セキュリティ対策基準と 個人情報保護 学生個人情報データベースの活用 のための個人情報保護規程の策定 斉藤和郎 札幌学院大学 総務部情報処理課長 はじめに 学生支援のための「学生個人情報データベース」を再構築 これを最大限有効活用するためには 個人データの適正な管理と保護が前提 個人情報保護のための「規程」を制定する必要があった しかし 情報ネットワーク上の資産を守るという観点では、個別の規程を部分 的に整備をしても効果が上がらない 全構成員が全学的な情報セキュリティポリシーに従って情報資産の 活用と保護を実現する必要がある はじめに 基本方針(Policy) 対策基準(Standard) 全学的な情報セキュリティポリシーの基 本方針を策定 学生個人情報保護のための対策基準 実施手順(Procedure) 利用者向けのマニュアル、ガイドライン はじめに 個人情報保護法の完全施行という現実を控え、 対策基準の骨格となる「学生個人情報保護に関する規程」は、法律 にほぼ準拠するかたちで検討を行った 法律に規定する「民間事業者」に該当する大学では、 本学と同様に 「個人情報保護を中心とした情報セキュリティポリシーの策定」という 起案方式を採用することもありえる 本学の事例が何らかの参考になれば はじめに 事例発表では、 検討の中で明らかになった課題等を紹介 考え方に妥当性を欠く部分についてはご指摘をいただきたい 今後の問題解決へ向けて、みなさまから貴重なご示唆を頂戴したい 本学で発生した事件も紹介しながら、 現実感として認識し難い<脅威>が、決して他人事ではないこと 実は、常に我々の身近に潜んでいるということを警告したい 発表のながれ 対策基準策定の背景 策定までの検討経過 セキュリティポリシーの全体構成 ポリシー浸透の取り組み 今後検討を要する諸課題 基本方針 対策基準 実施手順 対象範囲、監査、第三者提供、開示請求 「個人情報保護に関する法律」の完全施行へ向けて 省庁の動き 対策基準策定の背景 従来の学生個人情報管理方法の問題点 業務システム化は、それぞれの部署における業務省力化という観点 から、業務単位に構築されてきた その結果、学生の個人情報は、それぞれの業務所管部署に分散 同じデータが複数の部署で重複管理する場合も 学生個人情報保護に関する規程が整備されていない 個人情報の取り扱いについては、それぞれのデータを所管する部署 の慣例やその時点での判断に委ねられ、部局を超えた情報のシステ マチックな活用を阻害する要因となっていた 一方で、非常勤講師からの成績修正依頼をメールで受け付けるな ど、個人情報保護という点では「ずさん」ともいえる業務が行われる 対策基準策定の背景 2004年度稼動を目指し、一元的な「学生個人情報データ ベース」を構築 各部局に分散していた学生情報を統合し、 ここから個々の学生支援に必要な情報を抽出、加工 「電子的な学生カルテ」として利用する情報システムの開発に着手 教職員がそれぞれの専門性を発揮しながら学生の個別指導 を展開する取り組み 学生からの相談や教職員のアドバイスの内容も記録 教職員がこれを共有しながら学生を中心とした個別支援を行う 対策基準策定の背景 そのためには、厳格な個人情報保護が求められる 全学的な情報セキュリティポリシーの基本方針を定め、 その対策基準のひとつとして、個人情報保護に関する具体的な遵守 事項を網羅した規程を制定することした 一方、システムの具体的な運用のために 学生情報を中心に教職員が協働しながら支援を展開するにあたって の運営体制を整備することとした それぞれの指導者の役割や責任の内容を明確化・具体化するため のガイドラインの策定を行うこととした 発表のながれ 対策基準策定の背景 策定までの検討経過 セキュリティポリシーの全体構成 ポリシー浸透の取り組み 今後検討を要する諸課題 基本方針 対策基準 実施手順 対象範囲、監査、第三者提供、開示請求 「個人情報保護に関する法律」の完全施行へ向けて 省庁の動き 策定までの検討経過 トップダウンアプローチ 学長をはじめとする執行部に強い意志を持ってもらうことが策定作業 に有効に働く セキュリティポリシー策定の最初のステップとして、大学執行部にセ キュリティ確保の重要性を認知させることから出発した 