特集
教員による情報活用と個人情報保護法
<特集企画にあたって>
2005年4月1日から全面施行された「個人情報の保護に関する法律」を踏まえ、各大学においても個人情報保護に関する規程の整備、組織体制づくりなど、事務管理の面において取り組みが始められています。その中で、学内教員への周知徹底、教育活動における情報活用と情報保護など、大学として検討すべき課題も数多くなっています。
そこで本稿では、同法の検討に関わった堀部政男教授(中央大学)より、同法の全体像を解説いただき、さらに、授業、演習、ゼミなどの様々な教育の場面における学生情報の活用に関して、実際にそれらを取り扱う個人情報取扱事業者の義務など法的な問題も含めてその留意点をまとめていただきました。本稿を通じて、大学が今後取り組むべき対策について認識を深めていただきたいと思います。
堀部 政男(中央大学大学院法務研究科教授)
T.個人情報保護システムの概要
1.個人情報保護関係5法の制定
本稿のテーマである「教員による情報活用と個人情報保護法」について論じるにあたっては、日本でも国レベルでようやく法的に制度化された個人情報保護システムがどのようなものであるかを的確に認識することが必要不可欠であるので、その全体像を明らかにすることから始めることにする。
日本で個人情報保護法(正式には「個人情報の保護に関する法律」(平成15年法律第57号))が参議院本会議で可決成立したのは、平成15年5月23日であった。個人情報保護法を1970年代に制定した先進国よりも20年以上も遅れたことになる。この法律は、平成15年5月30日に公布・一部施行された。これが全面施行されたのが平成17年4月1日である。メディアなどでは、もっぱらこの法律について報じている。
しかし、同じ日に成立し、同じ日に公布され、同じ日に施行された個人情報保護関係の法律は、他にもある。行政機関・独立行政法人等に関する個人情報保護法である。それらに関係する法律は四つであるので、個人情報保護法も含め、よく個人情報保護関係5法などと呼ばれていた。それらの法律名は、次のとおりである(参考までに法案提出から施行までの経過も記すことにする)。
ア.個人情報保護法
個人情報の保護に関する法律(平成15年5月30日公布・一部施行、法案−平成13年3月27日閣議決定、平成14年12月13日廃案、平成15年3月7日閣議決定、平成15年5月23日参議院本会議可決、平成15年5月30日公布・一部施行、平成17年4月1日全面施行)
イ.行政機関等個人情報保護法
行政機関等に関する個人情報保護法として、次の法律が制定・公布された(平成15年5月30日公布、法案−平成14年3月15日閣議決定、平成14年12月13日廃案、平成15年3月7日閣議決定、平成15年5月23日参議院本会議可決、平成15年5月30日公布、平成17年4月1日施行)。
- 行政機関の保有する個人情報の保護に関する法律(「行政機関個人情報保護法」という。)
- 独立行政法人等の保有する個人情報の保護に関する法律(「独立行政法人等個人情報保護法」という。)
- 情報公開・個人情報保護審査会設置法
- 行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律
私は、高度情報通信社会推進本部個人情報保護検討部会の座長として、平成11年10月20日に、日本における個人情報保護システムのグランドデザインを発表し、その法的部分について検討した個人情報保護法制化専門委員会にも関わってきた。また、行政機関個人情報保護法のあり方についても検討に加わった。さらに、法案を審議した衆参両院の個人情報保護特別委員会で参考人として意見を述べた。
これらは個人情報保護制度と私がどのように関わってきたかを示すいくつかの例に過ぎないが、このことからも明らかなように、個人情報を制度的にどのように保護すべきかについては、これまでにも様々な機会に論じてきた。
2.地方公共団体の個人情報保護条例の制定状況
その一環として、地方公共団体における個人情報保護の制度化の提唱・実現の一翼をも担ってきた。地方公共団体における個人情報保護条例等の制定状況は、例年よりもかなり早く、4月22日には公表された。制定状況は、次のとおりである(平成17年4月現在、総務省調べ)。
- 都道府県47+市区町村2,368=制定団体数
合計2,415(団体数都道府県47+市区町村2,418=2,465)
- 条例制定団体(都道府県+市区町村)97.9%
3.学校の設置者による適用法の相違
