意識を高める」ことにある

ポリシーを遵守しないことにより起こりうる脅威を具体的に提示する

「日常に潜む脅威」を例示し、これを題材にポリシーの各条文の意味を
理解させる

有用な情報へのリンク

FAQデータベースの提供
ポリシー浸透の取り組み

専任スタッフの配置


情報セキュリティの恒常的な確保

日常的なポリシーの見直し

新たなポリシーの策定
膨大かつ多様な業務を遂行するため、これを主業務として担当する
職員を1名、補佐する職員を1名、情報処理課の中に割り当てた

パッケージシステム導入による新システム稼動に伴い、これまで各課の
業務システム開発やオペレーションに割り当てていた情報システム部門
の業務が軽減。この中で情報処理課のスタッフを再配置することができ
た(アウトソーシングの効果)
今後検討を要する諸課題

対策基準(個人情報保護規程)策定の検討の中で、以下の
課題が浮かび上がった

第三者への提供制限


父母(保証人)への学業成績知書の送付

高校の進路担当教員からの問い合わせに応じた同校出身学生の状
況報告

推薦入試結果の高校長への通知
本人からの情報開示請求

入試成績

学生カルテ上に記録される「所見」
第三者提供の制限および情報開示

法律では、特に教育関係に配慮した適用除外は設けられて
いない

10月初旬に文部科学省から公表予定のガイドライン(原案)
を参考に、情報セキュリティ委員会を中心に検討を進める
第三者提供の制限

父母(保証人)への学業成績知書の送付


保証人との連携を密にした個別修学指導の実施など、学習支援体制
の充実のために必要な取り組み

提供を中止するか、

学生本人からの同意を取るための具体的な方法を明確にするか
父母懇談会においても提供

個別面談で単位修得状況や進級条件の充足度などを提示しながら、進
学や就職の相談、学生生活に関する様々な問題等について話し合いを
行っている
適用除外とすることについて社会的な合意が得られそうにも思える案件である
第三者提供の制限

高校の進路担当教員からの問い合わせに応じた同校出身
学生の状況報告

特に、推薦入試の指定校については、学生の品質保証や説明責任
という観点で必要な取り組みである

高校との良好な関係の中での高大連携が求められる
継続へ向けての対策を検討する必要がある
第三者提供の制限

推薦入試結果の高校長への通知

本学の推薦入試制度が高等学校長推薦を必須条件、出願資格とし
ていることから、推薦者としての学校長に入試結果(個別出願者の合
否情報)を通知することには、合理性があると判断した

ただし、法律との関係で妥当性があるかどうかは疑問

本来は、出願時に志願者からの同意を求めるべき
2005年度入試については、合否発表が法律施行前の経過措置期間であるということ
もあり、本学としてこういう対応を取ることとした
本人からの情報開示請求への対応

法律では、

事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場
合は、取得した個人情報の全部又は一部を開示しないことができる

本人と直接利害関係の強い情報が想定される

業務遂行上、全体的な評価、判断の公平性や中立性を損なう恐れが
あると判断した場合など

たとえば、入学選抜関係の情報、あるいは奨学生選考に関する情報

評価の判断や審査の過程、その他の基準に関する情報
本人からの情報開示請求への対応

入試成績の開示


2005年度入試について、開示することとした

来年4月以降に本人から情報開示請求があった場合

4月中旬から下旬まで期間を限定

申し出のあった本人に対して郵送で
入学試験日程がすべて終わり、入学式後であれば、入試業務の適
正な遂行を妨げることはない

出願書類の要項には手続き方法について案内を刷り込んでいる

今後、必要に応じて、手数料徴収について検討を進める
本人からの情報開示請求への対応

学生カルテに記録する「所見」について

現在、開示請求に対する対応基準を検討している。
一方で、所見データ作成そのものについても、教職員向けのガイドラ
インの制定を進めている


基本的には、客観的な事実の記録部分と、指導者の対応方針、実際の
対応内容、その結果などから構成されるものと考えている
判例等では、「記入者の評価も交えて文章により記述する部分は、開
示することを前提とし場合に素直な表現を抑制し、その目的が損なわ
れるおそれがある」という趣旨から、開示対象とはしていない

小学校児童指導要録の開示請求訴訟に関する平成15年11月の最高
裁判決

国立大学協会が平成11年に取りまとめた「国立大学の入試情報開示に
関する基本的な考え方」
法律の完全施行へ向けて

政府の対応状況

法律に定める民間事業者に対する義務条項は、あくまでも「各分野
に共通する必要最小限のもの」

完全施行までの限られた時間の中で、すべての事業者が必要十分
な準備を整えることができるように、

各省庁ではそれぞれが所管する分野において講ずべき具体的な施策に
ついて、実情に応じたガイドライン等の策定・見直しを進めている

法制上の措置の必要性があれば、これを検討することもあり得る

文部科学省は、10月初旬にガイドライン(原案)を公表し、パブリックコメ
ントの実施を経て、10月末までには策定、告知する予定
法律の完全施行へ向けて

文部科学省が公表するガイドラインへの準拠

すでに個人情報保護対策について具体的な取り組みを進めてきた大学では、
ガイドラインと現行の体制や学内規程等を照合、不備のある部分を是正、補
強しながら保護対策の充実を図る

現時点で対応が十分ではない大学は、このガイドラインを積極的に活用しな
がら、体制の整備を進める

6月、経済産業省がガイドラインを公表

詳細かつ具体的な指針が提示

各事業者が個人情報保護に関する活動を展開する上でとても有用な内容に
思われる

民間事業の幅広い分野を網羅する

文部科学省をはじめ各省庁のガイドラインもこれに準じた形になるのではな
いかと予想される
法律の完全施行へ向けて

法律遵守という観点での現行業務見直し



在学生、新入生、入学志願者、そして卒業生への対応に関して、大
学としての方針を見出さなければならない

「利用目的の公表や明示」

「第三者提供にあたっての本人の同意」
現実的には、11月の推薦入試を控え、具体的に解決しなければなら
ない課題が存在する

「入試要項」や「入学手続要項」にどういった案内文を掲載するべきか

新たな書類を求める場合にどのような様式とするか
所管部局と情報セキュリティ委員会で検討を行うことを予定
おわりに

学生情報データベースの活用によってもたらされる恩恵

学生支援、サービスの質、利便性の向上

学生情報の分析による教育の質の向上

個人情報が悪用される危険性を常に孕んでいる

保護あっての活用


学生個人情報を中心とした組織的な学生支援を行う

厳格かつ適正な管理、保護を図る(地道で相当な負荷がかかる)
学生に対して情報セキュリティポリシー及び学生個人情報保
護に関する対策を分かりやすく示す

学生に安心感を与える適切な対策と十分な説明が求められている