▼国公立と私立 前提違う
小澤哲郎弁護士インタビュー
▼「事故は未然に防げる」
個人情報漏洩事件前提違う
 |
小澤哲郎弁護士 |
個人情報保護法が4月に施行された。小中高大、公立私立を問わず個人情報の宝庫といえる学校は、法施行に伴い何をどう対応していけば良いのか。IT関連の案件を多く取り扱う小澤弁護士に、学校における個人情報保護法への取り組みについて聞いた。
まず、個人情報保護法の前提からお話します。
国公立学校と私立学校では、法律上の枠組みが全く違います。後述の「個人情報取扱事業者」の定義では、国や地方公共団体は除かれています。公立学校は地方公共団体の一部なので、「個人情報取扱事業者としての義務」は課せられていない、というのが出発点です。
すなわち、国公立学校としては、個人情報保護法が「個人情報取扱事業者」に課しているような具体的な義務の適用対象とはならず、地方公共団体として要するに「必要な措置を講ずることに努める」「個人情報取り扱い事業者への支援を行う」「苦情への対応を行う」の3点について、必要な枠組みを作るよう「努める」こととされているにとどまります。
これが私立学校ですと、法律上の枠組みが違ってきます。個人情報保護法では、「個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者を除いた個人情報データベース等を事業の用に供している者」が「個人情報取扱事業者」とされ、同法により個人情報保護のための具体的な義務を課されることになります。「個人の権利利益を害するおそれが少ない者」とは、「データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6ケ月以内のいずれの日においても5000人を超えない者」と政令で定められています。在校生、卒業生の名簿を入れると5000人を超えるのが通常でしょうから、新設校でもない限り、「個人情報取扱事業者」となるでしょう。私立学校は、個人情報保護法に対応するのが「法律上の義務」なわけです。
▼対 応
それでは、個人情報保護法にどう対応していけば良いのか。大きくみて3つの柱があります。
ひとつは、個人情報の利用目的を特定し、その目的の範囲内のみで利用すること。次に、第三者に対する個人情報の提供は、原則として本人の事前の同意が必要なこと。そして、保有している個人情報の安全管理のために必要な措置を講ずること。
安全管理措置は、当該情報の内容や量、その他諸般の事情を踏まえ、必要な措置が変わってきます。特に、個人の思想信条や健康状態、氏素性などに関する情報は、類型的に取り扱いに厳重な注意が必要(いわゆる「ハイリーセンシティブ情報」)とされているのですが、学校の保有する情報は、このカテゴリーに入るものが多いと思われます。
以上のように、法律上の義務としては、現状、公立学校よりも私立学校に厳しい状況にあると言えるかもしれません。
しかし、学校は、公私関係なく「信頼」がないと成立しないという性質があります。個人情報保護法があろうとなかろうと、個人情報の取り扱いは、厳重にしていかなければなりません。保護者始め社会的な信頼を獲得していくためには、公立私立関係なく、個人情報保護の体制を作っていくべきといえます。
▼体 制
では、個人情報保護の体制をどう整えていくのか。
2つのポイントが車軸の両輪となります。まずは、安全管理のために必要な「仕組みを構築」すること。次にこの作った仕組みを確実に「運営」していくことです。仕組みを構築することで満足してしまい、その確実な「運営」がおろそかにされたために、個人情報漏えい等の事件が生じていることが多いのです。
「どんな情報を」「どのように保管し」「誰が取り扱うのか」が管理の仕組みの幹となります。その上で、「誰が」「いつ」それを取り出し、何に使い、どんな取り扱いをしたのかを明確にしておくこと。そして最後に、責任の所在を明らかにしておくことが重要です。
また、「不要な情報は持たない」、「個人情報ではなくする」ことも、有効でベーシックな方法です。特定の個人を識別できない情報であれば、それは「個人情報」にはなりません。個人情報を限られた場所に保管し、限られた人しかアクセスできないようにする、インターネットにつないだコンピュータに個人情報を入れない、という方法も基本です。
今、個人情報保護に関する社会の注目度は非常に高い。漏えいや取り扱いに失敗すると、学校にとっても大変なダメージになる、といっても過言ではないでしょう。
●プロフィール
小澤総合法律事務 小澤哲郎弁護士
93年〜98年 個人情報保護法先進国であるドイツの法律事務所に勤務、
2002年より小澤総合法律事務所を設立。
▼今 世間の注目の的
「個人情報の流出」事件
個人情報保護法施行により、「個人情報」流出事件は、今、世間で最も注目のIT事件といえる。
