特集 個人情報保護への留意点と対策(2)
日本女子大学における個人情報保護に関する取り組みについて
1.個人情報保護に関する取り組みの経緯について
学校法人日本女子大学(以下「本学」)では、既に2001年から「個人情報保護規程」について検討を開始し、教職員向けに概論的な研修を行ってきた。その後、2005年2月、法的なものとして適正なものにするため、コンサルタントの指導の下に、まず事務部署において「個人情報保護に関するワーキング・グループ(構成員6名)」を立ち上げ、実務にあたった。また、「個人情報の保護に関する法律」及び文部科学省の「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」解説に基づき、規程や保護方針の策定、個人情報資産の洗い出し、業務委託先の現状分析、第三者提供の制限等を検討した。
4月には、「学校法人日本女子大学個人情報保護規程」を制定し、ホームページでは、本学の「個人情報保護方針」を公表し、相談窓口を総務部総務課とした。また、本学の個人情報の保護にかかわる重要事項を審議するため、「個人情報保護委員会(構成員22名)」を立ち上げた。同時に、事務局内には、ワーキング・グループを発展させた形で「事務個人情報保護会議(構成員8名)」を立ち上げ、個人情報保護法施行後の具体的な問題点等について検討を行っている。
2.具体的な対応について
本学では、以下の1)〜10)の課題について具体的な対応を検討した。
1)個人情報保護規程の作成、2)個人情報保護方針の作成、3)個人情報危機管理要綱の作成、4)個人情報保護規程に基づく運用の手引きの作成、5)教職員への教育及び研修体制について、6)個人情報資産管理台帳の作成、7)個人情報保護法特有の対応(チェックシート)の作成、8)業務委託先確認一覧の作成、9)大学における学生個人呼出の際の学籍番号と氏名の併記についての検討、10)個人情報保護強化のためのパソコンのリプレイスである。
本学の具体的な対応の特色として、各部署において個人情報に関する作業を実際に行い、その状況をヒアリングしながら具体的な個人情報保護を各自に意識してもらい、個人情報保護に関する内部管理体制の整備をはかったことである。
例えば、事務個人情報保護会議が中心になり、各部署がどのような個人情報を持っているかを把握する目的で、「個人情報資産管理台帳」を作成するため、各部署に対し4月と6月に調査を依頼し、ヒアリングを実施した。台帳の項目は、「情報資産名」「リスク区分」「収集目的の明示(明示方法)」「データ件数」「作成・取得者」「利用者」「保管形態」「保管期間」「管理方法」「個人情報の項目」等である。大学の教員や研究室や附属校園においては、現在「個人情報資産管理台帳」の作成に着手しているところである。
また、事務個人情報保護会議が中心となり、各部署の「個人情報保護法特有の対応(チェックシート)」の作成を行った。チェックシートの項目は、「個人情報保護特有の対応」「組織・体制整備」「安全管理措置(技術面)」「委託先・従業員の監督」「入退館管理」「情報管理」等である。4月と6月にヒアリングをしながら各部署の個人情報への対応について調査し、改善された箇所を明示したチェックシートをイントラネット上の事務局共通フォルダにアップロードしているので、各部署の個人情報保護への対応状況は一目瞭然である。
法律の全面施行後、本学では女子大学として個人情報漏えい防止や事後対処についての危機管理に重点を置いた。事務個人情報保護会議は、個人情報保護委員会からの要請を受け、個人情報の取扱いに関して漏えい等の危機が発生した場合の基本事項と手続きを定めた「個人情報危機管理要項」の原案を作成し、事務局会議及び個人情報保護委員会にて審議され了承された。要綱には、「個人情報危機管理“危機発生時の連絡対応図”」と「個人情報保護管理体制における各担当者の役割について」を盛り込み、幼稚園から大学までの各担当者の役割を明確にした。個人情報保護管理者として、学部長、研究科委員長、通信教育課程長、附属機関長、附属校園長、部長が対応し、個人情報保護責任者として、学科長、専攻主任、副校長、教頭、課長が対応し、個人情報取扱い者として、各教員、各教諭、課員が対応している。
女子大学としての危機管理の一例として、「大学における学生個人呼出の際の学籍番号と氏名の併記」についての検討があげられる。大学では、従来、学生の個人呼出の際に電子掲示板で学籍番号と氏名を併記して呼出を行っていた。しかし、不特定多数の人が出入りする場所において女子学生個人が特定されるような掲示の方法について、個人情報保護の上からも望ましくないのでは、と学内から指摘があり、事務個人情報保護会議において検討された。その結果、大学では、学籍番号と氏名は併記せず、学籍番号のみの掲示とすることが了承され、事務部署の了承を得、個人情報保護委員会から全学的に周知された。特に電子掲示板の学生個人呼出については、10月1日付で氏名を非表示とした。なお、学生向けには、「学生呼出は、学籍番号・氏名の連記で行っていましたが、個人情報保護のため、今後は学籍番号のみの呼出となります。学生の皆さんはご注意ください。」という案内をホームページ等に掲載した。
3.今後の検討事項について
本学では、個人情報保護法完全施行後、上記の活動を行ってきたが、まだまだ十分ではない。特に学生・生徒等に関する個人情報の漏えい、滅失等があった場合の社会的影響も大きいことを十分認識し、学園全体が個人情報保護の意識を常にもち、適切に対応できるようにしなければならない。
事務部署においては、すでに個人情報資産管理台帳やチェックシートを作成し調査・更新を行っているが、附属校園を含む教員・研究室の保有する個人情報の取扱い状況の把握については、個人情報保護委員会から教員等への働きかけがなされ、現在進行中である。特に各々の教員が個々に保有する個人データは膨大であり、その取扱いについては慎重に行われなければならない。
そのための学園構成員への啓発活動として、継続的な研修やパンフレット作成が検討されている。学内研修は既に数回実施してきたが、個人情報保護法施行後の問題点や事例紹介等、個人情報に対するより一層の意識を高めるために、さらなる検討が必要である。また、ホームページ等では本学の個人情報保護方針を公表しているが、学園構成員への周知徹底が必要である。現在、次年度学生・教職員への配布用パンフレットを作成しているところである。
個人情報保護法や文部科学省のガイドラインによると、同窓会や父母会を第三者の典型的な例としてあげている。本学では今後、卒業生団体と一定の個人情報を共同利用するかどうかについて検討中である。特に、現在、学園の所有する情報の共有化及び有効利用について、卒業生団体の桜楓会の所有する情報との共有化を図ることができないかどうか検討を進めているところである。
また、女子大学としては、個人情報保護の上からも建物や事務室・研究室への入退室管理等、物理的なセキュリティについても今後の課題であり、包括的取り組みを進めている現状である。
| 文責: | 日本女子大学 管理部システム企画課長 菅原 彰子 |