【学校の個人情報管理について】

学校での個人情報の管理は、利用する教師それぞれの意識にかかっていると思われます。

たとえUSBを金庫に保管しても、LANでつないでサーバーにしか保存しないってことにしても、

私物機を持ち込んでいる以上は、持ち出すことなんてすぐできてしまいます。

使っている人々がどれだけ情報漏えいに対して危機意識を持っているかがカギだと思います。

校長が言っているような、全員のハードディスクの中身をチェックなんて、

無理に決まってます。

その校長レベルの意識ではすぐ漏れそうに思いますが・・・。

http://www.mext.go.jp/b_menu/koukai/kojin/info.htm

根本的な方法を取ることが必要だと思います。

個人のPCを使っていること自体が問題だと感じます。

そして、その個人のPCのHDDを確認したいという人の考えを疑います。

個人のPCを仕事に利用していて、業務上の情報をそれで管理するということは、根本的に間違っています。

ポイントは不要です。

http://q.hatena.ne.jp/answer

ご予算の見積もりが立てられないのは致命的ですね。

ご予算を捻出する事が出来るのであれば、セキュリティの高いサーバーを設置する等の対応が可能

だと思われますが・・・

「ご予算をかけずに」という条件であるなら、やはり教師各個人のモラルを信じるしかないです。

誓約書を書かせて、個人情報を扱っているのだと言う意識を持って頂き、モラル向上に努めるのが最善かと思います。

ＵＲＬはダミーです。

http://www.yahoo.co.jp/

USBメモリも高セキュリティなものが色々と出ています。

パスワードロック、指紋認証、データの暗号化機能のあるもの、管理者用ソフトで限られたPCでしか使えないものなどがありますので、若干単価が高くはなりますが、そういったものを使用してはどうでしょうか？

少なくとも、USBメモリ自体の紛失や盗難による被害は低くなるため、おそらくたいしたセキュリティ対策もしていないインターネットに接続されたPCのHDDにデータ保存するよりかは良いかと思います。

もちろんＵＳＢメモリにすることでデータの持ち出し自体については防げないため、利用者への周知徹底とデータの持ち出しに対する罰則規定を設けるなどして、セキュリティ教育をしっかりしなければならないことには変わりません。

一般企業でもハード的にいくら制限したところで情報流失や紛失が完全に止められているわけではないので、いづれにしてもルール遵守と教育を徹底することに尽きるかと思います。

【製品】

http://www.iodata.jp/promo/security_usbmemory/

http://www.silverstar.co.jp/02products/is_usb/is_usb.htm

http://buffalo.jp/products/catalog/flash/usbflash.html#business

【導入事例】

http://buffalo.jp/download/jirei_pdf/sii.pdf#search='usb%E3%83%A...

「USBメモリを職員に貸与し、個人情報は全てそこに保存。退勤時に金庫に収納」

のルールが守られるならば紛失の心配もないのでは？（校内で無くす可能性はほぼ０では？）

やはり、家に持ち帰らずに作業するのは大変だと思うので、むしろルールを徹底させるのが困難な方法だと思いますね。

気になったのは「対外的な」方策なのか、「実質的な」方策なのかどちらなのでしょうか？

USBメモリの方法は「対外的な」イメージがしますね。（だって絶対ルールが守られないと思う）

「実質的な」方策としては、現在あるLANとは別にサーバー機と少数のクライアント機を購入して、クライアント機は、Webに接続せず、

なおかつUSBポート、CD/DVDドライブ、フロッピードライブ、はすべて取り外す等をすれば持ち出しようがないですからいい方法だと思います。

（もちろんクライアント機はログオフで電源を入れる前の状態に戻すソフトを入れる）

たぶん、職員はあまりの使い勝手の悪さに不満が紛糾するけど、それぐらいやらなきゃ無理だと思います。

検索したらUSBメモリを使った機密情報の自宅持ち帰りによる情報漏えいを防止する 〜クライアントPCから - ZDNet Japan

が見つかりました。これいいんじゃないですか？

私物のＰＣを職場に持ち込む時点でアウトですね。

今時、私物パソコンを職場に持ってくることを許可する会社はありませんよ。

まず、機密情報が社外に流出した時点で『解雇』の正式な理由になります。

「学校だから」「仕方ないから」という理由を言い分けにしていませんか？

甘すぎです。

http://q.hatena.ne.jp/1212315160

　愛知県警での個人情報流出事件を思い出しましたね。県警のお偉いさん用には公費でＰＣを支給しておいて、一般の警察官には私物ＰＣで調書を作成させる。しかも持ち帰る際には上司の許可が必要なんて守れるわけが無いでしょう。と思っていました。

http://www.nikkansports.com/general/f-gn-tp0-20080208-318433.htm...

