MediaNet メディアネット
ホームへリンク
最新号へリンク
バックナンバーへリンク
執筆要項へリンク
編集員へリンク
用語集へリンク
慶應義塾大学メディアセンター
メディアセンター本部へリンク
三田メディアセンターへリンク
日吉メディアセンターへリンク
理工学メディアセンターへリンク
信濃町メディアセンターへリンク
湘南藤沢メディアセンターへリンク
薬学メディアセンターへリンク
ナンバー12、2005年 目次へリンク 2005年10月1日発行
特集 メディアセンターにおけるリスクマネジメント
個人情報保護対応について
佐藤 康之(さとう やすゆき)
メディアセンター本部課長
河野 江津子(こうの えつこ)
メディアセンター本部係主任
全文PDF
全文PDFへリンク 287K

1.はじめに
 近年におけるIT化の進展は,様々な恩恵をもたらす一方でコンピュータやネットワークを介して大量の個人情報の処理を可能とし,これらの誤った使用や犯罪による被害に対する一般消費者の不安を増大させた。一方で企業などの組織体においては,個人情報の漏洩による事故や内部犯罪が,財務的な損失をもたらすだけでなく,社会的な信用やブランドに致命的なダメージとなる場合もあり,個人情報の保護が危機管理の主要な課題と位置づけられている。
 このような状況を踏まえIT社会における制度的基盤の構築を求めるOECDの勧告を受けて,わが国では平成15年5月に「個人情報の保護に関する法律(以下,個人情報保護法)」が成立・公布され,平成17年4月より,この法律における個人情報取扱事業者に対する義務規定が全面施行となった。
 これにより学校法人慶應義塾(以下,義塾)は,塾生情報(5万人),塾員情報(30万人),病院患者情報(155万件)を保有し事業展開を行う個人情報取扱事業者となり,利用目的の通知や安全管理,第三者提供の制限などの義務が課せられることとなった。
 本稿では個人情報保護法の全面施行を受けて,義塾のこれまでの対応と,これを補完したメディアセンターの対応を紹介する。最初に平成16年末に設置された「個人情報保護対応プロジェクトチーム(以下,プロジェクト)」における全塾的な対応について佐藤が担当し,引き続きプロジェクトを受けてメディアセンター内に設置された「個人情報保護担当者会議」での議論を経たメディアセンターとしての対応を河野が担当する。

2.プロジェクトの設置
 義塾における個人情報保護対応は,職員対象の勉強会の開催,塾内広報誌『OPEN』に関連記事が掲載されるなど平成15年後半から開始された。その後,学事センターや塾員センターなど一部の部門で全塾対応に先行する形で独自の対応が進められていたが,平成16年11月に工藤常任理事の下にプロジェクトが設置され,全塾対応が本格化した。プロジェクトには職員組織ほぼ全ての部門からメンバーが招集され,メディアセンターからはメディアセンター本部の担当者が参加することとなった。
 本プロジェクトのミッションは,義塾の個人情報保護に関する基本方針の宣言書である「慶應義塾個人情報保護基本方針(以下,「基本方針」)」と,それに基づく具体的な対応を規定した「慶應義塾個人情報保護規程(以下,「規程」)」の検討であった。

