◆ 生徒の個人情報のセキュリティは大丈夫か?
コロナ危機でGlGAスクール構想が加速しつつあります。「一人1台のPC」と高速大容量の通信ネットワーク環境を利用して、個人の理解に応じた「個別最適化」学習の実現、そこに民間企業参入のチャンスを与えるというものです。
生徒の個人情報の取り扱い、セキュリティはどうなるのでしょう。
1 神奈川における生徒の個人情報の取り扱いの現状は?
神奈川県では対策重要度ごとに管理方法を変えています。とりわけ機密性の高い入試、成績関連、進路、生活指導、健康診断、図書貸し出しなどのデータは対策重要度Ⅰとして分類し、教育委員会ネットワーク暗号化システムで一元管理し、それ以外のⅡ、Ⅲ、Ⅳは校内サーバに保管されることになっています。
2022年にはネットワークセンターへの集約も準備されているとのことですが、このセンターがどこを意味するのかはわかりません。
もともと、生徒に関する個人情報の一元管理は「セキュリティ確保目的」であり、「非識別加工での利活用は想定していない」と県教委は私たちに回答しています。
また、個人情報保護法における要配慮個人情報(利用目的の明示および本人の事前同意が必要)はどのようなものかとの質問に対しては「生徒指導要録」や「健康診断票」を例としてあげています。同時に前者はデジタルではなく紙ベースで保管しているとも回答しています(2018年11月)。
今後全国でICTを使った教育が進められそうですが、個人情報やセキュリティがどのように扱われるのか、実証事業を通じて見てみたいと思います。
2 スマートスクール実証事業を見ると
2017年度から総務省が中心となり、スマートスクール案証事業が各地で行われています。
そこでは、個々の様々な情報が収集され、教育活動により新たにつくられた情報が保管、蓄積されることになります。
ここで使うソフトや生徒の膨大な個人情報はどこに置くのだろうということが気になります。
2019年3月の実証事業校の報告を見ると、民間のプライベートクラウドやパブリッククラウドを使う事例が多いようです。
しかし、これについては個人情報保護法や条例上クリアしなくてはならないことが多いと見られます。
https://www.idcf.jp/cloud/column/public_private.html
大阪市の2019年度報告をみると「パブりッククラウド活用にあたり、既存のガイドラインや事例だけでは、個人情報審議会において、多くの懸念を払拭できなかった。パブリッククラウド活用にあたるルールメイキングが必要。」とあります。
その他の地域の報告でも個人情報保護上の問題が指摘されています。
そういったことが影響したのか、文科省は昨年(2019年12月)「教育情報セキュりティポリシーに関するガイドライン」を民間のクラウドが使いやすいように変更してしまいました。
3 生徒の個人情報を利活用するためガイドラインを変更
しかも、今までのガイドラインの本体であった「第2章情報セキュリティ対策基準」は格下げの「参考資料」とし、それを念押しした上で、セキュリティについては教育委員会に丸投げしています。
その理由は、今までのガイドラインはセキュリティ対策に力点が置かれ過ぎていて、教育情報活用に硬直性が生じている、というものです。
しかし、この理由はひどすぎます。
そもそも、ガイドライン自体、セキュリティ確保を目的としたのであり、利活用を想定していないので当然のことです。
この理屈だと、利活用のためにセキュリティの方が後退していくことになりかねません。
生徒の個人情報の中には要配慮個人情報に相当するものもあるはずです。
4 学校は情報収集・提供の場?
日本の資本主義の生き残り政策としてある規制緩和は、とうとう教育と個人情報まで食い荒らし始めました。
総務省と並んで経産省はEdTechを推進しています。
教育ソフトを開発する民間産業の教育への参入を促し、現在の教室での学習形態を大きく変える「未来の教室」を提案しています。
実証事業報告をみていると、生徒個々人が一人の人間というよりデータの塊のように見えてきます。
これこそほしいのではないか、だからマイナンバーと紐付けしようとしているのではないか、そんな気がしてきます。
政府や企業のために学校の場があるのではありません。
神奈川県が今後ICTを使った教育をどうするのかしっかり見守っていかなくてはなりません。
『(神奈川)個人情報保護条例を活かす会 No.38』(2020/10/3)
外山喜久男(個人情報保護条例を活かす会)
コロナ危機でGlGAスクール構想が加速しつつあります。「一人1台のPC」と高速大容量の通信ネットワーク環境を利用して、個人の理解に応じた「個別最適化」学習の実現、そこに民間企業参入のチャンスを与えるというものです。
生徒の個人情報の取り扱い、セキュリティはどうなるのでしょう。
1 神奈川における生徒の個人情報の取り扱いの現状は?