この時期、個人情報の取り扱いやその安全管理に失敗することは、信用問題として「致命的」であり、
早急にその「より確実な管理方法」が求められている。
一宮市の市立小学校では、持ち出し禁止の個人情報入りメモリーを教諭が自宅へ持ち帰って家族のパソコンで作業。その際、ハードディスクに残った個人情報が今年3月にファイル交換ソフト「ウィニー」のウイルスに感染して漏れ、児童535人や教職員の名簿などがインターネットに流出した。
また、北海道江別市の私立・立命館慶祥中では、生徒が学内のパソコンネットワークに不正にアクセス、同級生ら約200人の成績や名前などの個人情報を入手。生徒が「管理の不十分さを指摘したかった」とコメントしたという、興味深いケースだ。生徒は学内のパソコンから校務用サーバーに校長名のパスワードで侵入できることを知り、データのコピー1部を印刷して翌日に教頭に提示したという。
いずれも、管理の杜撰さ、管理者の認識の甘さが指摘されているが、その一方で、各学校が「もっと負担を軽減させ、かつ確実な管理方法」を採用していれば、上記の事件は起こりえなかったのではないか、とも言える。
▼事故は未然に防げた
それでは、そのようなソリューションは可能なのか。
(株)フロントエンドの芦苅裕二代表によると、「ソリューション次第では、前述の事故は未然に防げた」と言う。
「今回の北海道での事件は、学校LANの暗号化と指紋認証システムで対応しておけば防げたはず。
生徒情報のファイルが入ったPCを盗まれた場合、他人の指紋ではそのファイルがオープンできないし、Windouwsの起動もできない。 暗号化ファイルのシステムを合体させると、USBで重要
情報を抜かれても、そのデータは、そのPCと予め登録された管理者の指紋がないと開けない。またその操作自体も録画されている。校内PCを操作録画しておけば、生徒が重要ファイルへのアクセスする操作を一旦強制的にストップさせると同時に校長先生の携帯へメールでアラームを知らせることができる」と述べる。
▼漏洩のリスク・ゼロ
パスワードは「指紋」で管理
ファイルやPC、アプリケーションにアクセス制限を
USB対応 「指紋認証マウス」※1の導入で、「パスワードの漏洩」の危険は、ほぼゼロとなる。予め登録済みの指紋がパスワードの役割を果たすため、生徒その他、非許諾者がアクセスする可能性は極めて低くなるためだ。
また、「ライセンスギア」※1や「ファイルロッカー」※2と組み合わせれば、指定するアプリケーションや個人情報等の重要ファイルの使用制限、ドメインへのアクセス管理や業務アプリケーション、重要フォルダのアクセス権限などが全て「指紋」で管理することができる。発汗作用も感知するので、予め登録した「指紋」でなければ、アクセスは不可能だ。
▼「誰が」「いつ」「何を行ったか」
不正行為を完全に記録
不正流出のメール通知機能も
「イリーガルビュー」導入で
ログインからログアウトまですべての画面を録画保存することができれば、不正行為の「証拠」が残ることから「抑止効果」が期待できる。それを可能にするのが 「イリーガルビュー」※3だ。
録画機能だけではない。例えばUSBメモリなどを利用して不正にデータをダウンロードしようとすると、リソースの変化を感知し、ダウンロード機能を一旦停止させたり、管理者の携帯電話へ通知することもできるため、何か起こった時に瞬時に対応が可能で、その被害を事前に食い止めることが出来る。
▼ID、パスワードを
使わない環境を提案
「重要なことはID、パスワードを使わない方策のほうが安全である、ということ。
通常の指紋デバイスはログインとスクリーンセーバーの解除時のみがほとんど。当システムでは、ファイルアクセスも指紋により行えるため、よりセキュアな環境が実現する。どこまでセキュリティレベルを上げるか、どのようなシステム構成にしているかは学校・自治体次第だが、指紋によるファイルの暗号化はかなり有効な手段であると考える」。
※1 指紋認証システムを導入したマウス。ログイン時もIDマウスセンサーに触れるだけ。複雑なパスワードの入力が不要。オープン価格
※2 IDとパスワードを指紋で対応するアプリケーション。サーバ型とクライアント型あり。オープン価格。
※3 ファイルを暗号化することにより、指紋認証もしくはパスワード入力がないとファイル自体にアクセス出来ないしくみ。サーバ型、スタンドアロン型あり。オープン価格。
※4 ログインからログアウトまですべての画面を録画保存。不正アクセスを感知、機能を一旦停止・メール通知できる。オープン価格
■(株)フロントエンド http://front-end.jp
■上記ソリューション問合せ kks@kknews.co.jp
フロントエンドでは、指紋認証マウスとライセンスギアを組み合わせた安全管理ソ リューションをモニター提供している。モニター提供は5セット。
応募は kks@kknews.co.jp
まで。
【2005年6月4日号】
