特集 個人情報保護への留意点と対策


上智大学における「個人情報保護法」への対応と適正管理に向けて


1.個人情報の保護に関する規程制定の経緯

 上智大学は、1996年度から「学内情報処理システム開発」として、事務部署にかかる情報インフラの整備(ハードウェア)と事務処理コンピュータシステム(ソフトウェア)の開発に着手し、1999年度までに第一期の開発を完了した。
 これらの事務業務に対する大規模なコンピュータシステムの導入は、学生、卒業生、教職員、また、大学への入学志願者や社会人講座受講生など、様々な個人情報(保有個人データ)がデータベース化されるとともに、電子メール等により、電子媒体による情報の流通が従来とは比較にならないレベルで進展し、かつ量的にも増大することとなった。このため、情報処理部門が中心となって、データベース化された保有個人情報の広範囲な活用を図りつつ、一方では、情報セキュリティ対策、情報漏洩防止などの安全管理やプライバシー保護についても検討を重ね、個別的、具体的な対策を講じることとした。

 1999年度から2000年度には、大規模なデータベースを保有する事務部署において、学生の履修成績データを教員が利用するにあたっての運用ルールの制定や、教職員の住所・電話番号等の情報公開とその制限、あるいは本人同意手続の制度化など、特に重要と思われる事項について、それぞれ必要な方策を講じてきた。
 2000年度になると、国の個人情報保護にかかる法制化が本格化した。

 本学は、2001年3月、個人情報を保有する主要な事務部署長(中心は課長)からなる「個人情報保護に関する検討小委員会」を設置し、本学の個人情報保護に関する規定の制定に向けて作業を開始した。
 2002年3月、「個人情報の保護に関する法律案」が国会に提出され、同年5月30日付で法律の制定施行が確定的となったことから、これまで本学で検討を進めてきたことを「個人情報の保護に関する規程」として、本学は2002年4月1日に制定、施行した。
 また、「個人情報の保護に関する規程」の施行に併せ、全事務部署を対象に本学が保有するすべての個人情報の種類、用途、その管理方法等について実態調査を行い、個人情報を記載した帳票、並びに所定様式をすべて収集した。そして、本学が保有する個人情報と、個人情報の適正管理のための改善課題の洗い出しを実施した。


2.個人情報の保護に関する規程のポイント

 本学「個人情報の保護に関する規程」について、ポイントを5点に絞って各条文とともにその取扱いを紹介するとともに、具体的なご意見、あるいはご指摘をいただきたい。

(1)対象者

第2条 個人情報とは、次に掲げる者及びそれに関係する情報で、特定の個人が識別され又は識別され得るもののうち、学院が業務上取得又は作成した全ての情報をいう。
  (1)教職員及び学生等並びに学院の構成員である者
  (2)教職員及び学生等並びに学院の構成員であった者
  (3)前2号に定める者の保証人、父母、家族、親族等
  (4)個人情報の対象者については、別表第1に定めるものとする。

[別表第1 個人情報の対象者]

(1) 上智大学に在籍する学生、交換留学生、特別聴講生、科目等履修生及び聴講生
(2) 上智大学大学院に在籍する学生、交換留学生、特別聴講生、科目等履修生、聴講生及び研究生
(3) 上智短期大学に在籍する学生、科目等履修生及び聴講生
(4) 上智社会福祉専門学校に在籍する学生及び聴講生
(5) 上智大学、上智大学大学院、上智短期大学、上智社会福祉専門学校を離籍した者
(6) 第1号から第5号に掲げる学生等の保証人、父母及び家族又は親族
(7) 上智大学、上智大学大学院、上智短期大学、社会福祉専門学校の入学志願者及び出願者
(8) 上智学院が雇用している又は雇用していた教員及び職員
(9) 前号に掲げる者の保証人、家族又は親族
(10) 上智学院の役員
(11) 教員及び職員の採用応募者
(12) 上智大学、上智大学大学院、上智短期大学及び社会福祉専門学校に在籍する研究員、その他雇用以外の身分により教育研究活動に従事する者、又は従事した者
(13) 上智大学、上智大学大学院、上智短期大学及び社会福祉専門学校が開催する公開講座、講演会、その他の催し物の受講希望者、受講者及び参加者
(14) 上智学院に寄付又は寄贈した者
(15) 上智学院の施設設備等を利用する団体の責任者及び申込者または個人
(16) 第1号から第14号以外の者で、上智学院、上智大学、上智大学大学院、上智短期大学及び社会福祉専門学校に対して、照会、問合わせ、意見、質問、要求、要望等、通常の事務手続、所定様式の文書提出以外の方法により行う者

