学校における個人情報保護法と情報漏えいについて調べて3回目の記事。今回は個人情報保護法について調べてみました。学校現場で気にする点もちょっと書いてます。
参考にしたのは主に以下2記事
まず大前提の「個人情報」ってなに?
「複数組み合わせることで個人を特定出来る情報」と「それだけで個人を特定出来る情報(個人識別符号)」に大別されるようです。
複数組み合わせることで個人を特定出来る情報
「住所」「電話番号」「メールアドレス」「性別」に加え、学校なら「出席番号」「成績」「人物評価」「科目履修表」等
「住所」や「電話番号」は確実に個人情報だということは分かりますが、「成績」や「人物評価」なども含まれるんですね。ケースバイケースもあるかもしれませんが、「服のサイズ」「好きな食べ物」なども個人情報として扱われる場合もあるかもしれません。それらの情報を複数組み合わせれば、個人を特定できる場合もあるので。
例えば過去のSNSでの発信で「最寄り駅」「駅まで徒歩何分」「家から一番近いコンビニはセブンイレブン」「4階建ての南向きの部屋」「築年数」「一人暮らし」あたりが分かれば個人を特定できることが可能かもしれません。
それだけで個人を特定出来る情報(個人識別符号)
・体の一部の特徴をコンピュータで扱えるようにしたもの → 「DNA」「顔」「虹彩」「声紋」「歩行の態様」「手指の静脈」「指紋・掌紋」
・サービス利用や書類において対象者を一意に絞れるもの → 「パスポート番号」「年金番号」「免許証番号」「住民票コード」「マイナンバー」「各種保険証番号」等
複数組み合わせなくても個人を特定できる情報ですね。これらは厳重に管理する必要があります。その中に「顔」が含まれるわけですよ。写真撮影してSNSにアップするときは気をつけたほうがいいですね。
個人情報保護法の設立背景
コンピュータが普及して、簡単に個人に関わる重要な情報(個人情報)をコピー、検索、加工できるようになってきた中でさまざまな事件が起きました。
2004年2月27日、約450万人分ものYahoo! BB登録者の個人情報が漏洩している事が発覚、この情報に対しYahoo! BBに現金を要求していたソフトバンク関連元社員らが逮捕された。
TBC個人情報漏洩 損害賠償が一人3万円 [企業のIT活用] All About
2002年5月、エステティックサロン「TBC」のサイトで約3万7000件の個人情報が、誰にでも見られる状態で放置されていました。
こうした個人情報漏洩によって、迷惑メール・訪問販売の増加や、本人になりすましてネット上でクレジットカード不正利用などの事件につながります。
また、児童・生徒の個人情報が漏れた場合は、身元特定による誘拐なども発生しています。少年犯罪が発生した際には、報道が禁じられているにも関わらず、加害児童の個人情報がネットに流出するといったことも起きているそうです。
こうした事件を受け、個人情報漏洩に対する不安が増加していく中で2005年に出来た法律が個人情報保護法です。(2017年5月に一部改正しています)
個人情報保護法の概要
上記の背景を受けて、個人情報の流出や不正利用を防ぐために作られました。(海外の動向も影響していますが)
個人情報について、主に
・取得
・利用
・保管
・他人への譲渡
・開示
についてさまざまなルールや方針が書かれています。
ざっくり言うと、個人情報は本人の了解を得て取得して、利用用途をしっかり伝えて、伝えた通りの用途で利用して、資料やデータは厳重に保管し、本人の許諾無しに第三者への提供は行わず、本人に求められたら内容を開示する、といったことが定められています。超一言で言ってしまうと「個人情報の扱いは厳重にね」ということです。
ちなみに「個人情報保護法」は学校に直接適用されません。各都道府県の自治体が定める「個人情報保護条例」が適用されます。確認したところ、全都道府県で条例は制定されているようです。恐らくどの都道府県でも個人情報保護法の内容に則り、ほぼ同様の意味を表す条例になっているものと思われます。
ただし個人情報の取扱いに対して萎縮しすぎるのもよくありません。適切に扱うことで個人情報を提供する側、活用する側双方にメリットがあるような仕組みにしなければなりません。そのあたりはまだ課題があるみたいです。
2017年5月の改正ポイント
この個人情報は2017年5月に改正されています。
これにより個人情報保護委員会というのが設立されて、管理などを一元化しています。上記で説明した個人情報の定義も、改正で整えられました。
学校関係者にとって最も大きな改正ポイントは「取り扱う個人情報の件数が5,000件以下の事業者も、規制の対象とする」という点です。
ということで、PTAが児童・生徒の個人情報を扱う際に流出などをしたら罰則対象になりました。(対象じゃないからといって、個人情報を雑に扱う団体は無いともいますが
(規制強化ばかりではなくて、匿名性を保ったデータに変換さえすれば、本人の許諾無しに利用することができる。などの内容も加えられています。企業によるビックデータ利用が促進される?)
おわり
確かに小学生のころくらいには「個人情報」なんて重要視されていなくて、電話帳に個人の電話番号なんかもバンバン載っていたような気がするんですが、世の中変わりましたね。
こういう変化は対応が面倒だと感じる場合もありますけれど、色々便利になったりするために必要な変化なので、しっかり状況を知りつつうまく対応して、便利になった仕組みを活用していきたいものです。
まだまだ調べます。
つづく。