3.「基本方針」及び「規程」の検討と制定
 プロジェクトの冒頭で,その方向性として,個人情報保護法により適切な個人情報の活用が阻害されることのないように,法律を遵守した運用を展開し,積極的に個人情報を活用して義塾の事業の発展に寄与することが確認された。この考え方は「基本方針」に盛り込まれ,義塾の個人情報保護対応の柱の一つとなっている。
 「基本方針」では,義塾の建学の精神である「独立自尊」の理念に基づいて,個人の人格を尊重し,この人格の尊厳に由来するプライバシーを擁護する立場が表明されている。また関連法令の遵守を前提とした個人情報の活用と安全管理の励行を表明し,具体的な規程の制定や組織体制の整備を約束している。
 「規程」の検討については,個人情報保護法の全面施行に伴い,関係省庁が制定したガイドラインを参考とする方向で進められた。文部科学省は平成16年11月に「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」を発表し,平成17年1月にはその解説を発表している。また経済産業省では平成16年10月に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を告示しており,多様な事業を展開する義塾としては文部科学省のガイドラインを踏まえた上で,必要な箇所では経済産業省のガイドラインを参考とするなど,「規程」として必要な事項を盛り込みながら検討が進められた。なお医学部や大学病院のある信濃町地区では,これら省庁のガイドラインのほかに厚生労働省のガイドラインや各医科学系学会の倫理規定や医学部独自の倫理規定など,より厳しい事項を盛り込む必要があり,別途「慶應義塾医療個人情報保護規程」として整備することとなった。この検討作業は信濃町地区で独自に進められた。
 一般に個人情報保護取扱事業者に求められる義務事項には以下の点が挙げられている。
(1)利用目的の特定,利用目的の制限
(2)適正な取得,取得に際しての利用目的の通知
(3)正確性の確保
(4)安全管理措置
(5)第三者提供の制限
(6)開示,訂正,利用停止など
(7)苦情の処理
 「規程」には,これらの点について義塾の事業を考慮した条項として盛り込まれている。また部門毎に異なる詳細な内容については,それぞれの部門においてマニュアルの整備など必要な措置が取られることになっている。
 これらの基本方針や規程は,平成17年3月の常任理事会において制定され,同年3月25日に塾報に掲示,3月31日には義塾の公式ホームページ上で一般に公表された。同時に「塾生,保護者・保証人の皆様へ」と題する通知文書が関係者に送付され,塾内学生用掲示板に掲示された。なお4月に入ってから規程細則が追加制定された。

4.組織的な対応
 個人情報保護に実質的な効果をもたらすためには,前述のような規定の整備に加え,これを経常的に運用・維持するための組織体の整備が不可欠とされている。「基本方針」及び「規程」では以下の組織体がこれにあたることになっている。
(1)個人情報保護統括管理責任者
(2)個人情報保護部門管理責任者
(3)個人情報保護管理室
(4)個人情報保護委員会
(5)業務監査室
 義塾を代表する個人情報の管理責任者は統括管理責任者であり,常任理事1名がこれにあたる。各部門に設置される部門管理責任者は,各部門の管理責任を委譲され,必要な管理義務を負うこととなる。個人情報保護管理室は,全塾の相談・報告窓口として日々発生する事案に対応することになる。個人情報保護委員会は重大な案件の判断を行なうとともに,「規程」などの整備を担当する。
 万が一,個人情報の漏洩などの事件が発生した場合,職員は所属長を経由して部門管理責任者へ報告することにより,個人情報保護管理室,統括管理責任者へ伝達され適切な処置が指示されることになるだろう。この組織体の整備により義塾の個人情報保護対応に関する基盤は正式に整備されたといえる。

5.啓蒙活動
 義塾の個人情報保護対応は平成16年11月より足早に整備され,平成17年4月の時点で必要な基盤の整備がほぼ完了した。しかし個人情報保護対応で最も重要な部分は,義塾関係者がこれを理解し日々の事業活動の中で形にすることである。
 この点で塾内各部門に対する啓蒙活動は重要であり,その第一弾として平成17年5月には部門管理責任者を対象として,「個人情報保護に関わる説明会」が三田と日吉の両キャンパスで開催された。この説明会には部門管理責任者だけでなく多くの職員が参加し,関心の高さを象徴する形となった。この説明会にあわせて「慶應義塾個人情報保護ハンドブック(一般個人情報編)」が配布された。ハンドブックには各種規程や参照文献が網羅されただけでなく,業務委託に関連する契約書の雛型やQ&A集が掲載され,内容の濃いものとなっている。このハンドブックが活用され,義塾の個人情報の保護と積極的な活用が前進することを期待したい。

