学生情报电子化

学生情報の電子化と個人情報保護法への対応学生個人情報データベース活用のための個人情報保護規程の策定取り組みの概要学生個人情報を活用した教育事業を展開するため、「個人情報保護に関する法律」を参考にしながら学生個人情報保護に関する規程を新たに整備同時に、全学的な情報セキュリティポリシーを策定し、個人情報保護に関する規程をポリシーの構成要素に位置づけることとした対策を実効化するために取り組んでいること法律の完全施行へ向けて現在検討中の課題決してあってはならない情報セキュリティ事件が発生学生個人情報保護のための規程個人情報保護法の完全施行を目前に控え、本年４月～６月にかけて、以下のルールを定めた学生個人情報保護のための規程（２００４年４月）取り扱い要領（２００４年４月）教員向け、職員向けガイドライン（２００４年５～６月）本学では、これを単なる規程の整備に止めることなく、全学的な【情報セキュリティポリシー】の構成要素に位置づけることとした【情報セキュリティポリシー】・・・・・・情報セキュリティポリシーとは「情報セキュリティ」とは、不正侵入や攻撃、破壊などの脅威に対する安全という意味情報ネットワークシステムや「情報資産」を守るための基本的な方針や対策、規約を体系的に定めたもの一般的に、以下の２つの観点で策定される被害者にならない：学内のネットワーク及びネットワーク上の情報資産を侵害等の脅威から守る加害者にならない：学内外の情報セキュリティを損ねる加害行為を阻止し、社会的信頼を確保する典型的なセキュリティポリシーの構成・・・・・・３階層モデルセキュリティポリシーの３階層モデル基本方針（Policy）セキュリティに対する基本的な考え方、目的、対象範囲、組織・体制など対策基準（Standard）基本方針に沿って実施するセキュリティ対策の規程実施手順（Procedure）利用者やシステム管理者等、各現場におけるセキュリティ対策の具体的手順、マニュアル、ガイドライン出展：私立大学向けネットワークセキュリティポリシー２００２年版私情協ネットワーク研究委員会不正侵入対策小委員会（２００２年５月３１日発行）個人情報保護のためのポリシー策定本学では、３階層モデルの中で個人情報保護対策を実施個人情報や情報システム全般の安全性を確保するために、全学的な情報セキュリティポリシーの策定が有効ポリシーを明確にし、対外的にアピールすることで、個人情報の適正な管理と保護に関して、学生及び社会からの信頼を築き上げるなぜ、個人情報保護対策が必要か？背景には・・・・・・学生個人情報データベースの構築学生個人情報データベースの構築「学生個人情報データベース」を構築（２００３年度に開発着手）各部局に分散していた学生情報を統合ここから個々の学生支援に必要な情報を抽出、加工し、「電子的な学生カルテ」として利用する情報システムを開発教職員がそれぞれの専門性を発揮しながら学生の個別指導を展開する取り組み学生の学習前状態、学修状況、キャリア関連情報などが網羅学生からの相談や教職員のアドバイスの内容も記録教職員がこれを共有しながら学生を中心とした個別支援を行う学生個人情報データベースの構築これを展開するためには個人情報保護のための対策が必要不可欠しかし対策が部分的・局所的で、大学全体の情報ネットワーク上の資産を守るという観点が欠落していては、有効に機能しない全構成員が、全学的な情報セキュリティポリシーに従って情報資産の活用と保護を実現する必要がある情報セキュリティポリシーへの適用そこで、「３階層モデル」に従い、全学的な「情報セキュリティポリシー」の基本方針を定め、ネットワークに係る情報セキュリティに関する基本方針その対策基準のひとつとして、個人情報保護に関する具体的な遵守事項を網羅した規程を制定学生個人情報データベースで管理する学生個人情報の保護に関する規程学生個人データの安全管理措置に関する取扱要領さらに、利用者向けの実施手順として具体的なガイドラインを制定職員向け「学生個人データの安全管理措置に関するガイドライン」教員向け「研究室におけるパソコン利用に関するガイドライン」３階層モデルにあてはめると……基本方針（Policy）全学的な情報セキュリティポリシーの基本方針対策基準（Standard）学生個人情報保護のための規程、取り扱い要領実施手順（Procedure）学生個人情報保護のための利用者向マニュアル、ガイドライン今回は、個人情報保護に限定した対策基準、実施手順を策定将来的には、情報セキュリティ全般を網羅したポリシーを完成させるポリシー策定の検討経過トップダウン・アプローチを志向学長をはじめとする大学執行部に強い意志を持たせることが策定作業に有効に働く２００２年１２月、セキュリティポリシー策定の最初のステップとして、大学執行部にセキュリティ確保の重要性を認知させることから出発１年半の検討を経て制定ワーキンググループによる検討（９か月）電子計算機センター長、法学部教員、総務部長、情報処理課長、情報処理課職員の５名で構成学部教授会の議を経て、大学協議会で承認、発効（２００４年４月）利用者向けガイドラインを策定し、全構成員に配布（５～６月）基本方針（特徴的なポイント）「被害者にならない」、「加害者にならない」という、情報セキュリティポリシーが定める一般的な基本方針に加え、本学では、「学生情報のシステマチックな活用を基本とした学生支援策を展開する」という観点から「情報資産の円滑かつ有効な活用」を基本方針のひとつに掲げた適切な管理を通じて、学内のネットワーク上の情報資産を円滑かつ有効に活用する（第１条・趣旨）対策基準（特徴的なポイント）「個人情報の保護に関する法律」の第４章「個人情報取扱事業者の義務等」の各条文に準拠した同法の目的が本学がめざす対策