"個人情報の不適切管理"報道への対応策を考えてみる

今回は前回の「"個人情報の不適切管理"報道を整理してみる」で書いた課題に関し、対応策を考えてみます。
今週は早めの夏休みでお休みをもらっており、確保できている1時間一本勝負で書いてみます！

おさらい。個人情報の不適切管理報道の整理。

改めて"個人情報の不適切管理"報道を整理したnoteは以下です。

問題と思われる部分をまとめると以下です。

• アプリ事業者が、個人情報を直接取得しており、学校教育として本来は行政が監督すべき情報の管理・利用に関与できていない

• 事業者が利用目的を開示し同意を求めているが、全ての児童生徒が授業等で使う前提のため、実質的には同意を拒否できない

• 上記の組合せで、本人同意の前提に懸念があるなか、行政が関与できない状況で、海外事業者委託や学校教育以外での利用の懸念がある

突き詰めると、学校設置者とアプリ事業者の契約方法・内容に起因し、学校教育に適した情報管理ができなくなる可能性がある、ということになります。

ということは、学校設置者がアプリ事業者とどのように契約するのか、をガイドすれば良さそうです。

教育データの利活用に係る留意事項

その「学校設置者がアプリ事業者とどのように契約するのか、をガイド」については、文部科学省が「教育データの利活用に係る留意事項」としてまとめています。

教育データの利活用に係る留意事項について：文部科学省

詳細は上記リンクを見ていただけたらと思いますが、内容としては以下として説明されています。

本留意事項は、初等中等教育段階の公立学校の教職員、教育委員会の職員等が、児童生徒本人の教育データ（デジタルデータ）を取り扱う際に留意すべき事項についてまとめたものです。教育委員会や学校においては、安全・安心に教育データを利活用するために、ぜひ本留意事項をご活用いただき、個人情報の適正な取扱い等を徹底してください。

教育データの利活用に係る留意事項について：文部科学省 (mext.go.jp)

まさに教育委員会や学校が、どのように個人情報を取り扱うのかをまとめたもので、契約内容についてもまとまっています。
ってことはこれで対応策はこれでOK？

仕組みで解決する手段を考えたい

個人情報の取り扱い方法の留意事項をまとめて周知徹底する、は対応策としては王道なのですが、これで万事うまく運用されるかと言うと、なかなか難しいのでは、と個人的には思います。

前回の「"個人情報の不適切管理"報道を整理してみる」では、以下のように書いていました。

半分暴言かもですが、正直、事業者はまだしも、教育委員会や学校がこの辺りを全て理解して契約をすることなんて現実的じゃない、と感じています。
本来は契約者はきちんと理解して契約しなきゃいけないのは理解していますが、さすがに知るべきこと多すぎで限界を超えている感があります。
なので、この手のことを周知し知識を伝えることはやりつつも、担当者の努力ではなく、仕組みで解決する方法を提案したいと思います。

学校設置者＝教育委員会の方って現場先生と一緒で、やること多すぎでオーバーロードしています。
なので、仕組みで解決できる案を提示してみたいと思います。

ソフトなものからハードなものまで対策案

ソフト（規制のかけ方が弱い＆仕掛けをつくるのが容易）なものから順番に、ざっと考えると

① 全国共通のチェックリストを設ける
② ①に加えて、違反者を排除できる仕組みを設ける
③ 法律で規制をかける

あたりなんかじゃないかと考えています。
それぞれ、簡単に解説してみます。

①全国共通のチェックリストを設ける

こちらは既に文部科学省が「教育データの利活用に係る留意事項」をまとめてくれているので、それを踏まえた契約時のチェックリストをつくる感じです。
こうやって書くと「じゃあ国が作ってよ」となりがちですが、叩き台なら誰でもすぐに作れたりします。
こういう時こそ生成AI。ChatGPTを使い、上記の「教育データの利活用に係る留意事項」と問題を指摘した記事を学習してもらい、チェックリストをつくってみます。

