法政大学における個人情報保護～個人情報保護規程の制定から現在まで～ [2003 Vol.11 No.3]

特集　大学における情報管理～電子化情報の有効利用と公開を目指して～

イギリスの大学における個人情報保護の事例

久保　徹（早稲田大学経理課・情報企画課）

　早稲田大学には「職員海外研修」という制度があり、私はその一環として「情報の有効活用と個人情報の保護のバランスについて調査する」というテーマの下、2001年３月～６月にかけて海外（イギリス・アメリカ）の大学を視察する機会を与えられた。
　以下に、イギリスの大学を視察した際の事例を記載し、最後に筆者の個人的意見を付した。内容的には古い部分があるかもしれないが、海外における個人情報保護の事例提供になれば幸いである。

１．イギリスの「1998年データ保護法」

　イギリスでは「1998年データ保護法（Data Protection Act 1998）」が施行されており、企業や大学など個人に関するデータを扱う組織はこの法を遵守することが求められている。
　個人に関するデータを扱う組織はデータ管理者（Data Controller）として、データ管理者名・個人データの内容およびデータ対象者・データを扱う目的等を、監督機関であるデータ保護コミッショナー（Data Protection Commissioner）に登録しなければならない。個人データは本人の同意なく収集・処理することはできない。また、本人の開示請求権・訂正請求権を保証している。
　データ保護法の別表として、データ保護の８原則が規定されている（以下、要旨）。

１：公正・合法的に処理されること

２：特定の合法的な目的がある場合に限って収集されること

３：必要以上のデータ処理の禁止

４：正確・最新であること

５：必要以上の期間にわたって保持しないこと

６：データ対象者の権利の保護

７：不法なデータ処理、偶発的なデータ消失への対策を講じること

８： EEA（欧州経済地域）外へのデータ持ち出しの禁止

２．バンゴール大学の事例

　バンゴール大学はイギリス西部ウェールズにある、学生数約8,000人の総合大学である。
　大学は、データ保護法に基づき「データ保護責任者（Data Protection Officer）」を置き、データ保護に関するさまざまな施策を行っている。データ保護責任者は、指揮系統としては情報サービス部長の配下に位置している。
　データ保護業務に関しては、データ保護責任者の他に担当者がもう１人、計２人で業務を遂行している。ただし、２人とも図書館の著作権に関する業務も担当していて、週の半分程度をデータ保護に関する業務に充てているとのことだった。
　バンゴール大学のデータ保護に関するポリシー・規程は「データ保護ハンドブック（Data Protection Handbook）」としてまとめられている（土地柄か、英語版とウェールズ語版がある）。このハンドブックの中で、「大学は、情報が正確に集められ安全に管理されていることを保証しなければならない」と、大学の責務を表明している。また、自己に関するデータの公開を受ける権利を保証している。試験の点数・所見・追跡調査についてもこの規程は適用されるとしている。
　権利を保証する一方で、「大学がデータ保護法を遵守するためには、すべてのメンバーがデータ保護の原則に背かない行動をとることが必要である」と、データ保護に関するポリシーの遵守を促している。故意の違反に対しては懲戒免職や刑事訴追もありうる、という警告も見られる。
　この、「データ保護ハンドブック」には、契約業者や短期スタッフ、ボランティアスタッフに関する規程も盛り込まれており、「大学は、直接雇用者であろうとボランティア的地位であろうと、コンサルタントや業者であろうと、大学のための業務をしている者が個人データを使用することについて一切の責任がある」と大学の責任を明確化した上で、業務に必要な以上に個人データにアクセスすることを禁じている。データ処理等を学外の業者に委託する場合も、データの安全性・機密性を保証するように求めており、かつ、どのようなデータ処理を行ったかを報告させている。
　欧州らしい規程としては、「大学が指定した場合以外は、イギリス国外でデータを保管・処理してはならない」というものがある。日本でもグローバル化の進展によってはこういったことを意識しなければならなくなるだろう。
　教職員に対する啓蒙活動も定期的に行っているということだった。個人データを扱うのはコンピュータ端末からであることが多いので、小さなマスコット人形を配布しコンピュータの側に置いてもらって意識させる、といった工夫もしている。ただ、研修会などを開催しても面白い内容ではないので、出席してもらうのに一苦労しているようだった。そのあたりは洋の東西を問わず、であろうか。

