第2回 ― 法全面施行元年を振り返る(2/2)
個人情報の流出事例に見る学校の課題
個人情報が流出する原因(詳細)
学校において発生する個人情報の流出原因は、「教職員や委託先従業員による、不注意を主な原因とするもの」と、「教職員や委託先従業員が、盗難などの犯罪被害に遭うことを主な原因とするもの」で90%以上が占められていることが分かりました。 (本稿第1回参照)(プロの眼(第1回)にリンク)。それでは、これら2原因の内訳はどのように構成されているのでしょうか?次の表1,2をご覧ください。
- 「不注意」を主な原因とするもの 原因詳細 -
- 「盗難等」を主な原因とするもの 原因詳細 -
それぞれ、「教職員による紛失」と「車上荒らしによる盗難」が非常に多いのが目立ちます。つまり、特殊な原因ではないことが分かると思います。これらの原因への対策はそれほど難しいものなのでしょうか?実は、次の基本的な対策が有効に実施されていれば大半の流出は防げたはずです。
- 個人情報の管理規則(規程)類の周知徹底
- 上記規則類の実践状況に関する定期的なチェック
- 個人情報保護に関する理解を深め、また、危機意識を持続させるための定期的な研修の実施
確かに、個人情報の流出リスクを総合的に低減するためには、技術的な面も含め組織内に相当程度の負荷が生ずることは否めません。しかしながら、個人情報の流出原因を分析する限り、基本的な対策により大半の流出事故は未然に防ぐことができます。
平成18年度に向けての課題
1.学校における課題とは?
学校における個人情報保護対策を考えるに際し、「学校現場で扱っている個人情報は特殊なものであり、また、業務の内容も教育という独特のものだから、他の業種と単純に比較はできない」というような思い込みがないでしょうか?
しかしながら、個人情報流出の原因は、他の業種と比較しても異なるところがありません。すなわち学校における個人情報保護対策は、学校以外の業種と基本的には異ならないという点を再認識する必要があります。その上で、学校特有の事情を加味した対策を補足する、という発想に立つことが最大の課題です。
確かに、学校現場における個人情報を取り巻く環境は、一般の業種と比較し次のような特徴があるので、これらの点を学校特有の事情として常に意識することは必要です。
- (1)個人情報の内容: 一個人に関する部分的な情報ではなく、センシティブな情報(成績・健康状態・家庭環境など)も多く含む包括的な情報である場合が多い。
- (2)個人情報を取り扱う担当者: 特に担任クラスを受け持っている教職員の場合、それぞれが独立して包括的な個人情報を日常的に取り扱うケ―スが多い。
- (3)組織理念: 企業の場合、組織防衛や営業戦略などの視点から、個人情報保護対策は重要課題となりやすいのに比較し、学校(特に公立系)の場合、人員配置及び予算配分の面で後回しとなる傾向がある。
2.平成18年度に向けて.学校における課題とは?
上述したように、学校からの個人情報流出原因は特殊なものではありません。むしろ、日常的な業務の見直しなどにより、大半の流出事故は未然に防ぐことができる可能性があります。 ただし、どのような対策を講ずるにしても、ペナルティを含めた学校法人毎の「個人情報の管理規則(規程)」類が存在し、かつ、その研修や定期的な運用状況の把握が実践されていることが必要です。公立系学校の場合、「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)や各地方公共団体の定める個人情報保護条例、地域によっては教育委員会の定めるいわゆるガイドラインが存在しています。私立の学校法人では未だ規程類の整備すら整っていない組織があるようです。 今年度は規程類の整備は完了した段階の学校が大半と言われています。平成18年度はその理解を深めるための研修と、運用状況の定期的なチェックにどこまで踏み込むことができるか、という点がポイントとなります。個人情報保護対策はそれ自体が独立して存在する要素は少なく、あくまでも日々の業務を前提に、これまでの業務フローや意識のままでは情報流出リスクが高い部分をどのように改善してゆくか、という点にその本質があるからです。