執行部の定例会議の日程から、働きかけに数ヶ月を要した 2002年12月 学生支援のための情報システム構築のプロジェクトがスタート 同時に、電子計算機センター長から学長に対して、セキュリティ最高 責任者(理事長・学長)主導により「情報セキュリティポリシー」を全学 的に策定することの必要性を進言 策定までの検討経過 2003年2月 教員部長会議で情報セキュリティに関連する事件を紹介 情報セキュリティを損ねる脅威が発生した場合の影響の大きさにつ いて理解を得る 2003年3月 私情協のガイドライン(2002年5月発行)を参考に、本学における組 織体系について素案を提示 早急に対策が必要な基準についてその重要性を説く 学生個人情報保護に関する対策基準 インターネット利用に関する対策基準 サーバの外部公開に関する対策基準 策定までの検討経過 2003年4月 教員部長会議において、情報セキュリティポリシーの策定組織につ いて、以下の事項が確認された 必要最小限の組織で検討を進め、原案を作成する 優先順位の高い対策基準から策定を進める 2003年5月 教員部長会議で個人情報保護に関する対策基準について代表的な サンプルを紹介 個人情報保護のためには、全学的な体制の確立と構成員の意識向 上が不可欠であることについて理解を得た 策定までの検討経過 2003年6月 ポリシー策定のためのワーキンググループが正式に発足 電子計算機センター長、法学部教員、総務部長、情報処理課長、情報処 理課職員の5名で構成 当面の目標として、以下の2点が確認された まず「全学的なセキュリティ基本方針(案)」を策定し、 続いて喫緊の課題として優先度の高い「学生個人情報保護に関する対 策基準(案)」を策定 9か月にわたる検討を経て、2004年3月 原案がまとまる ネットワークに係る情報セキュリティに関する基本方針 学生個人情報データベースで管理する学生個人情報の保護に関する規程 学生個人データの安全管理措置に関する取扱要領 策定までの検討経過 2004年4月 これらの現案が学部教授会の議を経て、大学協議会で承認 2004年5月 職員向け実施手順を全職員(非専任、業務委託を含む)に配布 「学生個人データの安全管理措置に関するガイドライン」 2004年6月 教員向け実施手順を専任教員及び非常勤講師全員に配布 「研究室におけるパソコン利用に関するガイドライン」 発表のながれ 対策基準策定の背景 策定までの検討経過 セキュリティポリシーの全体構成 ポリシー浸透の取り組み 今後検討を要する諸課題 基本方針 対策基準 実施手順 対象範囲、監査、第三者提供、開示請求 「個人情報保護に関する法律」の完全施行へ向けて 省庁の動き セキュリティポリシーの全体構成 基本方針(Policy) 対策基準・遵守事項(Standard) セキュリティに対する基本的な考え方、目 的、対象範囲、組織・体制、役割分担など 基本方針に沿って実施するセキュリティ対 策の規程 実施手順・ガイドライン(Procedure) 利用者やシステム管理者等、各現場におけ るセキュリティ対策の具体的手順 主に参考とした資料および法律 「私立大学向けネットワークセキュリティポリシー 2002年 版」 私情協 ネットワーク研究委員会 不正侵入対策小委員会 「大学における情報セキュリティポリシーの考え方」 大学の情報セキュリティポリシーに関する研究会 平成14年5月31日発行 国立大学の全国共同利用大型電算機センター長会議の下、 大学の情 報セキュリティポリシーの在り方について実践的な研究を行う会議 平成14年3月29日発行 「個人情報の保護に関する法律」及び「施行令」 平成15年5月30日公布 基本方針 本学が管理するネットワークに係る情報セキュリティを確保 するための基本的な考え方について定めたもの 学内のネットワーク及びネットワーク上の情報資産を侵害から守る 学内外の情報セキュリティを損ねる加害行為を阻止し、社会的信頼 を確保する 基本方針 一般的に、セキュリティという言葉からは 不正侵入、盗難、攻撃、破壊など、悪意を持って行われる脅威に対 する安全という意味を連想する これは、自ら積極的に手に入れようとしなければ手に入らない安全、 いわば能動的な安全確保という意味合いが強い したがって、情報セキュリティを考える場合 