特集　個人情報保護への留意点と対策

学校法人明治大学における個人情報保護に関する取り組みについて

１．個人情報の保護に関する法律の施行

　周知のとおり、本年４月から、個人情報の保護に関する法律（以下「法律」という。）が全面施行された。学校法人明治大学（以下「本学」という）では、1994年に、情報システムにおいて取り扱う個人情報の保護を定めた「個人情報の保護に関する規程」を制定し、その後1999年には、電子情報の制限を取り外して学内のすべての個人情報を対象とし、かつ、個人情報保護委員会および不服申立審査会の設置規定を加えるなどの全面改正をした新規程を制定しており、比較的早い段階で学内法規の整備を行ってきた。
　今回制定された法律では、個人情報取扱事業者の義務規定が明確に示されたため、本学では法律の施行に伴って改めて規程の見直しを行い、法律との整合が図られるよう改正を行った。

２．本学の個人情報の安全管理措置

　本学では、学生・生徒、受験生、父母、校友、教職員その他本学の様々な関係者に及ぶ個人情報を取り扱っており、それらの人々の氏名・住所等の基本情報から履修・成績、就職先、健康診断結果、給与等の多種・多様の個人情報を大量に保有している。万一、これらの個人情報の漏洩や滅失があった場合には、社会的な影響は極めて大きく、学校としての信用を大きく失うことにもつながる。
　よって、学校を設置する個人情報取扱事業者としては、法律および文部科学省による指針等に基づき、より厳格な安全管理措置を講じることが求められる。文部科学省の指針解説では、個人情報取扱事業者が講ずべき安全管理措置を、（１）組織的管理措置、（２）人的管理措置、（３）技術的・物理的管理措置の３つに区分しているが、以下に、本学におけるこれまでの安全管理措置の取り組みについて紹介する。

（１）組織的管理措置

１）学内規程の整備
　法律の制定に伴って、本学がまず緊急に着手したのは学内規程の整備であり、前述のとおり、法律に整合するよう規程を改正し、併せて本学の個人情報保護方針を制定し、ホームページで公表した。
２）個人情報の管理責任者の明確化
　個人情報保護委員会委員長である教務担当常勤理事を、本学の個人情報総括管理責任者に位置付け、個人情報保護の総括的責任と権限を有する者として定めた。また、学部長等の教員役職者と事務部長を部門管理責任者とし、課長・事務長等の事務管理職者を運用管理責任者として、それぞれの所管による権限の範囲内での責任を明確化した。
３）各部署個人情報の把握と法定手続の体制整備
　学内各部署の保有する個人情報の調査を行い、その実態を把握した。これにより、本学の保有個人データの包括的な利用目的を特定するとともに、第三者提供に伴うオプトアウト請求手続や開示等の請求手続を当該関係部署において対応できるよう体制を整え、これをホームページにより公表した。

（２）人的管理措置

　本学では、適宜、学内文書等を通じて個人情報の管理の徹底を促してきた。しかし、文書等による通知行為のみでは意識の高揚を図るにも限界があり、また、まずは施行された法律の内容を理解することが必要との理由から、本年５月、６月にかけて、駿河台、和泉、生田の３キャンパスにおいて研修会を実施した。この研修会では、「個人情報保護法の施行に伴う対応について」という内容で、本学法学部兼任講師で筑波大学大学院助教授の新保史生先生に法律の解説と具体定対応について講演いただいた。

（３）技術的・物理的管理措置

１）情報システムのセキュリティ対策
　本学の個人情報の大部分は、コンピュータ内に格納して管理されており、学内コンピュータシステムへの不正アクセスを防止するための措置については、従前から情報システム事務部を中心にセキュリティ対策が講じられてきた。しかし、依然不正アクセスに関する事件が横行している状況下では、さらに強力なセキュリティ対策を講じることを検討していかなければならない。情報システム事務部では、この法律の施行を契機として、コンサルタントを導入し、本学のセキュリティに対する診断を受け、その分析結果を基に、新たなネットワークセキュリティポリシーの策定に向けて作業を進めている段階である。
２）物理的保管方法
　個人情報を含む帳簿等の保管庫の設置等の物理的措置については、従前から各運用管理責任者の適切な判断により各部署に応じた措置が講じられている。

３．本学の個人情報保護の今後の課題

（１）法律と実際の業務における取り扱いとの整合について

　法律が全面施行されて半年が過ぎ、本学では法律の条文や各省庁のガイドライン等について周知を図っているが、依然として、いざ実際の業務にこれら条文を当てはめたときに判断に迷う部分が多いことも事実である。父母への成績通知や校友会との関係、教員独自で保有する個人情報の取り扱い等の学校ならではの問題があり、更に細かいところでは、各種申請書の書式、郵便物、答案、掲示物、各種名簿、学内機関紙なども、その取り扱いが今までどおりの処理でよいのか見直しを行っている段階である。その他にも、例えば、法律の例外規定の対象事例にかかわる判断や開示・非開示の基準設定などについて、全学的な理解が得られるよう明確化を図っていく必要がある。
　こういった問題に対し、現在、本学では運用マニュアルとなるようなガイドラインを作成中であり、これにより、全学的な統一基準によって運用が図られるようにすることを予定している。しかし、それにしても各部署固有の事柄や各種書類等に対応する内容まで記すことはできないので、個別事項ごとに、その都度、法的整合の確認を図り、適切な個人情報の取り扱いを確定していく作業も並行して行っていかなければならない。

（２）継続的な啓発活動の展開について

　個人情報の漏洩・滅失の事件は、故意であれ、過失であれ、人為的なものである。つまりは、これらを未然に防ぐためには個人情報を取り扱う者の意識・自覚にかかっている。よって、継続的な啓発活動と体系化された教育・研修制度の確立が求められる。
　また、これらは、大量に個人データを処理する職員だけを対象とするものではなく、受講生やゼミ員等の個人情報を保有する教員についても同様に考えていかなければならない。一部の先生方には、法律第50条第１項の学術研究用の個人情報取り扱いの適用除外規定や個人情報取扱事業者の該当基準である５千件以上の個人情報保有条件に係る規定によって「大学教員はこの法律は適用されない」あるいは「少数の学生情報の保有であれば適用されない」といった誤解も生じているようである。当然ながら、個人情報取扱事業者の従業員たる教員がそれぞれの授業運営等で業務上保有している個人情報は、この法律による義務規定が適用されるものであり、全学的な保護の対象にしていかなければならない。したがって、教員が個々にパソコン等で保有している個人データについても、事務サイドで取り扱っている個人データと同様に安全管理措置が講じられるよう法律に従った取扱方法の周知を徹底する必要がある。
　本学では、これまでの取り組みよって、個人情報保護の重要性については、十分浸透しているものと思われるが、今後も、教員・職員、専任・非専任にかかわらず、全学的に個人情報保護の精神が徹底され、法律に基づいた個人情報の取扱いが確実に行われるとともに、その管理体制も万全であると客観的に評価され得るよう、継続的に啓発活動・教育・研修活動を展開していかなければならない。