以上は、日本における個人情報保護関係法の制定状況及び地方公共団体の個人情報保護条例の制定状況であるが、学校等の設置者によって適用される法が異なることに注意しなければならない。それは、次のようになる。
| ア |
私立学校−個人情報保護法でいう個人情報取扱事業者として個人情報保護法 |
| イ |
国立の教育機関−行政機関個人情報保護法 |
| ウ |
国立大学法人の学校−独立行政法人等個人情報保護法 |
| エ |
公立学校−各地方公共団体の個人情報保護条例−関係地方公共団体の条例 |
このように、学校等の場合には、その設置者によって適用法が異なるので、それぞれがどのようなものであるかを知らなければならないが、ここでは、個人情報保護法について見ることにする。この法律のもとで、文部科学省は、個人情報保護法第8条の規定に基づき「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(平成16年11月11日文部科学省告示第161号)(以下「文部科学省指針」という。)を定め、平成17年4月1日から適用することとした。(http://www.mext.go.jp/b_menu/houdou/16/11/04111602.htm)また、同省は、その解説(平成17年1月)(以下「指針解説」という。)も出している。
また、指針・ガイドラインのレベルでは、教職員については、厚生労働省の「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(平成16年7月1日厚生労働省告示第259号)が適用される。さらに、学術研究目的で個人情報を取り扱う場合には、個人情報保護法第50条の適用除外があるほか、関係省庁のガイドラインがある。
4.個人情報保護法の概要(その1)―「基本法」部分
個人情報保護法は多くの人々に知られるようになったが、その内容については、意外に知られていない。その全体像を知らないと、何が法律違反となって処罰されるかを理解できない。そこで、個人情報保護法の概要について見るが、個人情報保護法のうち、第1章から第3章までの規定が「基本法」と呼ばれる性格のものであって、第4章以下の規定が「一般法」と称せられる性格のものである。「基本法」部分の概要は、次のようになっている。
第1章 総則
1 目的(第1条)―高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、一定の規定を設けることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としている。
この規定から明らかなように、個人情報保護法は、「個人情報の有用性」と「個人の権利利益の保護」とのバランスをとることを目的としている。
2 定義(第2条)
- 「個人情報」―生存する個人に関する情報(識別可能情報)
例えば、学生・生徒・保護者・教職員関係の情報は、個人情報保護法でいう「個人情報」に該当する。個人情報保護法では、この「個人情報」と後掲の「個人データ」、「保有個人データ」と区別している。それぞれで適用規定が異なるので、注意が必要である。
第4章の個人情報取扱事業者の義務等の規定のうち、「個人情報」は、次の規定に出てくる。
第15条(利用目的の特定)、第16条(利用目的による制限)、第17条(適正な取得)、 第18条(取得に際しての利用目的の通知等)、第31条(苦情の処理)
- 「個人情報データベース等」―個人情報を含む情報の集合物(検索が可能なもの。一定のマニュアル処理情報を含む。)
例えば、成績表や履修登録は、通常、検索可能なものであるので、個人情報データベース等に当たる。
- 「個人情報取扱事業者」―個人情報データベース等を事業の用に供している者(国、地方公共団体等のほか、取り扱う個人情報が少ない等の一定の者(特定の個人の数が過去6ヶ月以内のいずれの日においても5,000人を超えない者)を除く。)
5,000人を超える個人情報を取り扱う私立学校は、個人情報取扱事業者になる。
- 「個人データ」―個人情報データベース等を構成する個人情報
第4章の個人情報取扱事業者の義務等の規定のうち、「個人データ」は、次の規定に出てくる。
第19条(データ内容の正確性の確保)、第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)、第23条(第三者提供の制限)
- 「保有個人データ」―個人情報取扱事業者が開示、訂正等の権限を有する個人データ
第4章の個人情報取扱事業者の義務等の規定のうち、「保有個人データ」は、次の規定と関連している。