 学校法人は、現に在籍する学生や在籍する教職員以外に、きわめて多くの者の個人情報を保有している。このため、保護すべき個人情報の対象者を主要な者としながらも、別表において想定し得る限りの対象者を網羅することとした。

(2)個人情報の対象範囲

第2条の4 保護の対象とする個人情報の項目については、別表第2のとおりとする。

[別表第2 保護の対象となる個人情報項目]

  1. 学院が設置する学校に在籍する学生等[別表第1(1)、(2)、(3)、(4)対象者]
     身元・身上情報、学歴・学位情報、保証人情報、家族・親族情報、健康管理・医療情報、金融・信用情報、社会保険情報、学籍情報、履修・成績情報、学費納入情報、求職・進路指導情報、進路先・勤務先情報、奨学生(応募)情報、課外活動情報、施設設備利用情報、図書館利用情報、賞罰情報、免許資格情報、コンピュータ利用情報

  2. 学院が設置する学校を離籍した学生等及びその保証人、父母、家族並びに親族[別表第1(5)対象者]
     身元・身上情報、学歴・学位情報、保証人情報、家族・親族情報、健康管理情報、医療情報、金融・信用情報、社会保険情報、学籍情報、履修・成績情報、学費納入情報、進路指導情報、進路先・勤務先情報、奨学生(応募)情報、課外活動情報、図書館利用情報、賞罰情報、免許資格情報

  3. 学院が設置する学校に在籍する学生等の保証人、父母及び家族または親族[別表第1(6)対象者]
     身元・身上情報

  4. 学院が設置する学校の入学志願者等[別表第1(7)対象者]
     身元・身上情報、学歴・成績情報、保証人情報、志願情報、入学試験等成績情報、入学試験等選考・判定情報

  5. 学院が雇用している、または雇用していた教員及び職員[別表第1(8)対象者]
     身元・身上情報、学歴・学位情報、職歴情報、保証人情報、家族・親族情報、雇用情報、任用情報、給与情報、金融・信用情報、税情報、社会保険情報、健康管理情報、医療情報、賞罰情報、免許資格情報、教育研究実績情報、コンピュータ利用情報

  6. 学院が雇用している、または雇用していた教員及び職員の家族または親族[別表第1(9)対象者]
     身元・身上情報

  7. 学院の役員[別表第1(10)対象者]
     身元・身上情報、学歴・学位情報、保証人情報、家族・親族情報、健康管理情報、医療情報、金融・信用情報、社会保険情報、勤務先情報、賞罰情報、免許資格情報

  8. 教員及び職員採用応募者[別表第1(11)対象者]
     身元・身上情報、学歴・成績情報、医療・健康情報、賞罰情報、免許資格情報、教育研究実績情報、採用試験等選考情報

  9. 学院が設置する学校に在籍する研究員等[別表第1(12)対象者]
     身元・身上情報、学歴・学位情報、職歴情報、任用情報、給与情報、金融・信用情報、税情報、社会保険情報、健康管理情報、医療情報、賞罰情報、免許資格情報、教育研究実績情報、コンピュータ利用情報

  10. 公開講座受講者等[別表第1(13)対象者]
     身元・身上情報、履修成績情報、受講料等納入情報、図書館利用情報

  11. 学院への金品の寄付・寄贈者[別表第1(14)対象者]
     身元・身上情報

  12. 学院の施設設備等の利用者[別表第1(15)対象者]
     身元・身上情報、職業情報、施設設備利用情報、図書館利用情報

  13. その他、学院に問合わせ等を行う者[別表第1(16)対象者]
     身元・身上情報

 個人情報保護の対象者に対応して、対象者毎に、保護すべき個人情報の種類を別表として明記した。

(3)個人情報管理者

第7条 学院は、本規程の目的を達成するため、個人情報毎に、個人情報管理者(以下「管理者」という。)を置く。
管理者は、学部長、学科長、研究科委員長、専攻主任、研究所長、センター所長、科長、事務部署の長、その他学院が指名する者とする。

 個人情報取扱事業者は学校法人であり、個人情報の保護の最終的な責任は学校法人にあるが、個別的な個人情報の保護や安全管理のために、個人情報毎に「個人情報管理者」を置くこととした。
 なお、教員は、教育活動や授業運営のために試験答案、論文、レポート等の個人情報を記載した資料を保有する必要があることから、個々の教員も当該資料に関する限り「個人情報管理者」と見なすものとした。