大学のセキュリティを脅威から守る 大学の構成員、教職員、学生が他者のセキュリティを侵犯しない つまり、以下の観点で策定されることが一般的である 「被害者にならない」 「加害者にならない」 基本方針 本学では、 「学生情報のシステマチックな活用を基本とした学生支援策を展開す る」という観点から、 「情報資産の円滑かつ有効な活用」を基本方針の中核のひ とつに掲げた(第1条) 適切な管理を通じて、学内のネットワーク上の情報資産を円滑かつ 有効に活用する 基本方針の策定にあたって リスク分析に多くの時間をかけず、「走りながら考える」 本来は、周到なリスク分析が必要であるが・・・ リスク=損害額×発生確率という算式はあるが 発生頻度を定量化し、その上で遵守事項をきめ細かく策定する 作業は、多大な労力と時間がかかる 損害額を見積もることができるのか? 発生確率を的確に得られるのか? 精密なリスク分析は非常に難関である ネットワーク上で脅威になりそうな重要な部分はある程度 把握できる 完璧なプロシジャを作ることに時間をかけるのではなく、現時点で スタンダードと思われる内容を暫定的に定め、これを運用する中 で、適宜見直しを行うこととした 基本方針の策定にあたって はじめから、完璧なポリシーは存在しない すべての構成員によって遵守されてこそ意味のあるもの 策定・運用、評価、見直しを繰り返す生き物である ポリシーの評価見直し(第5条) 定期的に評価及び見直しを行い 情報セキュリティ上の問題が発生したときには直ちに見直す ポリシーの遵守状況の掌握や利用者からの意見収集に努力する 少なくとも年に1回以上、評価、見直しを行うことに努める 基本方針の策定にあたって 組織体制 情報セキュリティ責任者の主導のもとで、全学的に情報セキュリティ の確保に取り組む(第4条) 情報セキュリティ責任者(理事長・学長) 情報セキュリティ審議会(重要事項の審議) 情報セキュリティ委員会(情報セキュリティの維持・管理に関する日常業務) 基本方針の策定にあたって 機動性のある組織体制 インシデントに即時対応するための機動力を確保するため、必要最 小限の階層組織とした 情報セキュリティ審議会 構成メンバーを研究科長、学部長、部局長、事務局長、事務部長とし、 重要案件の承認をおこなう 情報セキュリティ責任者の要請により、必要に応じて開催される 情報セキュリティ委員会 日常的なポリシーの運営管理 必要最小限の構成メンバー 基本方針の策定にあたって 情報セキュリティ委員会 以下の5名体制で組織した 職制による委員 電子計算機センター長と情報処理課長 学長が特に必要と認める者 法学部教員 法令や各種学内規程との関連、整合性など、法的な観点から情報 セキュリティポリシーを検証する顧問的な役割 情報処理教育担当教員 情報技術の観点からセキュリティの妥当性を検証する役割を担う、 情報技術を研究課題とする教員 総務部長 罰則に関して人事規程や就業規則との関係から妥当性をチェック 各種インシデントが発生した場合の対外的な対応を円滑に進める 基本方針の策定にあたって ポリシー違反者への対応 ネットワークやシステムの利用制限など、最小限の措置に止める 最終的には、就業規則や教授会規程、学則等により処分される 対象範囲(第3条) 本学が管理するネットワーク、ネットワークに接続された機器、ネット ワーク上の情報資産及びネットワークから引き出された情報資産 役員、教職員、委託契約により本学の業務に携わる者、学生。学外 者であっても本学が管理するネットワークの利用をアカウント付与な どを通じて特に許可された者 対策基準 対策基準 学生個人情報データベースで管理する学生個人情報の保護 に関する規程 学生個人情報データベースを利用するにあたって 学生個人情報の有用性に配慮しつつ個人の権利利益を保護するた めの規程 学生個人データの安全管理措置に関する取扱要領 上記規程が定める学生個人データの安全管理措置に関する取り扱 いについて、必要な事項を定めたもの 利用者の講じるべき措置 学生個人データを管理する部署の長の講じるべき措置 システム管理部門の講じるべき措置 対策基準の策定にあたって 「個人情報の保護に関する法律」の第4章「個人情報取扱事 業者の義務等」の各条文に準拠した 