6.個人情報保護担当者会議の発足
 プロジェクトで「基本方針」及び「規程」の整備が進められるのと並行し,平成17年4月の法律施行に間に合うように,メディアセンター内での対応を検討する必要があった。このため,プロジェクトのメンバーである本部の佐藤康之,加藤孝明のほか,各地区からの担当者による個人情報保護担当者会議を平成17年1月に発足させた。
 会議は平成17年1月18日に初回を開催し,その後約1ヶ月に1度の割合で4月に向けてのアクションプランの策定を行った。

7.利用者への広報文書の作成
 第一に必要なのはメディアセンターにおける個人情報の取扱いについて利用者に周知することである。
 基本原則は「規程」に則ることになるが,メディアセンター固有の「利用目的」「取得方法」「第三者開示」について明示した広報文書の作成が必要となる。4月の法律施行に間に合うようにこの文書の作成を進めることとなった。
 前提として,まずはメディアセンターで業務上扱う個人情報についてインベントリーを行った。
 情報の取得方法としては,図書館システムKOSMOSに在籍者データを一括登録するために人事部や学事センターなど他部署から提供を受ける場合と,帳票や申込書,Webフォームへの記入により利用者本人から直接収集する場合がある。
 取得した個人情報は貸出やILL(図書館間相互貸借)等の図書館サービス提供のために使用されるが,延滞督促の連絡で保証人に伝言したり,ILLの申込みの際に依頼館に対して申込者を明らかにすることもあり,これらは第三者開示に当たることになる。
 以上を盛り込んだ上で,「慶應義塾大学メディアセンターにおける個人情報の取扱いについて」という文書をまとめ,3月31日付でメディアセンターのWebサイトに公開した。また,館内のエレベータ内や掲示板等にも掲示して周知を図っている。
 (URL:http://www.lib.keio.ac.jp/jp/kojinjoho/)

8.スタッフへの周知
 利用者に対するだけでなく,実際に現場で働くスタッフにも,具体的にどんなことに注意して業務を遂行する必要があるかを周知・徹底する必要がある。
 例えば,カウンターでコンピュータのディスプレイが第三者に見えないように工夫する,書類や帳票類は利用者の目に触れない,手の届かない場所に置く,各種呼び出し掲示でその内容が第三者に見えないようにするなど,業務に即した事例を挙げて説明するガイドラインがあれば,外部委託のスタッフにも理解しやすい。個人情報に関する利用者からの問い合わせ,万が一漏洩事故が発生した場合の連絡経路についても明確にしておく必要がある。
 これらを盛り込んだ「個人情報保護に関する注意事項」を3月18日付で作成し,地区ごとの啓蒙活動用の資料とした。従来から行っている対策も多かったが,文書による再確認で個人情報の重要性が再認識されたものと思われる。
 また,個人情報の管理に当たってはコンピュータのセキュリティに関する意識を高めることも重要である。個人情報の含まれるデータを安全でない場所に保存したり,記録媒体を使って気軽に自宅へ持ち帰ったりすることは避けるべきである。故意にではなく,ウィルス感染によって情報が外部に漏れ出す危険も存在する。
 これらに対する注意事項をまとめたガイドラインは本部システム担当が作成している。コンピュータに関する物理的な対策や,安全管理のために心がけること(フォルダのアクセス権限を明確にする,パスワードは厳密に管理し定期的に変更する,離席の際にはロックをかけておくことなど)が詳しく挙げられている。ただし,担当者会議での議論が未完であり,この先全塾のシステム関連ガイドラインが発表されるまで,暫定的に対応を進める予定である。
 スタッフ間の情報共有の手段として,今後発生する関連事例やQ&Aを盛り込んだオンライン掲示板を作成し,全地区から参照できるような運用を目指している。