神奈川県では対策重要度ごとに管理方法を変えています。とりわけ機密性の高い入試、成績関連、進路、生活指導、健康診断、図書貸し出しなどのデータは対策重要度Ⅰとして分類し、教育委員会ネットワーク暗号化システムで一元管理し、それ以外のⅡ、Ⅲ、Ⅳは校内サーバに保管されることになっています。
2022年にはネットワークセンターへの集約も準備されているとのことですが、このセンターがどこを意味するのかはわかりません。
もともと、生徒に関する個人情報の一元管理は「セキュリティ確保目的」であり、「非識別加工での利活用は想定していない」と県教委は私たちに回答しています。
また、個人情報保護法における要配慮個人情報(利用目的の明示および本人の事前同意が必要)はどのようなものかとの質問に対しては「生徒指導要録」や「健康診断票」を例としてあげています。同時に前者はデジタルではなく紙ベースで保管しているとも回答しています(2018年11月)。
今後全国でICTを使った教育が進められそうですが、個人情報やセキュリティがどのように扱われるのか、実証事業を通じて見てみたいと思います。
2 スマートスクール実証事業を見ると
2017年度から総務省が中心となり、スマートスクール案証事業が各地で行われています。
そこでは、個々の様々な情報が収集され、教育活動により新たにつくられた情報が保管、蓄積されることになります。
ここで使うソフトや生徒の膨大な個人情報はどこに置くのだろうということが気になります。
2019年3月の実証事業校の報告を見ると、民間のプライベートクラウドやパブリッククラウドを使う事例が多いようです。
しかし、これについては個人情報保護法や条例上クリアしなくてはならないことが多いと見られます。
https://www.idcf.jp/cloud/column/public_private.html
大阪市の2019年度報告をみると「パブりッククラウド活用にあたり、既存のガイドラインや事例だけでは、個人情報審議会において、多くの懸念を払拭できなかった。パブリッククラウド活用にあたるルールメイキングが必要。」とあります。
その他の地域の報告でも個人情報保護上の問題が指摘されています。
そういったことが影響したのか、文科省は昨年(2019年12月)「教育情報セキュりティポリシーに関するガイドライン」を民間のクラウドが使いやすいように変更してしまいました。
3 生徒の個人情報を利活用するためガイドラインを変更
しかも、今までのガイドラインの本体であった「第2章情報セキュリティ対策基準」は格下げの「参考資料」とし、それを念押しした上で、セキュリティについては教育委員会に丸投げしています。
その理由は、今までのガイドラインはセキュリティ対策に力点が置かれ過ぎていて、教育情報活用に硬直性が生じている、というものです。
しかし、この理由はひどすぎます。
そもそも、ガイドライン自体、セキュリティ確保を目的としたのであり、利活用を想定していないので当然のことです。
この理屈だと、利活用のためにセキュリティの方が後退していくことになりかねません。
生徒の個人情報の中には要配慮個人情報に相当するものもあるはずです。
4 学校は情報収集・提供の場?
日本の資本主義の生き残り政策としてある規制緩和は、とうとう教育と個人情報まで食い荒らし始めました。
総務省と並んで経産省はEdTechを推進しています。
教育ソフトを開発する民間産業の教育への参入を促し、現在の教室での学習形態を大きく変える「未来の教室」を提案しています。
実証事業報告をみていると、生徒個々人が一人の人間というよりデータの塊のように見えてきます。
これこそほしいのではないか、だからマイナンバーと紐付けしようとしているのではないか、そんな気がしてきます。
政府や企業のために学校の場があるのではありません。
神奈川県が今後ICTを使った教育をどうするのかしっかり見守っていかなくてはなりません。
『(神奈川)個人情報保護条例を活かす会 No.38』(2020/10/3)
※コメント投稿者のブログIDはブログ作成者のみに通知されます