同法の目的が本学がめざす対策基準の方向性に合致 「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」 同法が民間の事業者に共通する「必要最小限」のルールを定めたも のである これを指針に本学の実態に応じた基準を検討しながら、必要に応じてよ り厳しい基準を策定することが作業上、効率的であった 必要な基準が抜け落ちるといった危険性を回避できた 大学としてのその時点での適正な状態を見いだすことに傾注 対策基準の策定にあたって 学生情報分析のための道筋をつける 大学の事業計画を客観的なデータを基礎に実績評価することが求め られる 近い将来の予見につながるようなシミュレーション、データマイニング など 部局を越えたダイナミックなデータ分析よって、FDやカリキュラム改 革、大学政策立案に活用 学生個人情報を所管する部局の長が、他の組織等から情報 の提供要請を受けた場合にどう対応するか 対策基準の策定にあたって 部局を越えたデータ分析の実施ルートや手続きの明確化 現在、運用ルールやガイドラインの具体化を進めている 提供にあたっての判断基準 安全な提供方法 年末ごろをめどに、事務的なルート、手続き等の実施手順を明確にし、 全学的にオーソライズする予定 留意すべき事項 たとえば、サンプル数が極端に少ない場合、統計的な情報であっても学 生個人を特定できるといった「可逆性」は排除しなければならない 得られた分析結果が教員の個人情報となる可能性もある 対策基準の策定にあたって 統計的なデータ分析と個人情報保護 たとえば、学部のカリキュラム改革の検討の基礎情報として、専門科 目の授業科目別成績分布あるいは単位認定率を算出。分析の結 果、授業科目担当者ごとにそれぞれの科目が数値化、序列化 その数値だけが一人歩きし、短絡的な判断が下され得る 認定率が極端に低い科目については「あの教員は教え方が悪いから学 生がまったく理解できないのだろう」 認定率が高い科目については「あの教員は評価基準も教え方も適当 で、白紙答案でなければ合格にしているのではないか」 教員によっては、学生個人情報から導き出された「授業科目の単位 認定率」を教員の個人情報と考える 場合によっては、実施手順に盛り込むことも必要 実施手順 実施手順 利用者向けマニュアルとして、以下の実施手順を制定した 職員向け「学生個人データの安全管理措置に関するガイドライン」 教員向け「研究室におけるパソコン利用に関するガイドライン」 これ以外に、各部署が備える業務マニュアルが順次策定される 実施手順の作成にあたっては、その内容が対策基準に適合 しているかどうかの妥当性を、情報セキュリティ委員会が チェックする 実施手順の策定にあたって 実施手順とは 技術的な部分と人間的な部分をバランスよく統合するための具体的 な基準を定めている たとえば、 対策基準に詳細なマニュアルや部署固有のルールを加えたもの エンドユーザごとに配布される文書 技術的: ローカルハードディスクの暗号化ツールの導入 人間的: 暗号化の必要性、意味を理解させ、全員が遵守する この両面を統合させる重要なポリシーである 適正な実施手順を作成し、具体的に守るべきことを理解さ せ、常に意識させ、全員が遵守するよう促すことが重要 実施手順の策定にあたって 実施手順を遵守しない場合の具体的な被害について、理解 させることが重要であるが・・・ 実際にそのような被害が起きるなどとは本気で考え難い 日本社会独特の「楽観的な信頼感」によって、迫りつつある脅威は実 感できない 大学の存続にかかわる重大な危機に直面して、はじめてそ の重大性を認識するというのが実際 本学で発生した重大な事件 4月、学生個人情報を格納したノート型PCの紛失事件が発生 パソコン紛失事件 7月7日の新聞報道 学生約6千6百名分の個 人情報が入ったパソコンを 学内で紛失していたことが 明らかになった 氏名や住所、生年月日、 メールアドレスなどが入っ ていた 現在のところ情報漏れは 発生していない 学生に対して学長が文書 などで謝罪 (記事抜粋) パソコン紛失事件 4月26日、電子計算機センターの主機械室に置いていた ノート型パソコン一式が紛失していることが発覚 開発委託業者に貸与していた5台のノート型パソコンのうち1台 