第24条(保有個人データに関する事項の公表等)、第25条(開示)、第26条(訂正等)、 第27条(利用停止等)、第28条(理由の説明)、第29条(開示等の求めに応じる手続)、 第30条(手数料)
- 「本人」―個人情報によって識別される特定の個人
3 基本理念(第3条)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、その適正な取扱いが図られなければならない。
この第3条の基本理念の規定について、「個人情報の保護に関する基本方針」(平成16年4月2日、後掲の第7条に基づき閣議決定)は、「個人が『個人として尊重される』ことを定めた憲法第13条の下、慎重に取り扱われるべきことを示」していると述べている。このように、憲法に基礎付けられていることに注目する必要がある。
第2章 国及び地方公共団体の責務等
1 国及び地方公共団体の責務(第4条、第5条)
2 法制上の措置等(第6条)
- 国の行政機関、独立行政法人等の保有する個人情報についての法制上の措置等―行政機関個人情報保護法及び独立行政法人等個人情報保護法は、この規定に基づいて制定された。この規定は、削除された。
- 個人情報の性質及び利用方法にかんがみ、適正な取扱いの厳格な実施を確保する必要がある個人情報についての法制上の措置その他必要な措置―個別法等の根拠規定であるが、これまでのところ個別法は制定されていない。
第3章 個人情報の保護に関する施策等
第1節 個人情報の保護に関する基本方針(第7条)
- 施策の総合的・一体的推進を図るための基本方針を国民生活審議会の意見を聴いた上で閣議決定 (前述のように、平成16年4月2日に閣議決定された。)
第2節 国の施策(第8条〜第10条)
- 地方公共団体等への支援、苦情処理のための必要な措置等 ―文部科学省指針は、第8条に基づいて定められた。
第3節 地方公共団体の施策(第11条〜第13条)
- 地方公共団体の保有する個人情報についての必要な措置
- 区域内の事業者及び住民への支援、苦情処理のあっせん等の必要な措置
個人情報保護の制度化は地方公共団体において早いところでは20数年前に図られたが、個人情報保護法のもとでは、地方公共団体の個人情報保護条例等は、第12条(区域内の事業者等への支援)を根拠にすることになる。
第4節 国及び地方公共団体の協力(第14条)
5.個人情報保護法の概要(その2)―「一般法」部分
個人情報保護法の「一般法」部分の概要は、次のようになっている。
第4章 個人情報取扱事業者の義務等
第1節 個人情報取扱事業者の義務−必要に応じて一定の適用除外を規定
(1)利用目的の特定、利用目的による制限
(第15条、第16条)
- 個人情報を取り扱うに当たり、その利用目的をできる限り特定
文部科学省指針は、利用目的の特定(第15条第1項)について、「事業者は、利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること」とし、指針解説は、後掲(Uの「4「個人情報」の取扱い―「利用目的の特定」)のような例を挙げている。
- 特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いの原則禁止
(2)適正な取得、取得に際しての利用目的の通知等(第17条、第18条)
- 偽りその他不正の手段による個人情報の取得の禁止
- 個人情報を取得した際の利用目的の通知又は公表
- 本人から直接個人情報を取得する場合の利用目的の明示
(3)データ内容の正確性の確保(第19条)
- 利用目的の達成に必要な範囲内で個人データの正確性、最新性を確保
(4)安全管理措置、従業者・委託先の監督(第20条〜第22条)
- 個人データの安全管理のために必要かつ適切な措置、従業者・委託先に対する必要かつ適切な監督
(5)第三者提供の制限(第23条)
- 本人の同意を得ない個人データの第三者提供の原則禁止
第16条と第23条に「同意」について規定がある。その「同意」について、指針解説は、「本人の同意を得る方法としては、例えば、書面により同意の意思を確認すること、本人の参加が確認できる説明会等において、当該本人の個人情報の取扱いについて異論がないことを口頭で明確に確認する等が想定されます」と説明している。
- 本人の求めに応じて第三者提供を停止することとしており、その旨その他一定の事項を通知等しているときは、第三者提供が可能
- 委託の場合、合併等の場合、特定の者との共同利用の場合(共同利用する旨その他一定の事項を通知等している場合)は第三者提供とみなさない。
(6)公表等、開示、訂正等、利用停止等(第24条〜第27条)