っで、20分かけて叩かれ台をつくってみましたー

Google Sheets: Sign-in

ChatGPTと格闘（プロンプトを調整）すること10分、結果をスプレッドシートの形式にまとめること10分、計20分で完成です。
うーむ、1時間一本勝負で作成する記事の20分をここで消化してしまった…。

例えばこんなチェックリストを調達（契約）時に提示し、アプリ提供事業者に書いてもらうなんてのはどうでしょうか。
未チェックの場合には代替策を書いてもらい、それが自治体（学校）として受け入れ難い内容であれば、契約（入札参加を許容）しない、みたいな方法です。

これが全国共通だと、提供事業者としても個々に回答しなくて良くなるので、とても助かったりします。

② ①に加えて、違反者を排除できる仕組みを設ける

①が全国共通のもので作れたとして、あくまで事業者の宣言となっているため、虚偽の記載による問題を抑止できません。

抑止の方法として考えられるものとしては

1. 事業者への監査を実施する（事前＆定期）

2. 問題発覚した場合の申告先を設ける（事後）

あたりがあります。
ISMS認証やプライバシーマークのようなものが前者。
フリマアプリの違反品出品の通報制度のようなものが後者。

影響範囲を考えると本来は前者でやるべき内容ですが、仕組みづくりがとても大変。個人的には、後述する罰則内容次第で後者でも一定程度機能すると思っており、コストのバランスを考えるとアリなのでは、と思っています。

もし違反が発覚した場合の罰則は、例えば一定期間ブラックリストに載る＝学校教育市場での契約ができなくなる、みたいなものが考えられます。
※いきなり提供不可、とすると現場が混乱してしまうので。

この辺りは、システム屋からするとID連携によるトラストフレームワークとかでシステマチックに排除（BAN）できると現場の負荷が下げられるのですが、、

エコシステム拡大を支える「デジタルIDのトラストフレームワーク」

この辺も実は、学習eポータル構想の意義の1つ（でほとんど語られていない）だったりするのですが、この話題だけで1つの記事書けちゃう内容なので、いつか機会があればと。
ちなみに高等教育（≒大学）では、国立情報学研究所（NII）が運営する学認でトラストフレームワークが運用されていたりしています。
※興味がある方は以下の動画などで

③ 法律で規制をかける

最後の一番ハードな案は、法律で規制をかける、です。
前回紹介した以下の米国COPPAや、欧州のGDPRなどが例です。

Children's Online Privacy Protection Act - Wikipedia

法律で子どもに対するデータ保護の規定を設け、違反した場合は多額の罰金を支払う仕組み。

世の中的には「法を作ってしまえー」的な声も多いですが、原則やベースとなる内容・方向性を示す法をつくることは賛成ですが、実態の運用を考えると法だけでは不足しているように思えます。
日々、技術などの外的要因が変わる中で、法のみで対処してもイタチごっこのスピードに法では追いつけない可能性が高いためです。
なので、法の議論を行いつつ、①やできれば②まで含めて考えていくのが良いのでは、と感じています。

おわりに

っとここで、1時間経ってしまったのでタイムオーバー（実態は65分なので5分オーバー）。
時間制限ありの一気書きなので、誤字脱字や書き漏れなどあった場合もご容赦ください。
タイトル画像はこの後、この記事を読み込ませて良い感じの画像つくって、と生成AIに依頼した1つ目を雑に埋め込んでおきますｗ

私見ですが、この手の対策って「そういうのは国がやれー」ってなりがちだと感じています。
でも、良い仕組みって誰かにつくってもらうものではなく、自分からつくりにいくこともできるはず。
多くの人が当事者になって仕組みづくりに参画する、そうなると実運用時に最も適切に運用できる、と自分は信じています。

今回の内容がその一助になれば幸いですー

ではまた！
来週こそは夏休みにして、再来週の日曜日に。書けたらですが（言い訳）