トップページ > ナジックリリース > 第12号 > 学校法人と個人情報保護法 ~個人情報保護で学校法人の「品位」を保つ (株式会社イーエムエスジャパン 深田博史)
学校法人と個人情報保護法 ~個人情報保護で学校法人の「品位」を保つ
シニアコンサルタント 深田博史
「資産を預かっている」という認識
――「DMが送れない」「データが集められない」など、個人情報保護法(以下、保護法)をめぐる誤解が多いようですが……。
深田氏(以下敬称略)) そのようですね。保護法自体はシンプル、別の表現をすれば抽象的なのですが、保護法の大きなポイントは「目的外利用の禁止」と「情報漏洩・紛失等の防止」の2点です。
まず「個人情報はあくまでも『(個人情報を提供した)本人の資産』であって、企業であれ学校法人であれ、その大事な資産を蕫預からせていただいて﨟利用している」という視点に立ちます。
そうすれば不正に取得していいのか、勝手に使っていいのか、漏らしたりなくしたりしていいのか、委託するときは特に注意すべき……となり、各条文で定めていることが理解しやすくなるでしょう。
――目的外利用や情報漏洩など、「した側」のリーガルリスクや社会的責任ばかりを誇張する論調も多くあります。
深田) 「した側」のリスクを考え、それに備えることはもちろん必要です。しかし、一番の被害者は「された側」、つまり「本人」だという認識を持っておかなければ、ついつい漏洩などのミスを起こしてしまいます。
学校法人は「宝の山」
――学校法人が特に注意しなければならないことは?
深田) 「悪意ある利用者」にとって、学校法人は宝の山です。所属学部や専攻だけでもマーケティングにおいて便利な情報になりますし、成績もしかりです。
また、生徒や学生の情報には家族の情報が含まれることも多く、1人の情報を入手すれば、家族全員の情報がつかめてしまうことにもなりかねません。さらに学校法人は健康に関する情報も持っており、それを狙う人もたくさんいます。
非常に広くて濃い領域の個人情報を取り扱っているという自覚が、学校法人には大切です。
――卒業アルバムの名簿を高価で買い取る業者もあるようです。
深田) 名簿に実家が記載されていたりするなど、架空請求や振り込め詐欺をたくらむには貴重なデータが満載です。
学校関係者と偽って生徒や保護者に直接アプローチするケースがありますから、生徒への啓発とともに、名簿自体の扱いも今後は、名前、住所等のうちどこまで掲載するかを本人から同意を得るか等、判断が必要になってくるでしょう。
また、同窓会や交友会への無条件の配布、図書館での閲覧などにも見直しが必要です。
――情報セキュリティ対策への先行投資は学校法人のブランド価値を上げるのでしょうか。
深田) そう思います。そこで改めて考えたいのが学校法人の意義です。
学校という一つの組織があり、そこに入る前と出た後で、何が違うでしょうか。
それは、知識・技術・人格などさまざまな面で、学校法人の利用者(生徒)がグレードアップしているということです。
つまり、利用者は学校法人に教育投資を行っている。その意味で言うと、個人情報の漏洩は逆に利用者の負債になるのです。その負債が現実的な被害に結びついたとき、本人は財産面だけでなく精神面にも甚大な影響を受けます。
学校法人のミスや怠惰で、そんなことになってもいいのか――もちろん許されませんよね。漏らしてから取り組むか、漏れる前に取り組むかは学校法人のブランド戦略上重要な経営判断と言えるでしょう。
個人情報保護で「品位」を保つ
――「何から始める」という質問は現時点では遅すぎるかもしれませんが、最低限確認しておくべきことは?
深田) 学校法人に向けた保護法対応簡易チェックリストを用意しました。情報セキュリティ対策が不充分な項目については、改善する必要があります。
――プライバシーマークやISMS認証は、学校法人のマストアイテムになりますか?