- 保有個人データの利用目的、開示等に必要な手続等についての公表等
- 保有個人データの本人からの求めに応じ、開示、訂正等、利用停止等
(7)苦情の処理(第31条)
(8)主務大臣の関与(第32条〜第35条)
- この節の規定の施行に必要な限度における報告の徴収、必要な助言
- 個人情報取扱事業者が義務規定(努力義務を除く)に違反し、個人の権利利益保護のため必要がある場合における勧告、勧告に従わない一定の場合の命令等
- 主務大臣の権限の行使の制限(表現、学問、信教、政治活動の自由)
(9)主務大臣(第36条)
- 個人情報取扱事業者が行う事業等の所管大臣、規定の円滑な実施のために必要があるときは、内閣総理大臣が指定
第2節 民間団体による個人情報の保護の推進
(1)団体の認定(第37条)、対象事業者(第41条)
- 個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、苦情の処理等を行おうとする団体の認定
- 認定団体による対象事業者(団体の構成員等)の氏名又は名称の公表
(2)個人情報保護指針(第43条)
(3)主務大臣の関与(第46条〜第48条)
- この節の規定の施行に必要な限度における報告の徴収
- 業務の実施の方法の改善、個人情報保護指針の変更等についての命令
- 認定基準に適合しなくなった場合、命令に従わない場合等における認定取消し
(4)主務大臣(第49条)
- 対象事業者が行う事業等の所管大臣、規定の円滑な実施のために必要があるときは、内閣総理大臣が指定
第5章 雑則
- 報道、著述、学術研究、宗教活動、政治活動の用に供する目的で個人情報を取り扱う報道機関、著述を業として行う者、学術研究機関等、宗教団体、政治団体については、第4章の適用を除外(第50条第1項)
- これらの主体は、安全管理、苦情処理等のために必要な措置を自ら講じ、その内容を公表するよう努力(第50条第3項)
- 地方公共団体が処理する事務(第50条)
個人情報保護法第50条及び個人情報保護法施行令第11条で、他の法令により事業者の監督権限に属する事務が地方公共団体の長等の事務とされている。そのことから、地方公共団体所轄の学校法人等・学校の場合、地方公共団体の長等が個人情報保護法の第32条から第34条までに規定する主務大臣の権限に属する事務(報告徴収、助言、勧告及び命令)を行うことになるので、注意しなければならない。
- この他、権限又は事務の委任、施行の状況の公表等について規定
第6章 罰則
- 個人情報取扱事業者が主務大臣の命令に違反した場合等における罰則(第56条〜第59条)
附則
- 公布の日(平成15年5月30日)から施行、第4章から第6章までの規定は、公布後2年以内に施行(附則第1条)―前述のように、平成17年4月1日から施行された。
- 経過措置(附則第2条〜第6条)
- 内閣府の所掌事務等に本法施行関係の事務を追加(附則第7条)―後に削除
U.教員による個人情報活用と個人情報保護の考え方
1.個人情報保護法でいう「個人情報取扱事業者」は教員個々人ではなく学校であるという認識の必要性
個人情報保護法にどう対応すればよいかについては、多くの機会に議論してきた。学校関係もその一つであるが、学校の中でも特に大学関係者と議論をしていると、民間企業一般の関係者とはかなり異なった認識を持っていることが明らかになる。
個人情報保護法は第4章で、個人情報取扱事業者に義務等を課している。この場合、個人情報取扱事業者になるのは、通常は「学校」ということになる。
「個人情報取扱事業者」の意味するところを掲げると、個人情報データベース等を事業の用に供している者(国、地方公共団体等のほか、取り扱う個人情報が少ない等の一定の者(特定の個人の数が過去6ヶ月以内のいずれの日においても5,000人を超えない者)を除く。)(第2条第2項)ということになっているので、5,000人を超える個人情報を取り扱う私立学校は、個人情報取扱事業者になる。
2.教員は個人情報取扱事業者の「従業者」であるという認識の必要性
教員の中には、学問の自由・研究の自由を享受していることもあって、独立して職務を遂行しているように考えている者もいるが、個人情報保護法では、教員は個人情報取扱事業者である学校の「従業者」ということになる。
個人情報保護法は、個人情報取扱事業者に「従業者の監督」義務を課している。それに関する第21条は、「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」と規定している。