　文部科学省の補助金の問題なのか地方自治体の教育委員会の問題なのか。過去には学校の生徒用のＰＣの予算で庁の事務用ＰＣを購入した自治体がたくさんあったようですね。どこかで流出した個人情報がさらされて生徒が何人か自殺でもしない限り改まらないんでしょうかね。業界は。第一残業手当も充分な予算が取られていないんでしょう。問題視するべきはそこなんですが。

　愚痴を代弁してばかりいても進まないので、両者の問題について指摘します。

　個人情報の管理で実施しなければならないのは、

１．流出しないようにする

２．流出後の被害を抑える（暗号化など）

３．流出経路を特定できるようにする

４．通常の勤務における負荷を抑える

の４点と考えます。

　まず、ＵＳＢメモリの案ですが校長クラスの信頼できる役職の人物で出張しない、全員が仕事を終えるまで残って収納を確認できる、休まないといった方がおられてちゃんと管理できるならおやりなさいと言いますが、現実できるのは無理でしょう。ＵＳＢメモリを配布してその後の持ち出し管理を充分に行なわない場合、むしろ自宅に持ち帰ってしまい、Ｗｉｎｎｙ経由の流出を促してしまう結果を招きます。

　サーバの案はその点で優れていそうですが、セキュリティ設定をちゃんとしておかないと流出経路を特定できないことになります。１年生と最終学年の生徒の名簿は高く取引されているようです。そうでないクラスの担任の先生や担任を持たない先生が良からぬ考えを持ってしまった場合、どうやって特定できるかといったことが考慮できるかという点が問題です。

　小学校の場合ある程度のセキュリティ設定が可能でしょうが、担任の他に教科ごとの先生が情報にアクセスできるようにする必要がある中学校以上だと文書管理のコンサルタントにアドバイスを受けないとまず設定を決められないでしょう。

公用PCを与えるのは当然として、大事なのはWindowsは使わないことです。

Winnyの問題だってWindowsでなければ回避できるんですから。

ウィルス対策をしていても未知のウィルスにやられることもあります。

一度でもWinnyに流されたらアウトです。たとえそれがウィルスの仕業であっても…

数々の個人情報漏曳事件のニュースを見てても、Windows使ってるのが悪いだろと言いたくなります。

http://d.hatena.ne.jp/rubikitch/

予算が付かないことには実施不可能な対策ですので、ポイントは不要です。

まず大前提として、私はセキュリティに関しては性悪説にのっとって考えるべきだと思います。

そうすると、PCに「ファイルをローカルのHDDなりUSBメモリなりに保存する機能」がある限りは「いつかは必ず」情報流出が起きると考えます。

（その原因は悪意などではなく、「USBメモリ(orサーバのHDD)に保存するのに手間がかかる。仕事を効率化する為に、後でUSBメモリに移動しよう」という考え方である可能性も高いでしょう。）

そこで、一番情報流出の可能性が低い解決方法は、ファイルをローカルに保存する機能のない機械を導入することです。

私がパッと思い付くのはシンクライアントです。

細かい機能は機種によって異る様ですが、おおざっぱに言って「ディスプレイとキーボード・マウス・LANカード等しか無い機械」で、サーバに接続して使用する専用機が多いと思います。

こうすれば、アプリケーションはサーバ上で動作しファイルの保存もサーバに対して行われ、画面表示やキーボード・マウスの操作はシンクライアントで行うことが可能になります。

以上の事を校長に説明した上で「シンクライアントとサーバを導入する予算がつかなければ、いつかは必ず（ひょっとしたら校長の在任中に）情報流出が起きますが、その時は校長が責任を持つと考えてよろしいでしょうか?」と聞いてみてはどうでしょうか。

以下、同じやり取りが校長と教育委員会の間、あるいは教育委員会内で行われ、「予算を決める権限を持っていて、自分が責任をとりたくない人」のところまで行けば予算が付くはずです。

4Gバイト程度のUSBメモリを購入できる予算があれば、こんな方法があります。

「KNOPPIX」など、USBメモリからブート可能なLinuxを用意します。Office製品の代用として、OpenOffice.org PortableをUSBメモリにインストールします。

業務用ファイルは、すべて職員室のデスクトップPCに置きます。

設定ファイルを工夫すれば、持ち込みPCのディスクをデータ領域として利用できないようにすることもできます。

つまり、持ち込みPCをシンクライアント化するのです。

ただし、持ち込みPCがUSBデバイスからのブートに対応している必要があります。

管理者にも教職員にも負担を強いることになりますが、公用機を用意する予算（システム・コスト）がない分、このくらいの手間暇（時間的コスト）をかけるのは当たり前のことだということを理解・啓蒙させるための参考にして下さい。実際、公用機としてシンクライアントを導入している民間企業はあります。