基準の方向性に合致「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」同法が民間の事業者に共通する「必要最小限」のルールを定めたものであるこれを指針に本学の実態に応じた基準を検討しながら、必要に応じてより厳しい基準を策定することが作業上、効率的であった必要な基準が抜け落ちるといった危険性を回避できた大学としてのその時点での適正な状態を見いだすことに傾注実施手順実施手順とは対策基準に詳細なマニュアルや部署固有のルールを加えたものエンドユーザごとに配布されるドキュメント技術的な部分と人間的な部分をバランスよく統合するための具体的な基準を定めているたとえば、技術的：ローカルハードディスクに暗号化ツールを導入人間的：暗号化の必要性、意味を理解させるこの両面を統合させる重要なドキュメントである実施手順わかりやすい実施手順を策定し、具体的に守るべきことを理解させ、常に意識させ、全員が遵守するよう促す遵守を怠った場合の具体的な被害について実感させることが重要であるが・・・・・・実際にそのような被害が起きるなどとは本気で考え難い「楽観的な信頼感」によって、迫りつつある脅威は実感できない大学の存続にかかわるような重大な危機に直面して、はじめてその重大性を認識するというのが実際・・・・・・本学で、決してあってはならない事件が発生パソコン紛失事件学生約６千６百名分の個人情報が入ったパソコンを学内で紛失した氏名や住所、生年月日、メールアドレスなどが入っていた現在のところ情報漏れは発生していない学生に対して学長が文書などで謝罪（記事抜粋）パソコン紛失事件暗中模索しながら事態の対応にあたっている再発防止策を懸命に考えることはもとより将来に禍根を残さない誠実な対応を行うことを基本方針に学長から現場まで一体となって対応にあたることとした事件が発覚したのが４月末、ちょうど策定直前の状態にあった情報セキュリティポリシーによって、それぞれの役割を担った機関が所定の機能を発揮しながら、組織的に対応した事件の内容及び対応については、ホームページでも報告パソコン紛失事件具体的な対応再発防止のために対策を講じることはもとより、二次的な被害を防止するため、当事者への迅速な報告と謝罪及び定期的な経過報告を徹底することとした。在学生に対しては、学内掲示と情報ポータルシステムへの配信により、適宜状況を報告約１千名の卒業生に対しては、発生直後とその後１か月ごとに、これまでに３回、郵送により報告相談窓口を置き、情報漏えいと疑わしいケースに関して情報を収集しながら、警察と協力した全容解明への努力を基本としたパソコン紛失事件文部科学省への報告「保有する個人情報の情報管理の徹底について」（平成１６年３月３１日付文部科学省高等教育局私学部私学行政課長名事務連絡）に基づき、担当の同課法規係に電話で紛失の事実と格納されている個人情報の内容を報告報告の際の文部科学省の担当者の話まだ各省庁とも情報漏洩に対する個々の対応について、統一的な整備がなされていない状況にある文部科学省への報告については、今回の電話で受理されたという扱いとする今後の対応については、各大学の判断に委ねたい。迅速に対応いただきたいパソコン紛失事件想像もしていなかった重大な事態に遭遇し、初めて情報セキュリティポリシー遵守の重要性を実感できた今回の事件は、まさに「情報セキュリティポリシーの策定と遵守が一体化しない」という典型的な事例であるこのことは、４月３０日に開催された大学協議会の中でパソコン盗難事件が報告され同時に情報セキュリティポリシーが承認されたという皮肉な事態に、きわめて象徴的に現れているパソコン紛失事件事件を契機に教職員の意識は変わった手痛い洗礼を受け、セキュリティ上の脅威を、現実感覚として体感した危機意識を維持、高めるためにはポリシー浸透が重要利用者に対して、具体的に守るべきことを理解させることポリシーを常に意識させ、全員が遵守するよう促すことこれを遵守しない場合の具体的な被害について理解させることポリシー浸透の取り組み「情報セキュリティメールマガジン」の発行具体的な啓発、教育活動のひとつとして編集方針の中核は、「教職員の中に危機感を醸成しながらポリシーの意識を高める」ことにあるポリシーを遵守しないことにより起こりうる脅威を具体的に提示する「日常に潜む脅威」を例示し、これを題材にポリシーの各条文の意味を理解させる有用な情報へのリンクＦＡＱデータベースの提供ポリシー浸透の取り組み専任スタッフの配置情報セキュリティの恒常的な確保日常的なポリシーの見直し新たなポリシーの策定膨大かつ多様な業務を遂行するため、これを主業務として担当する職員を１名、補佐する職員を１名、情報処理課の中に割り当てたパッケージシステム導入による新システム稼動に伴い、これまで各課の業務システム開発やオペレーションに割り当てていた情報システム部門の業務が軽減。この中で情報処理課のスタッフを再配置することができた（アウトソーシングの効果）今後検討を要する諸課題対策基準（個人情報保護規程）策定の検討の中で、以下の課題が浮かび上がった第三者への提供制限父母（保証人）への学業成績知書の送付高校の進路担当教員からの問い合わせに応じた同校出身学生の状況報告推薦入試結果の高校長への通知本人からの情報開示請求入試成績学生カルテ上に記録される「所見」第三者提供の制限および情報開示法律では、特に教育関係に配慮した適用除外は設けられていない１０月初旬に文部科学省から公表予定のガイドライン（原案）を参考に、情報セキュリティ委員会を中心に検討を進める第三者提供の制限父母（保証人）への学業成績知書の送付保証人との連携を密にした個別修学指導の実施など、学習支援体制の充実のために必要な取り組み提供を中止す