ところが、個人情報取扱事業者は、従業者である教員がどのような個人データを取り扱っているかを必ずしも把握しているとは限らない。把握するためには、「登録」制度を設けることが必要である。
3.「安全管理措置」と「従業者の監督」
次ページに私立大学情報教育協会で作成された【教員の個人情報保護に関する不安な事項】というのがある。その中の「情報の管理、持ち出しなどについて」に出てくる具体例の多くは、「安全管理措置」(第20条)及び「従業者の監督」(第21条)の問題である。
いくつかの例について考えてみることにする(( )の中の数字は、この「不安な事項」を整理するために付されているものである)。
(16)「学生の個人情報、成績情報などをメモリスティックなどの磁気媒体に収めて自宅に持ち帰ったり、電子メールで自宅に送信する」
→学校が「安全管理措置」(第20条)を具体化するためにどのような情報管理規程を定めているかによるが、一般的には、メモリー等の持ち出しを認めない方向になっている。
(17)「試験の際など、学生の氏名が記載された資料を配布され、試験の後にそれをシュレッダーにかけず、ごみ箱に捨てたことがある」
→ごみ箱から漏れることもあるので、教員がこのようなことをすることを容認することは、法律違反になる可能性があると考えるべきである。
(19)「卒業式や授賞式などに配布される学生の氏名等が記載された資料などをそのままゴミ箱に捨てたり、他人に渡したりしたことがある
→法律違反になる可能性があると考えるべきである。
(20)「履修者名簿や成績一覧表をワープロや表計算ソフトなどで作成・印刷し、ミスがあったものをそのままゴミ箱などに捨てることがある」
→上記と同様に考えるべきである。
(10)「ゼミナール募集に際して「個人調査書」を提出させる場合、その原本の管理(紛失、漏洩防止など)に関する対策の立て方」
→「安全管理措置」(第20条)等を具体化する一般的な情報管理規程などを遵守しなければならない。
「その他」
「セクハラなどの相談を受けた際に、一応学生本人に確認したものの、学生相談窓口や学生部に氏名以外の詳細について話しをしたことがある」
→情報管理の問題として考えるべきである。個人情報保護法でいう「個人データ」に当たらないので、これらの義務と直接的には関係しないが、第3条の「基本理念」の観点からも、このようなことがないようにする意識を持つようにすべきである
|
教員の個人情報保護に関する不安な事項
社団法人 私立大学情報教育協会
「学生の氏名、学籍番号、成績情報の取り扱い」
※ 学生の個人情報を以下の目的に使用してもよいか。どのようなこと(事前に学生に使用目的を説明し、同意を得る等)に留意すべきなのか。
(1) Webページの掲示板などに試験の成績を掲載する場合、例えば、学生の氏名、学籍番号など個人の特定につながる情報を掲載する。
(2) Webページの掲示板にて学生の呼び出し、課題未提出者の掲示など。
(3) 学生への連絡、出席管理や小テスト実施等の目的で学生の携帯電話番号、電子メールアドレスを収集する。
「学生名簿、学生論文・作品等の取り扱い」
※ 学生の個人情報を以下の目的に使用してもよいか。どのようなこと(事前に学生に使用目的を説明し、同意を得る等)に留意すべきなのか。
(4) ゼミ名簿に学生個人情報(住所、電話番号、携帯番号、メールアドレス、帰省先の住所など)を掲載する。
(5) ゼミの論文集に学生の住所やメールアドレス等を掲載する。
(6) 学生の住所やメールアドレスが掲載されたゼミ論文集を、卒業する学生だけでなく、現ゼミ生や、他の教員にも配布する。
(7) 先生のWebページにゼミ学生紹介などのコーナーを設けて学生の個人情報、連絡先、顔写真などを掲載する。
(8) 学生の作品(論文、画像、PowerPointスライドやプログラム等)をサーバなどに蓄積し、他の学生などに参考として公開する。
(9) ゼミ学生の携帯電話の番号、住所、メールアドレスなどを、同じゼミの学生からの問い合わせに応じて開示する。
(10) ゼミナール募集に際して「個人調査書」を提出させる場合、その原本の管理(紛失、漏洩防止など)に関する対策の立て方。
「学生によるホームページ作成の留意点」
※ 学生の個人情報を以下の目的に使用してもよいか。どのようなこと(事前に学生に使用目的を説明し、同意を得る等)に留意すべきなのか。
(11) ゼミ学生個人のWebページを作成させレポートや自己紹介などを掲載する場合、学生に対する留意事項の説明方法。
「卒業生の個人情報に関する取り扱いについて」
※ 卒業生の個人情報を以下の目的に使用してもよいか。どのようなこと(事前に学生に使用目的を説明し、同意を得る等)に留意すべきなのか。