未成年の個人情報というセンシティブな情報を預かっているという点では、クレジットカードなどの与信情報や個人の健康・医療情報と同レベルの対策を講じるのが本筋だと思います。

いや～。

公立の小学校の実情が良く分かり面白い質問です。

勝手に楽しんでいてすみません。

当方パソコン系の学校は出ていますが殆んど素人なレベルです。

状況は

①.仕事にパソコンは必要。でも無い。

↓

②.自費で持ってくる。セキリュティ対策０

↓

③.上の理解無く予算付かない

↓

④.何か起こったらPC持ち込み禁止すらありうる

といった状況でしょうか。

まず現状で言えることは

1.しっかりとした予算を付け、対策を「地域の生徒・父兄と学校関係者」の為に

「自治体の教育部門のトップ」がやるべき事であるがそこが全く動く気配なし。

2.質問者様は権限も予算も賛同者も知識も乏しい中できる事をやろうとされている

3.業務でパソコンが使えなくなるのは無理

4.セキュリティ対策も難しいことは出来ないっぽい

とにかく全国の学校の先生のPCはお宝物だと言う事は分かりました（笑）。

物騒な言い方ですが、一度生徒の情報が漏洩する事件が起こり

教育委員会を初め上の方が恥をかくと良いですね。

質問者様が現実的な問題意識をお持ちなようですが

そんな方が孤立無援？なようですから

正直子供を作りたくない国として日本は

着々と立派な道を進んでいると思います。

結構色々な問題が絡み合ってお答えするのが難しいのですが、

1.教員事務負担軽減にPCは必要不可欠であることを

非現場の教育関係者と学校関係者（父兄や住民）などが理解していない。

教員事務負担軽減システム要件調査 −概要版−

http://www.cec.or.jp/e2a/pdf/kyouinjimu.pdf

2.個人情報保護が法律的に行政機関にも義務付けられている重要な事柄であることが周知されていない

個人情報漏えい事件を斬る(51)：

設立母体で異なる教育機関への適用法規

http://itpro.nikkeibp.co.jp/article/COLUMN/20060720/243821/?ST=b...