深田) 必ずしもそうとは言い切れませんが、個人情報保護に対する仕組みづくりを進める上での、一つのマイルストーン(里程標)にはなります。第三者が監査しますので定着度を客観的にはかることができます。
ISOなどのマネジメントシステム認証もそうですが、取得するとなると、ひと言で言えば「大変」です。
しかし、自分たちだけで蕫なあなあ﨟の仕組みをつくるよりははるかに有効でしょう。認証はいわばスタートラインで、やはり「維持・改善」、つまりPDCAサイクルにより、現場での現実的な運用を意識しつつ、セキュリティを向上させるプロセスが大切です。
例えばプライバシーマークを取得してから情報漏洩が発覚すれば、それこそ「記者会見もの」です。
つまり社会的責任を厳しく問われるわけですが、しかし、そうした緊張感が一つのドライビングフォース(推進力)となって、一定のクオリティーを維持できることは確かです。
――今後、個人情報保護対策をさらに進めていくためのアドバイスを。
深田) 個人情報保護、あるいは情報セキュリティ対策は、できるだけ多くの組織構成員を巻き込んで進めることが効果的です。
繰り返しになりますが、ポイントは仕組みをつくるだけでなく、そのマネジメントを定着させること。全員で「本気で」取り組まないと絶対に定着せず、知らない間に情報漏洩を起こしてしまいます。
学校法人はやはり人を育てる組織。学校法人が、事務局が、そして教職員全員が個人情報保護対策を徹底している姿は、必ず生徒や学生に伝わると思われます。
そうなると彼ら彼女らは、社会人になった時点で、個人情報にまつわる姿勢の学習を既に終えていることになり、それがわが国全体の個人情報保護意識の浸透につながっていくと思うのです。
個人情報保護の一番の根底は「品位」かと思われます。「相手の了解を得てから行動する」ということは基本的な人間の品位の問題であり、もちろん、個人情報の保護に限ったことではありません。
生徒や学生の未来に対し、情報漏洩などでマイナスの要素を付けない。
そのために何をしなければならないか……学校法人の個人情報保護対策は、すべてここから始まると思われます。
深田博史 Fukada Hiroshi
京都市生まれ。トーマツ・コンサルティング、株式会社エーペックス・インターナショナル(現・株式会社ユーエル エーペックス)を経て株式会社イーエムエスジャパンに入社。 ISO9001・14001・ISMSを中心としたマネジメントに関するコンサルティング、経営コンサルティングやセミナー講師、ならびにソフトウエア開発、eラーニング開発、書籍執筆活動等を担当。著書に『最新改訂に完全対応! ISO14001がみるみるわかる本』『ISO17799がみるみるわかる本』『通信教育:情報セキュリティの理解と実践コース』(以上、PHP研究所)、『ISOの達人シリーズ [イソタツ]ISO9000:2000』『ISOの達人シリーズ2 ISO14000』(以上、株式会社ビー・エヌ・エヌ新社)などがある。
http://www.emsjapan.co.jp
記事の内容は第12号(2005年5月15日発行)を抜粋したものです。
- 評価文化が大学改革を動かす (独立行政法人 大学評価・学位授与機構 川口昭彦)
- 実績に裏打ちされた客観性で質的向上に貢献する (財団法人大学基準協会 澤田 進)
- ミッションを重視した評価で個性を引き出す 財団法人日本高等教育評価機構 原野幸康 伊藤敏弘
- 競争力の高さが信用獲得のカギに (スタンダード・アンド・プアーズ 吉村真木子)
- 格付けが対話力を上げる (株式会社 日本格付研究所 殿村成信・吉田法男)
- 大学はガバナンスの整備を急げ! (オリックス株式会社 会長兼グループCEO 宮内義彦)
- 多様な価値観が豊かな人間性を育む (神戸大学 学長 野上智行)
- 「新しい産学連携教育の形」を目指すキャリア開発プログラム (亜細亜大学アジア夢カレッジ推進室部長 加藤伸吾)
- 同窓会の一体化で教育理念の強化を目指す (玉川学園・玉川大学 同窓会事務部長代理 宮川 正氏)
- 学生と教員、双方のニーズに応えるキャリア支援 (麻布大学学生部就職課課長 高橋 徹氏)
- 大学スポーツでコミュニケーション能力を獲得 (明治大学硬式野球部監督 川口啓太)
- 学校法人と個人情報保護法 ~個人情報保護で学校法人の「品位」を保つ (株式会社イーエムエスジャパン 深田博史)
- “一人ひとりを大切に”真の学生満足を (学校法人麻生塾 専務理事 古野金廣)