(12) 卒業生の論文集や在学中の作品をWebに掲載する。
(13) ゼミの学生から、先輩に就職先の話を聞きたい旨の問い合わせがあった場合、卒業生の氏名、メールアドレスなどの情報開示。
(14) 学生や卒業生の就職内定や転職等の情報を就職部などに提供する。
「情報の管理、持ち出しなどについて」
※ 学生個人情報に関する以下のような取り扱いは認められるのだろうか。今後、どのようなことに注意すべきだろうか。
(15) 大学(教務課など)から電子化された受講者リストを受け取り、小テストや出席などの成績情報を目的外に使用する。
(16) 学生の個人情報、成績情報などをメモリスティックなどの磁気媒体に収めて自宅に持ち帰ったり、電子メールで自宅に送信する。
(17) 試験の際など、学生の氏名が記載された資料を配布され、試験の後にそれをシュレッダーにかけず、ごみ箱に捨てたことがある。
(19) 卒業式や授賞式などに配布される学生の氏名等が記載された資料などをそのままゴミ箱に捨てたり、他人に渡したりしたことがある。
(20) 履修者名簿や成績一覧表をワープロや表計算ソフトなどで作成・印刷し、ミスがあったものをそのままゴミ箱などに捨てることがある。
「その他」
例えば、セクハラなどの相談を受けた際に、一応学生本人に確認したものの、学生相談窓口や学生部に氏名以外の詳細について話しをしたことがある。
注:上記は、個人情報保護に関わる教育活動での不安点、疑問点について、私立大学情報教育協会の委員会委員(大学教員)から寄せられた意見を整理し、その他に想定される事項を本協会で一部追加したものである。 |
4.「個人情報」の取扱い―「利用目的の特定」
個人情報保護法は、「個人情報」、「個人データ」及び「保有個人データ」を区別している。前述のように、教員は個人情報取扱事業者の「従業者」としてその義務等を履行しなければならないという認識をする必要がある。
個人情報保護法は、「個人情報」について「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」(第2条第1項)と定義している。
第4章の個人情報取扱事業者の義務等の規定のうち、「個人情報」は、次の規定に出てくる。
第15条(利用目的の特定)、第16条(利用目的による制限)、第17条(適正な取得)、 第18条(取得に際しての利用目的の通知等)、第31条(苦情の処理)
教員が学生の氏名、学籍番号、住所、携帯電話番号、メールアドレス等を取り扱うことが多いが、これらの規定を遵守しなければならない。ここでは、「利用目的の特定」(第15条)について見ることにする。
文部科学省指針の【利用目的を特定している例】は、次のとおりである。
○事例V−1−1)学生による授業評価アンケート等の実施にあたって、アンケート用紙への趣旨目的の記載について、「このアンケートは、来年度における○○の授業の教育方法を検討する際の参考とするために行います」として取得する場合
○事例V−1−2)卒業生の氏名及び就職先の情報を、「卒業生の就職状況を統計としてまとめ、パンフレット等に掲載するため。また、これらの情報は○○○(同窓会の組織名)にも提供します。」として取得する場合
【教員の個人情報保護に関する不安な事項】の中の「学生の氏名、学籍番号、成績情報の取り扱い」及び「学生名簿、学生論文・作品等の取り扱い」に出てくる具体例の中には、利用目的の特定と関連しているものがある。「学生名簿、学生論文・作品等の取り扱い」の具体例については、後掲の「個人データ」のところで見ることにする。
(1)「Webページの掲示板などに試験の成績を掲載する場合、例えば、学生の氏名、学籍番号など個人の特定につながる情報を掲載する」
→利用目的を特定している例でもあるが、「第
三者提供の制限」(第23条)との関係でも考えなければならない。第23条第1項では、「本人の同意」があれば、第三者提供も可能であるが、成績によって差別を受けるなど、他の人権問題に発展しないようにしなければならない。
(2)「Webページの掲示板にて学生の呼び出し、課題未提出者の掲示など」
→上記と同様に考えることができる。
(3)「学生への連絡、出席管理や小テスト実施等の目的で学生の携帯電話番号、電子メールアドレスを収集する」
→利用目的を特定している例であるといえる。
(11)「ゼミ学生個人のWemページを作成させレポートや自己紹介などを掲載する場合、学生に対する留意事項の説明方法」
→学生個人は、この場合、個人情報取扱事業者にならないので、個人情報保護法の適用は受けないが、個人情報保護法の趣旨を理解させる必要がある。