9.その他
 上記のほか関連して行った対策を以下に紹介する。
・帳票の管理
 各地区で使用中の帳票や各種申込用紙について,個人情報を記入させる必然性がないものはそれを削除すること,記入が必要なものには,予め利用目的を明示して記入時に承認を得られるようにすること,保存年限を決めて不要なものは廃棄すること,保存する場合には簡単にアクセスできないような環境を整備することといった対応案が出され,地区ごとに見直しを行った。5月の時点で,帳票の改訂や,カウンター内での置き場所の変更などの対策が取られたことが報告されている。カウンターにシュレッダーを置き,処理の済んだ帳票はその場で裁断するという地区もあった。
・名簿・卒業アルバムの管理
 名簿については,義塾関連の名簿,雑誌や年鑑類の付属資料として届く学協会の会員名簿,また一般に市販されている名簿に大まかに分けられる。
 このうち,塾員名簿の提供は平成16年度中からメディアセンターでは中止しており,その他の義塾関連名簿についても同様の措置を取ることとなった。紳士録のような市販されている名簿は一般書店を通して流通しているものであり,従来通り書架で利用できるようにしている。会員や雑誌の購読者のみに配布される学協会員の名簿は書架から引き上げて提供中止とした。今後は法律の流れを受けて,発行元の方でも名簿作成の際に会員に情報公開の事前了解を取ったり,あるいは会員に利用制限を課したりするような運用にシフトすることが予想される。
 卒業アルバムについても個人情報を含む資料として引き上げ,利用に当たっては利用者の所属や目的を確認した上での出納,書面による申請制など地区ごとに対応を定めている。
・業務委託契約の確認
 メディアセンターでは多くの外部委託スタッフが働いている。その委託契約の更新に当たり,業務上知り得た個人情報については守秘義務があること,またそれは委託業務から離れても永続的に有効であることが条項として盛り込まれているか確認した。更新時期によっては,個人情報保護関連の事項のみ「覚書」として取り交わすことも検討されている。
 プロジェクトによる業務委託契約書の標準様式も作成され,「個人情報保護ハンドブック」の中に収録されている。こちらには実際に個人情報そのものを外部業者に渡して業務を依頼する場合の注意についても盛り込まれており参考になる。
・貸出記録の開示
 従来からプライバシー保護という観点で慎重に扱ってきた貸出履歴情報についても,個人情報と同様に保護すると同時に,利用者から開示請求があった場合には提示するべきものと考えられる。
 原則,積極的に開示するという姿勢ではないが,希望があった場合には申請書を提出してもらい,必ず本人であることを確認して受け付けるという仕組みを整えたところである。
 なお,貸出記録については必要以上の期間に渡っての記録保持はせず,例えば利用統計をまとめる年度単位,あるいは1学生が卒業するまでの4年間といったスパンで保存年限を策定してはどうかとする議論も行われている。

10.おわりに
 義塾及びメディアセンターの個人情報保護対応は,スタートラインについたばかりである。基本的な対応は平成17年4月までに概ね済ますことができたとしても,今後日々新しい対応を迫られることが起きるだろう。これらの対応情報を各メディアセンター及び全塾的に共有することが,さらに重要になる。
 今回のプロジェクト及び担当者会議を進める上で,この個人情報保護法の持つ意味を改めて考えさせられることがあった。それは個人情報の定義である。法律では「個人を識別する情報」を個人情報と定義しているが,名前や学籍番号など公知であるが故に意味のある情報もある。一方でメディアセンターの利用者としては,名前や学籍番号などよりも貸出履歴などの他人に知られたくない機微な情報(プライバシー情報)に対する関心が高いと思われる。つまり守ろうとする側と守られたい側に,認識の相違があるように感じられるのだ。
 個人情報保護法の遵守という観点から言えば,プライバシー情報は守備範囲外との見解もあるようだが,実際にガイドラインを考慮する場合にはこの点を考えざるを得ない。事実,一般企業の中では個人情報保護法の全面施行に合わせ,JISの規格する「プライバシーマーク」の取得を目指す例が多い。個人情報を法律の定義よりも,一歩踏み込んで広く解釈し,さらに危機管理の効果を高める意向が感じられる。慶應義塾及びメディアセンターとしても,法律に定義される個人情報にとらわれず,利用者の意思を尊重したプライバシー情報に配慮する観点が,今後も重要ではないだろうか。
 PDFを閲覧するためにはAdobe Readerが必要です このページのトップへ戻る
メインナビゲーションへ戻る
Copyright © 2005 慶應義塾大学メディアセンター All rights reserved.