3.質問者様のスキルが個人情報保護及びPCスキル面において低い

個人情報保護士

http://www.joho-gakushu.or.jp/piip/piip.html

PC系

情報セキュリティアドミニストレータ試験

http://www.jitec.jp/1_11seido/h13/ss.html

4.予算が下りない

エコなPC

http://pc.nikkeibp.co.jp/article/news/20080602/1003960/

になるでしょう。他にもあるかも知れません。

学校の複雑さは私には分かりませんの一般的なアドバイス程度ですが書いて置きます。。

まずは個人で出来る事から、

①.個人情報保護士や情報セキュリティアドミニストレータの受験を安易に進めておきます。

質問者様が資格を取得すれば、主張も通りやすくなるし、

権限も予算も獲得できるかも知れません。

というか少なくとも当自治体圏全体で必要な人材＆情報かと思いますので

研修費等の受験費用程度で予算で出ませんかね（笑）。

今後も同様のお仕事をされるのであればスキルアップとしてアリではないでしょうか。

②.学校の所属する自治体の個人情報保護規定や条例は把握されていますか？

質問者様の言う事は聞かなくとも、条例の言う事は聞かないわけには行きません。

全国の公的教育機関の情報漏えい例などもしっかり集めて、

「こんな酷い目に会った人がいます」見たいな例で

まず外堀を埋めましょう。

③.一人で説明するだけでなく、先生方を個人情報保護セミナーなどに公費で研修に出せませんか？

プロの説得力のある講師の方に教育してもらうのが吉です。

校長とご自身のお二人だけでも効果有ると思います。

もう少し踏み込んで言えば、５万は実際に対策をするレベルの予算ではなく、

周知を図る程度でまず意識の改革に振り当てる段階かと思います。

公的機関は前例大好きなイメージがありますので

「全事務職員がLinuxデスクトップを使用している町役場」は実在する

http://itpro.nikkeibp.co.jp/article/OPINION/20060428/236610/

も一読下さい。

利点＝導入理由は「ウインドウズは高くて市民に申し訳ないから」だそうです。

欠点は、他自治体との情報のやり取りシステムの構築でした。

この公的機関の導入例と、上記の教員事務負担がここ１０年で増え続け生徒と接する時間が減ってしまっている問題は

NHKのクローズアップ現代でここ２年の間に見ました。

この辺の映像物を使えば周囲の方の説得もしやすいと思います。

可能性は低いですがNHKアーカイブスを利用するか、問い合わせてみて下さい。

http://www.nhk.or.jp/archives/library/index.html

事情を話したら何とか番組作りで得た他自治体の取り組みなど情報を入手できるかも知れません。

④.予算を可能な限り獲得しましょう

このやり方は私は良く分かりませんが、まず思いつくのは「子供用に買って夜職員が使う」方法がまず１つ。

中古やリースがどうとかではなく予算が付けば行けますから逆に上に出ている

エコなPC「Eee PC」はどうでしょうか？

たしか５～７万でウインドウズ入りです。

リナックス版はもっと安いはずです。

こいつは発展途上国の電気がない子供達にも最低限のPCを提供したいと言う志から生まれたPCのため、

消費電力が低く「100ドルPC」などといわれました。ちょっと違うけど（笑）。

故障しやすいHDDを積まず、確か電力も本場の物は足漕ぎ充電器が付いてるはずです。

もしこっちで子供達への授業での啓蒙（漕がせて途上国の現状を体験させる）用や、今の持込PCも結局公費電力を消費してるんでしょうから

経費削減＆CO2削減＆電気代↓を説得材料につけ

突破口としてまず１台前例を作る目標はどうでしょうか？

http://japanese.engadget.com/2006/04/04/olpc100-500mhz-cpu-windo...

上と話す際はまず

「業務にPCが必要」

という前提の理解を得る所からスタートしそうで大変ですので、

何とかここにPCを使わない場合の時間的ロスや自前PCは高消費電力だ。エコじゃないなどと説得力を持たし、

予算を付けさせる方向から入れればセキュリティには入れればベストだと思います。

ヤフオクは私もお勧めですが相手がそれなりの会社でないと予算申請も難しいようですから

ソフマップ辺りで勧めときます。

取りあえず予算申請した後つぶれる心配はありません（笑）。

この辺はもっと会社を落としても良ければ

台数次第でもっと安く入るとは思います。

２万で液晶付きでもある程度は使える筈です。

http://www.sofmap.com/tenpo/event/pop/5200001_01.htm

可能なのであれば生徒の安全の為の予算から監視カメラの導入に

個人情報保護をくっつけては如何でしょうか？

職員室に設置して情報漏えい抑止効果をつけます。

イギリスの町もそうですが悪事防止の基本ですよね。

http://www.uchida.co.jp/osyohin/security.html

まぁ自前PC持ってきて作業してる様子が映ってたら逆効果かも知れませんが（笑）、

一国民としては公立学校が職員室に付けていても良いと思います。

プライバシーもありますが、有事のみのチェックですし。

他のやり方としては、①の資格を取得し・②を把握し、③で講師の方と話して実際の導入説得方法など相談すれば

今とはかなり違ったレベルで対策を立てられるのではないでしょうか。

現場の方なら予算の下ろし方などもっと思いつくと思いますが、無理そうなら

他校の同立場の方と結託するのが最後の手段でしょうか。

----------------------------------------------------------

まとめ

現状ので対策としては私もリナックスが押します。

セキュリティ面もありますがOS代が安いからです。

万が一漏洩したときのデータも

ウインドウズでは使いにくそうです。

６番のa2giさんの「対外的な対策」が安易に実行されそうですが

実際はご指摘の通りただの問題発生時の保身行為に成り下がる危険がありあまり意味はないので

生徒のことを思うなら１１番のpahooさんをやはり押します。

やり方は良く分かりませんが。

他校の方も同様に悩まれているであろう事柄ですから

導入の前例から攻めるのもアリだと思います。

ライバルの自治体が「あんなに進んでる」なんて事があると良いですが（笑）。

あんまり具体的なこと言ってませんが結構ややこしい問題なのでこんな感じです。

ＵＳＢメモリだけを考えられておられるようですが

ＵＳＢキーの方があっているのではと思います。

http://www.atmarkit.co.jp/fsecurity/rensai/usb02/usb02.html

セキュリティのしっかりした企業ではノートＰＣの社内ネットワークへの接続は専用の機器(カードリーダー)＋社員カードが必要な場合があります。

#はっきり言って質問で言われている状況は普通の企業に比べて１０年くらい遅れています。

特定のフォルダへのアクセスへは専用のＵＳＢキーが必要とし、ローカルＰＣに保存する場合もＵＳＢキーがないと読み書きできないフォルダーで作業します。

そうしてＵＳＢキーは職場においておく運用を行うことで、データの漏洩を防ぎます。