３．リーズ大学の事例

　リーズ大学はイギリス中部に位置する、学生数約24,000人の総合大学である。
　リーズ大学には「データ保護に関する運用規程（Code of Practice on Data Protection）」がある。これは全60条あり、１条から43条までは「ポリシー」として大学の個人情報保護に関する方針を定め、44条から60条は「スタッフのためのガイドライン」として教職員が個人情報を扱う際の指針を示している。
　その中に「データ処理のためのスタッフ用チェックリスト」というものがあり、データ処理を行う際にスタッフが考慮することとして、次の７項目が挙げられている。

１：本当に、その情報を記録する必要がありますか？

２：その情報は「一般的な（ordinary）」情報ですか、それとも「特に個人的な（sensitive)」情報ですか？

３：大学はデータ対象者から同意を取っていますか？

４：あなたは、そのデータを収集・保管・処理する権限はありますか？

５：あなたはデータの正確性についてデータ対象者に確認しましたか？

６：データが安全であることを保証できますか？

７：もしデータ対象者の同意を得ていない場合、あなたはそのデータを収集・処理することが学生やスタッフにとって最大の利益になると確信していますか？

　また、別の項目では、次のことについて改めて念を押している。

１：情報の正確性を保証すること

２：事実と意見を区別すること

３：直接的事実に基づく、正当性のある意見だけを表明すること

４：公平・正確であること

５：あいまいな表現や隠語を使わないこと

　「データ保護に関する運用規則」は、具体的にわかりやすい言葉で、データを扱う際の心構えや要点を説明している。個人に関するデータはすべて開示対象になるため、所見やコメントといった主観の入る余地があるものであっても説明ができるように記録しなければならないということである。
　なお、データ保護というと特に学生の個人データに目が行きがちであるが、リーズ大学では「スタッフ自身もデータ対象者である」として、教職員の個人データも保護されなければならない、という立場に立っている点も特筆すべきことだろう。

４．保護あってこその活用～日本の大学で今後必要と思われること～

　イギリスの２大学の事例を踏まえて、今後日本の大学で考慮が必要になってくるのではないかと思われることについて、個人的な意見を述べてみたい。

（１） 大学で働く者が多様化している状況への対応

　大学の経営環境の厳しさとともに専任職員が減少し、代わりにアルバイトや派遣社員が業務を遂行するケースが増えている。こうしたスタッフに対して個人情報の保護に関する説明や研修が行われているだろうか。また、大学と直接労働契約を結んでいない者が不祥事を起こさないように予防・牽制する仕組みや、万一事故が起きた際にも影響を最小限に抑えられるよう、リスクマネジメントも必要であろう。

（２） アウトソーシング等の増加への対応

　データ加工処理や郵送作業を外部企業にアウトソーシングする例も増加しているが、そこから個人情報が流出する可能性も否定できない。最近は契約時に個人情報保護に関する条項を盛り込むことを規定している大学も増えているが、あらためて注意が必要であろう。なお、情報システムの開発では下請け・孫請けが常態化している。末端の業者にまで徹底することが大切であろう。

（３） 個人情報保護ポリシーの表明・学生や保証人への説明

　数多くの企業が行っているように、大学も、その準公共的性格を勘案すれば、対外的表明として「個人情報保護ポリシー」を制定・表明する必要性が高まってくると考えられる。同時に、学生や保証人に対して定期的に大学の方針を説明する機会を持つことも重要である。

（４） 個人情報を取扱う者に対する研修・啓蒙活動の必要性

　教職員をはじめ、個人情報を扱う者に対して定期的・継続的に啓蒙活動を行う必要がある。多くの大学では個人情報の保護に関する説明や研修は行われていないのが実情ではないだろうか。少なくとも着任時には、個人情報の保護に関して説明の機会を持つことが望ましいといえる。

（５） 情報システムのセキュリティ対策の強化

　インターネットの普及とともに、各種申請や資料請求などをWeb画面から行うことができるようにしている大学が増えている。一方で個人情報の流出に関する報道も多く目にする。一歩間違えば社会的信用を失墜することになりかねないので、導入と運用は慎重に行う必要がある。

（６） 「個人情報の保護に関する法律（仮称）」への対応

　国会等で「個人情報の保護に関する法律（仮称）」制定への動きがある。今後どのようになるかは流動的要素が多いが、仮に制定された場合、イギリスのように日本の大学も何らかの対応が必要になることが予想される。こちらの動向にも注意が必要といえよう。

