前回の「個人情報漏えい事件を斬る(50):刑事事件に初めて発展したWinny流出情報の悪用」では,ファイル交換ソフトを介して外部流出した情報を悪用した刑事事件を取り上げた。この問題を突き詰めていくと,情報リテラシーの向上,社会ルールの順守といった人的対策に行き着く。
今回から,この人的対策に関わりの深い教育分野における個人情報保護対策について考えてみたい。まずは,教育機関から業務委託を受けて個人情報を取り扱う企業の視点から見ていくことにする。
委託元に適用される法律で責任範囲は異なる
一口に教育機関といっても,個人情報保護のために適用される法規や指針には違いがある。私立学校や予備校,学習塾などは個人情報保護法の対象となるとともに,文部科学省が定めた「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」の適用を受ける。一方,独立行政法人化した大学は,独立行政法人等個人情報保護法の適用を受け,防衛大学校,防衛医科大学校などは行政機関個人情報保護法の適用を受ける。県立高等学校,市立中学校などは,所在地の地方自治体が制定した個人情報保護条例の適用を受ける。
「【第28回】:「個人情報漏洩罪」の新設で,従業者の不注意は防げるか?」で触れたように,個人情報保護法では,個人情報取扱事業者に該当する企業・団体及びその委託先の従業員や元従業員が業務上知り得た個人情報を不正利益を図る目的で提供した場合に処罰する条項はない。しかし,独立行政法人等個人情報保護法や行政機関個人情報保護法の適用を受ける教育機関の場合,職員・元職員のみならず受託業者の従業員・元従業員も処罰対象となる。個人情報保護条例でも,全国自治体の約6割が独立行政法人等個人情報保護法や行政機関個人情報保護法と同様の処罰規定を設けている(総務省「個人情報の保護に関する条例の制定状況(平成18年4月1日現在)」参照)。
教育機関からの業務委託を受けて個人情報を取り扱う企業の場合,委託元が適用を受ける法律や条例によって,企業及びその従業員に及ぶ責任の範囲も変わってくる。「【第47回】パソコン紛失で発覚した未承認の業務再委託」で触れた京都市のケースのように,委託先企業が他の企業に業務を再委託する場合の取り扱いを規定しているケースもあるから要注意だ。例えば,教育関連システムの構築に関わるシステムインテグレータの場合,委託元が独立行政法人であれば,個人情報漏えいが起きた場合の責任が,会社だけでなく従業員や元従業員にまで及ぶ可能性がある。また,プロジェクト開始後に仕様変更が発生して内部リソースだけでカバーできない状況になっても,委託元に無断で再委託すると,京都市のケースにおけるインフォコムやNECと同じような憂き目に遭う可能性がある。
eラーニングには受講生の個人情報保護対策が必須
教育にICT(情報通信技術)を利用した分野として脚光を浴びているのが,eラーニングだ。日本では,まず企業の社内研修で導入が進み,その後,教育機関の遠隔教育などに利用されるようになった。eラーニングの場合,受講生の名前,住所,連絡先,成績,学習履歴,アンケート結果など,個人情報の取得・利用を伴うのが普通であり,個人情報保護対策を抜きにして考えることはできない。また,教育機関の内部リソースだけでeラーニングのプロセス全てをカバーするケースは少なく,教育カリキュラムの作成や授業の実施を支援する教育サービスプロバイダー,教育コンテンツを制作するWebクリエイティブ会社,配信インフラを提供するシステムサービスプロバイダーなど複数企業が外部委託先として関わることが多い。これらの企業のどこかで,共有する受講生の個人情報が漏えいしたら,教育機関及び関与する全企業の個人情報管理態勢に影響が及ぶことになる。
eラーニングにおける個人情報保護法上の義務については,経済産業省の「電子商取引等に関する準則(平成18年2月)」の中で取り上げられている。個人情報保護法の適用を受けない国公立の教育機関を委託元とする場合でも,委託先企業には一層厳格な個人情報保護対策が求められる。
次回は,教育分野につきものである未成年者の個人情報保護対策について考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