(14)「学生や卒業生の就職内定や転職等の情報を就職部などに提供する」
→教員として学生の個人情報を取得することになるので、「利用目的」を特定し、就職部などに報告することになる。
5.「個人データ」の取扱い―「第三者提供の制限」
個人情報保護法は、「個人データ」について「個人情報データベース等を構成する個人情報をいう」(第2条第4項)と定義している。ここでいう「個人情報データベース等」は、個人情報を含む情報の集合物(検索が可能なもの。一定のマニュアル処理情報を含む。)であって、例えば、成績表や履修登録は、通常、検索可能なものであるので、個人情報データベース等に当たる。
第4章の個人情報取扱事業者の義務等の規定のうち、「個人データ」は、次の規定に出てくる。
第19条(データ内容の正確性の確保)、第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)、第23条(第三者提供の制限)
ここでは、「第三者提供の制限」に関する第23条について見ることにする。文部科学省指針の(私立学校を設置する事業者が第三者に保有個人データを提供する例)は、次のとおりである。
○事例V−5−1)同窓会に生徒等の進学先や就職先の情報を提供する場合
○事例V−5−2)奨学団体に当該団体が支援する奨学生の成績を提供する場合
○事例V−5−3)保護者会で生徒等の学力テストの結果一覧を配布する場合
○事例V−5−4)学術研究のために、卒業生等の個人情報が含まれる学校所蔵の資料を教育学の研究者へ提供する場合
【教員の個人情報保護に関する不安な事項】の中の「学生の氏名、学籍番号、成績情報の取り扱い」及び「学生名簿、学生論文・作品等の取り扱い」に出てくる具体例の中には、「第三者提供の制限」と関連しているものがある。「学生の氏名、学籍番号、成績情報の取り扱い」については、上記の「『個人情報』の取扱い」で見たので、ここでは、「学生名簿、学生論文・作品等の取り扱い」の具体例を取り上げることにする。個人情報保護法でいう「個人データ」というよりは、「個人情報」に該当する場合もあるが、「個人データ」に近いものとして考えてみることにする。
(4)「ゼミ名簿に学生個人情報(住所、電話番号、携帯番号、メールアドレス、帰省先の住所など)を掲載する」
→個人情報取扱事業者である学校の「従業者」の教員が職務上学生の個人データを取り扱うことから、個人情報保護法でいう「本人」(第2条第6項)以外の者が「第三者」となるので、ゼミの学生は「第三者」になるといえる。ゼミ名簿は、ゼミの参加者全員に配布されるであろう。そのため、第三者提供について「本人の同意」を得る必要がある。
(5)「ゼミの論文集に学生の住所やメールアドレス等を掲載する」
→上記と同様に考えることができる。
(6)「学生の住所やメールアドレスが掲載されたゼミ論文集を、卒業する学生だけでなく、現ゼミ生や、他の教員にも配布する」
→上記と同様に考えることができる。
(7)「先生のWebページにゼミ学生紹介などのコーナーを設けて学生の個人情報、連絡先、顔写真などを掲載する」
→上記と同様に考えることができる。
(8)「学生の作品(論文、画像、PowerPointスライドやプログラム等)をサーバなどに蓄積し、他の学生などに参考として公開する」
→上記と同様に考えることができる。
(9)「ゼミ学生の携帯電話の番号、住所、メールアドレスなどを、同じゼミの学生からの問い合わせに応じて開示する」
→上記と同様に考えることができる。
(12)「卒業生の論文集や在学中の作品をWebに掲載する」
→上記と同様に考えることができる。
(13)「ゼミの学生から、先輩に就職先の話を聞きたい旨の問い合わせがあった場合、卒業生の氏名、メールアドレスなどの情報開示」
→上記と同様に考えることができる。
6.その他
「個人情報」、「個人データ」及び「保有個人データ」という使い分けのうち、「保有個人データ」についてばかりでなく、その他、様々な問題、特に学術研究に関する適用除外(第50条)についても見る必要がある。
日本では、これまで個人情報の取扱いに関する法的ルールが確立していなかったので、各方面で過剰反応や混乱が生じている。個人情報保護法は、第1条にあるように、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と規定している。このことを踏まえながら、教員も個人情報の適正な取扱いに努めるようになることを期待したい。
【目次へ戻る】 【バックナンバー 一覧へ戻る】