　大学を取り巻く環境が一段と厳しくなるにつれ、情報の有効活用によってチャネルを拡大する必要があることは言うまでもない。しかし一方で、個人情報の保護に真剣に取り組まない大学は社会的信用を失うことになるだろうし、不祥事が起きた場合のダメージははかり知れない。結局のところ、「保護あってこその活用」ではないだろうか。

参考URL
1998年データ保護法：http://www.hmso.gov.uk/acts/acts1998/19980029.htm
バンゴール大学：http://www.bangor.ac.uk/
バンゴール大学のデータ保護：http://www.bangor.ac.uk/dataprotection/
リーズ大学：http://www.leeds.ac.uk/

【目次へ戻る】【バックナンバー一覧へ戻る】

１：	公正・合法的に処理されること
２：	特定の合法的な目的がある場合に限って収集されること
３：	必要以上のデータ処理の禁止
４：	正確・最新であること
５：	必要以上の期間にわたって保持しないこと
６：	データ対象者の権利の保護
７：	不法なデータ処理、偶発的なデータ消失への対策を講じること
８：	EEA（欧州経済地域）外へのデータ持ち出しの禁止

１：	本当に、その情報を記録する必要がありますか？
２：	その情報は「一般的な（ordinary）」情報ですか、それとも「特に個人的な（sensitive)」情報ですか？
３：	大学はデータ対象者から同意を取っていますか？
４：	あなたは、そのデータを収集・保管・処理する権限はありますか？
５：	あなたはデータの正確性についてデータ対象者に確認しましたか？
６：	データが安全であることを保証できますか？
７：	もしデータ対象者の同意を得ていない場合、あなたはそのデータを収集・処理することが学生やスタッフにとって最大の利益になると確信していますか？

１：	情報の正確性を保証すること
２：	事実と意見を区別すること
３：	直接的事実に基づく、正当性のある意見だけを表明すること
４：	公平・正確であること
５：	あいまいな表現や隠語を使わないこと

（１）	大学で働く者が多様化している状況への対応
	大学の経営環境の厳しさとともに専任職員が減少し、代わりにアルバイトや派遣社員が業務を遂行するケースが増えている。こうしたスタッフに対して個人情報の保護に関する説明や研修が行われているだろうか。また、大学と直接労働契約を結んでいない者が不祥事を起こさないように予防・牽制する仕組みや、万一事故が起きた際にも影響を最小限に抑えられるよう、リスクマネジメントも必要であろう。
（２）	アウトソーシング等の増加への対応
	データ加工処理や郵送作業を外部企業にアウトソーシングする例も増加しているが、そこから個人情報が流出する可能性も否定できない。最近は契約時に個人情報保護に関する条項を盛り込むことを規定している大学も増えているが、あらためて注意が必要であろう。なお、情報システムの開発では下請け・孫請けが常態化している。末端の業者にまで徹底することが大切であろう。
（３）	個人情報保護ポリシーの表明・学生や保証人への説明
	数多くの企業が行っているように、大学も、その準公共的性格を勘案すれば、対外的表明として「個人情報保護ポリシー」を制定・表明する必要性が高まってくると考えられる。同時に、学生や保証人に対して定期的に大学の方針を説明する機会を持つことも重要である。
（４）	個人情報を取扱う者に対する研修・啓蒙活動の必要性
	教職員をはじめ、個人情報を扱う者に対して定期的・継続的に啓蒙活動を行う必要がある。多くの大学では個人情報の保護に関する説明や研修は行われていないのが実情ではないだろうか。少なくとも着任時には、個人情報の保護に関して説明の機会を持つことが望ましいといえる。
（５）	情報システムのセキュリティ対策の強化
	インターネットの普及とともに、各種申請や資料請求などをWeb画面から行うことができるようにしている大学が増えている。一方で個人情報の流出に関する報道も多く目にする。一歩間違えば社会的信用を失墜することになりかねないので、導入と運用は慎重に行う必要がある。
（６）	「個人情報の保護に関する法律（仮称）」への対応
	国会等で「個人情報の保護に関する法律（仮称）」制定への動きがある。今後どのようになるかは流動的要素が多いが、仮に制定された場合、イギリスのように日本の大学も何らかの対応が必要になることが予想される。こちらの動向にも注意が必要といえよう。