ネットワークを介して学生情報を格納している各種サーバに接続し、アプ リケーションのインストールやサーバの動作監視に使用 パソコン内に何らかのデータが格納されているか確認したところ、学生の 個人情報が暗号化されない状態で格納されている可能性が高いという 報告を受け、ただちに警察に被害届けを提出し、警察による現場検証が 行われた 当該パソコンを使用した可能性のある委託業者のSE全員に聞き取り調 査を行い、格納されているデータの洗い出しを行った結果、約6千6百名 (2003年度在籍者と2004年度入学者)分の学籍データ(学籍番号、氏名、 住所、生年月日、電話番号、大学が交付したメールアドレス、出身高校 等)が格納されていることが判明した パソコン紛失事件 事態への対応にあたっては、重圧のかかる状態の中で暗中 模索しながら行っている 事件発生当時、ちょうど策定直前の状態にあった情報セキュリティポ リシーによって、それぞれの役割を担った機関が所定の機能を発揮 しながら、組織的に対応した 再発防止策を懸命に考えることはもとより 将来に禍根を残さない誠実な対応を行うことを基本方針に 学長から現場まで一体となって対応にあたることとした 事件発生後の本学の対応についてはホームページでも報告 パソコン紛失事件 具体的な対応 再発防止のために力を尽くすことはもとより、二次的な被害を防止す るため、当事者への迅速な報告と謝罪及び定期的な経過報告を徹 底することとした。 在学生に対しては、学内掲示と情報ポータルシステムへの配信により、 適宜状況を報告 約1千名の卒業生に対しては、発生直後とその後1か月ごとに、これまで に3回、郵送により報告 相談窓口を置き、情報漏えいと疑わしいケースに関して情報を収集し ながら、警察と協力した全容解明への努力を基本とした 現時点でパソコン紛失による情報漏えいの事実は確認されていない パソコン紛失事件 文部科学省への報告 「保有する個人情報の情報管理の徹底について」(平成16年3月31 日付文部科学省高等教育局私学部私学行政課長名 事務連絡)に 基づき、担当の同課法規係に電話で紛失の事実と格納されている個 人情報の内容を報告 報告の際の文部科学省の担当者の話 まだ各省庁とも情報漏洩に対する個々の対応について、統一的な整備 がなされていない状況にある 文部科学省への報告については、今回の電話で受理されたという扱いと する 今後の対応については、各大学の判断に委ねたい。迅速に対応いただ きたい パソコン紛失事件 想像もしていなかった重大な事態に晒されて、はじめてポリ シー遵守の重要性を実感できた 学生に対して「今後、個人情報が漏えいし、悪用されるのではない か」といった不安感を与えてしまった 社会からの信頼感を失った 場合によっては志願者が減少するかもしれない 今回の事件は、まさに「ポリシーの策定と遵守が一体化しな い」という典型的な事例である このことは、4月30日に開催された大学協議会の中で パソコン盗難事件が報告され 同時に情報セキュリティポリシーが承認された という皮肉な事態に、きわめて象徴的に現れている パソコン紛失事件 事件を契機に教職員の意識は変わった 教員からの相談 絶対あってはならない事態に直面し、手痛い先例を受け セキュリティ上の脅威を現実感覚として体感した 「ノートPCを持ち歩いているが、盗難や紛失についてどういう対策を 講じればよいか」ということが切実な問題と捉えられている 適正な実施手順の策定が求められている 具体的に守るべきことを理解させること ポリシーを常に意識させ、全員が遵守するよう促すこと これを遵守しない場合の具体的な被害について理解させること 実施手順の策定にあたって 実施手順とは、 対策基準に詳細なマニュアルや部署固有のルールを加えたもので、 エンドユーザごとに配布される文書 利用者に対する実施手順については、事務職員と教員で利用環境 が異なっているため、それぞれにカスタマイズした内容とした 教員向け実施手順には、代表的なOSのタイプ別にデータ保護の技 術的な対策マニュアルも用意した 一般ユーザが読んで理解できるよう、表現や構成には留意した 技術的な相談に応じる問い合わせ窓口を用意した 実施手順の内容の見直し、環境の変化に合わせて最適化するため、 