(4)本人同意

第9条 本人の同意の方法については、次の各号に掲げるものとする。
  (1) 個人情報を記載する所定の紙媒体または電子媒体の様式に、第8条第3項に掲げる事項を明記した上で本人が個人情報を提供した場合は、同意したものとする。
  (2) インターネットを経由して大学ホームページ等から個人情報収集する場合は、第8条第3項に掲げる事項を明記した上で本人が個人情報を提供した場合は、同意したものとする。
  (3) 本人の同意の方法については、前2項の定めを原則とするが、本人の意思により、 前2項の定めによらず口頭及び電話等での情報提供がなされた場合は本人が同意したものとみなす。


第10条 第8条第3項の定めにかかわらず、次に掲げる各号に該当する場合は、本人の同意を要しないものとする。
  (1) 上智大学、上智大学大学院、上智短期大学、上智社会福祉専門学校に在籍する学生等にあっては、学則に規定されるものの他、教育研究上または在籍する学校から便宜または利益を得るために必要な手続等のために提供する個人情報
  (2) 教員が専ら本人に対する教育的活動を遂行するために本人から収集し、本人の利益を不当に侵害しないと認められる個人情報

 個人情報の収集は、国の法律に従って行うが、本人同意の方法については若干の工夫をした。事業目的が教育、研究活動である大学において、提供された個人情報が教育、研究活動に円滑、かつ有効的に利用されること重要となる。そのことから、例えば、学生本人にあらかじめ提示した学則やその他の規程によって、そのことが学生本人にとって合理的に想定され得る範囲にある場合は、個人情報の利用目的を例示的あるいは包括的に明示することで足りるとした。

(5)学外への個人情報の持ち出し制限

第14条 個人情報は、原則として学外へ持ち出してはならない。ただし、個人情報を使用する業務を学外に委託するときは、この限りでない。
第1項の定めにかかわらず、教員が授業運営にかかる資料、試験答案、論文、レポート、その他の授業運営に必要な資料で、教員が正当な教育活動の遂行に必要な場合は、学外持ち出し制限の適用除外とすることができる。
前項の場合、教員を当該個人情報にかかる個人情報管理者と見なし、前2条に規定する責務を負わなければならない。ただし、次条の規定は適用しない。

 個人情報を記載した書類、電子データ等の大学外への持ち出し制限は、個人情報の安全管理上必要不可欠な措置であるが、教員が教育、研究活動や授業運営上必要な試験答案やレポートその他の資料を自宅や本務校等に持ち帰ることを制限することは、正常な教育活動を遂行する上で必要不可欠である。このため、大学外への個人情報の持ち出し制限について例外規定を設けた。
 しかしながら、USBメモリーでの持ち出しやネットワークでの大容量データの流通は、個人情報の紛失や盗難に備え、最低限、暗号化するなど方策を講ずる検討する時期にある。


3.本学における個人情報保護の基本的方向と適正管理の実現

 教育事業体である大学は、大学構成員の善良な意志を前提として運営されている。
 しかし、情報処理技術の進展が個人のプライバシーや権利・利益の侵害に大きな影響を及ぼす恐れが高くなったこと、個人情報が利益を生み出す社会的な商品価値を有するとの認識が浸透したことなどから、従来のように、大学構成員や卒業生の善意と信頼関係だけに頼ることには限界があり、個人情報の保護のために一定のルールが必要不可欠の時代となったことは間違いない。
 とは言え、個人情報の保護が大学の事業活動を阻害するようなことはあってはならい。大学は、学生に関わる様々な個人情報を保有しているが、これはもっぱら学生の教育に資するためであって、大学が自らを利するためではない。それ故、大学は、個人情報の保護に今まで以上に留意しつつも、大学における教育研究活動が、従来同様に継続できるように配慮することが何よりも最も重要である。
 また、そのためには個人情報の取扱いについて、個人情報の管理者をはじめ大学構成員一人ひとりが、普段から個人情報の適正管理を心がけ、それを実現することが不可分となることは言うに及ばない。

文責: 上智大学前総務局総務・経営企画 グループ長
(現上智大学国際学術情報局次長) 佐藤 哲彦


【目次へ戻る】 【バックナンバー 一覧へ戻る】