利用者からの意見を集約する窓口を開設した 発表のながれ 対策基準策定の背景 策定までの検討経過 セキュリティポリシーの全体構成 ポリシー浸透の取り組み 今後検討を要する諸課題 基本方針 対策基準 実施手順 対象範囲、監査、第三者提供、開示請求 「個人情報保護に関する法律」の完全施行へ向けて 省庁の動き ポリシー浸透の取り組み 誰も利用しない形骸化したポリシーでは、意味がない それぞれの利用者にとって必要なポリシーが容易に手に入る 理解しやすい 問い合わせに迅速に答えてくれる 一般ユーザの視点で、ポリシーを日常的に見直していく体制 利用者と管理者の良好な信頼関係の中で、情報セキュリティを確保 していくという方針が重要 ポリシー浸透の取り組み 電子媒体による提供 ポリシーの第1版は印刷し、紙媒体で配布した 改訂版については、学内イントラネットを活用した使い勝手の向上、 改訂作業の簡便化を検討 有用な情報へのリンク FAQデータベースの提供 双方向型のインターフェースを導入することで、実施手順の閲覧状況や 理解度の把握、意見や質問の集約 情報セキュリティ委員会と教職員のコミュニケーションにより、利用者の 意識に潜む「人的なセキュリティホール」を把握 ポリシー管理ツールの導入 諸機能が統合されたポリシー管理ツールが提供されている ポリシー浸透の取り組み 「情報セキュリティメールマガジン」の発行 編集方針の中核は、「教職員の中に危機感を醸成しながらポリシー の意識を高める」ことにある ポリシーを遵守しないことにより起こりうる脅威を具体的に提示する 「日常に潜む脅威」を例示し、これを題材にポリシーの各条文の意味を 理解させる 実際に手痛いインシデントに遭遇し、構成員の中には、セキュリティを脅か す脅威に対する危機意識が構築された ポリシー浸透の取り組み 専任スタッフの配置 日常的なポリシーの見直し たとえば、業務の現場からポリシーに不満が出てくるかもしれない その場合、業務のあり方が不適正なのか、あるいはポリシーが現場に即 していないのか。その内容を具体的に検証し、業務上の必要性と起こり うる脅威を評価し、必要に応じて新たなポリシーを見出すことが求められ る 情報セキュリティの恒常的な確保 大学の情報セキュリティの恒常的な確保を実現し、ITを活用した教育研 究を推進するためには、技術的な対策と構成員の意識向上を統合しな がらポリシーを運用する必要がある ポリシー浸透の取り組み 専任スタッフの配置 新たなポリシーの策定 本学は、まだ情報セキュリティポリシーの全体的な体系が整備されてい る状況にはない。基本方針のもとに個人情報保護に関する対策基準が 策定された段階である 今後、情報ネットワークの有効活用と適正な運用管理を実現するために は、未整備の対策基準の策定を進める必要がある 膨大かつ多様な業務を遂行するため、専門に担当する職員を1名、 これを補佐する職員を1名、情報処理課の中に割り当てた パッケージシステムを中核とした新システム稼動に伴い、これまで各課 の業務システム開発やオペレーションに割り当てていた情報処理システ ム部門の業務をアウトソーシングした。この中で情報処理課のスタッフを 再配置することができた 発表のながれ 対策基準策定の背景 策定までの検討経過 セキュリティポリシーの全体構成 ポリシー浸透の取り組み 今後検討を要する諸課題 基本方針 対策基準 実施手順 対象範囲、監査、第三者提供、開示請求 「個人情報保護に関する法律」の完全施行へ向けて 省庁の動き 今後検討を要する諸課題 対策基準策定の検討過程の中で、以下の課題が浮かび上 がった 対策基準の適用範囲 監査体制 第三者への提供制限 開示請求への対応 今後、文部科学省から公表されるガイドラインを参考にしな がら、具体的な対応について情報セキュリティ委員会を中心 に検討を進める 対策基準の適用範囲 今回策定した対策基準は、対象範囲を限定した 将来的には範囲の拡張が求められる 本学が管理するネットワーク ネットワークに接続された機器 ネットワーク上の学生個人情報 ネットワークから引き出された学生個人情報 文書に記録された個人情報、あるいは教職員や大学関係者を含む 全学的な個人情報保護 標準規格の認証取得 範囲の拡大の中で標準規格に準拠した規定整備を行い、社会的な 信頼を回復するための認証取得も検討が必要 監査体制 ポリシー遵守に関するチェック体制の確立 対策基準が正しく遵守され、学生個人情報の適正な利用と管理、保 護が行われていることを日常的にチェックすることが必要 第三者監査を含め、本学の現状に最適な方法、体制、及び監査に関 する対策基準の策定について、検討を開始する必要がある 第三者提供の制限および情報開示 法律では、特に教育関係に配慮した適用除外は設けられて いない。本学としての対応について検討を進めている 第三者への提供制限 父母への学業成績知書の送付 高校の進路担当教員からの問い合わせに応じた同校出身学生の状 況報告 推薦入試結果の高校長への通知 本人からの情報開示請求 入試成績 学生カルテ上に記録される「所見」 第三者提供の制限 父母への学業成績知書の送付 保証人との連携を密にした個別修学指導の実施など、学習支援体制 の充実のために必要な取り組み 父母懇談会においても提供 提供を中止するか、 学生本人からの同意を取るための具体的な方法を明確にするか 個別面談で単位修得状況や進級条件の充足度などを提示しながら、進 学や就職の相談、学生生活に関する様々な問題等について話し合いを 行っている 適用除外とすることについて社会的な合意が得られそうにも思える 案件である 第三者提供の制限 高校の進路担当教員からの問い合わせに応じた同校出身 学生の状況報告 特に、推薦入試の指定校については、学生の品質保証や説明責任 という観点で必要な取り組みである 高校との良好な関係の中での高大連携が求められる 継続へ向けての対策を検討する必要がある 第三者提供の制限 推薦入試結果の高校長への通知 本人からの同意を得ずに第三者への提供を行っている 本学の推薦入試制度が学校長推薦を必須条件、出願資格としてい ることから、推薦者としての学校長に入試結果(個別出願者の合否 情報)を通知することには、合理性があると判断した ただし、法律との関係で妥当性があるかどうかは疑問 本来は、出願時に志願者からの同意を求めるべき 2005年度入試については、合否発表が法律施行前の経過措置期 間であるということもあり、本学としてこういう対応を取ることとした 本人からの情報開示請求への対応 現実に想定される部分について具体的なルールを明確にす る必要がある 法律では、 事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場 合は、取得した個人情報の全部又は一部を開示しないことができる 本人と直接利害関係の強い情報が想定される 業務遂行上、全体的な評価、判断の公平性や中立性を損なう恐れが あると判断した場合など たとえば、入学選抜関係の情報、あるいは奨学生選考に関する情報 評価の判断や審査の過程、その他の基準に関する情報 本人からの情報開示請求への対応 入試成績の開示 2005年度入試について、開示することとした 来年4月以降に本人から情報開示請求があった場合 4月中旬から下旬まで期間を限定 申し出のあった本人に対して郵送で 入学試験日程がすべて終わり、入学式後であれば、入試業務の適 正な遂行を妨げることはない 出願書類の要項には手続き方法について案内を刷り込んでいる 今後、必要に応じて、手数料徴収について検討を進める 本人からの情報開示請求への対応 学生カルテに記録する「所見」について 小学校児童指導要録の開示請求訴訟に関する平成15年11月の最 高裁判決 国立大学協会が平成11年に取りまとめた「国立大学の入試情報開 示に関する基本的な考え方」 いずれも、「記入者の評価も交えて文章により記述する部分は、開示 することを前提とし場合に素直な表現を抑制し、その目的が損なわれ るおそれがある」という趣旨から、開示対象とはしていない 今後、開示請求に対する対応基準を策定する予定であるが、一方で、 所見データの作成そのものについても、教職員向けのガイドラインの 制定を進めている 基本的には、客観的な事実の記録部分と、指導者の対応方針、実際の 対応内容、その結果などから構成されるものと考えている 発表のながれ 対策基準策定の背景 策定までの検討経過 セキュリティポリシーの全体構成 ポリシー浸透の取り組み 今後検討を要する諸課題 基本方針 対策基準 実施手順 対象範囲、監査、第三者提供、開示請求 「個人情報保護に関する法律」の完全施行へ向けて 省庁の動き 法律の完全施行へ向けて 政府の対応状況 法律に定める民間事業者に対する義務条項は、あくまでも 「各分野に共通する必要最小限のもの」 完全施行までの限られた時間の中で、すべての事業者が必 要十分な準備を整えることができるように、 各省庁ではそれぞれが所管する分野において講ずべき具体的な施 策について、実情に応じたガイドライン等の策定・見直しを進めてい る 法制上の措置の必要性があれば、これを検討することもあり得る 文部科学省は「秋口」までにガイドラインを策定すると表明 法律の完全施行へ向けて 経済産業省が各省庁の先陣を切ってガイドラインを公表 パブリックコメント 全国で説明会を開催 詳細かつ具体的な指針が提示 各事業者が個人情報保護に関する活動を展開する上でとても有用な 内容に思われる 民間事業の幅広い分野を網羅する 文部科学省をはじめ各省庁のガイドラインもこれに準じた形になるの ではないかと予想される 法律の完全施行へ向けて 所管省庁が公表するガイドラインの意味 法律では、主務大臣(大学に関しては文部科学大臣)の関与について、事業 者が義務規定に違反した場合の「是正勧告」、「命令」及び「罰則」に関する 規定を示している 経済産業省のガイドラインによると、「ガイドラインに沿って必要な措置等を講 じていたかどうかにより判断する」としている 事業者がガイドラインに準拠しながら主体的かつ確実な保護対策を取ること を、所管省庁として推進する立場を表しているものと思われる 文部科学省が公表するガイドラインへの準拠 すでに個人情報保護対策について具体的な取り組みを進めてきた大学では、 ガイドラインと現行の体制や学内規程等を照合、不備のある部分を是正、補 強しながら保護対策の充実を図る 現時点で対応が十分ではない大学は、このガイドラインを積極的に活用しな がら、体制の整備を進める 法律の完全施行へ向けて 現行のポリシーの見直しの必要性 経済産業省が公表したガイドラインによると 本学の対策基準は抽象的な表現であり、 「利用目的の特定」については、具体的であることとし、単に「当社の事 業活動」、「お客様のサービスの向上」等は、特定したことにはならない 「本学の教育研究及び学生支援に必要な業務を遂行するために利用す る」 今後文部科学省が発表するガイドラインによっては、この条文の見直 しについて具体的な対応を取らなければならない 法律の完全施行へ向けて 法律遵守という観点での現行業務見直し 在学生、新入生、入学志願者、そして卒業生への対応に関して、大 学としての方針を見出さなければならない 現実的には、11月の推薦入試を控え、具体的に解決しなければなら ない課題が存在する 「利用目的の公表や明示」 「第三者提供にあたっての本人の同意」 「入試要項」や「入学手続要項」にどういった案内文を掲載するべきか 新たな書類を求める場合にどのような様式とするか 所管部局と情報セキュリティ委員会で検討を行うことを予定 まとめ トップダウンアプローチ 個人情報保護に関するセキュリティ対策基準を最優先 対策基準の策定に先立ち、全学的な情報セキュリティポリ シーの基本方針を策定(3階層モデル) 最小限のワーキンググループで原案を策定 個人情報保護法を参考にしながら対策基準を検討 機動性を高めるため、必要最小限の規模で情報セキュリティ 委員会を組織 まとめ 日常的な情報セキュリティポリシーの運用管理を担う専任ス タッフを配置 利用者別のガイドラインを策定し、意識向上のための日常的 な取り組みを行う 文部科学省が公表するガイドラインによって、今後ポリシー の見直しを検討 最後に 学生情報データベースの活用によってもたらされるもの 個人情報が悪用される危険性を孕んでいる 学生支援、サービスの質、利便性の向上 学生情報の分析による教育の質の向上 プライバシー保護や情報セキュリティに係る十分な対応策 的確な情報システムの導入 責任の所在を明確化した体制下での適切なシステム運用 学生に対して情報セキュリティポリシーを分かりやすく示すこ とが必要 学生が安心感を持てるような適切な対策と十分な説明が前提となる
© Copyright 2024 ExpyDoc
