漏洩の対価は50億円にも
個人情報保護法は、民間の個人情報取扱事業者を対象とし、学校法人もそこに含まれる。しかし、一般企業と学校法人とでは扱う情報の種類や質が大きく異なる。全国16大学が共同で出資しているコンサルティング会社である株式会社エデュースの業務執行役員の岩田仁志氏によれば、学校法人が扱う個人情報に関する特色として以下の6点が挙げられるという。
第一は、学校法人は民間企業に比べて公共性が高く、求められる責任も極めて重い点だ。受験生や学生、保護者などはそうした前提に立ち、全面的に信頼して個人情報を提供している。それだけに漏洩等が起きた際のダメージは一般企業よりもはるかに大きい。
第二は、情報を提供する主体である受験生や学生にとって、気軽に情報を閲覧できず、開示などの要求も行いづらい点である。入試や入学手続きに限らず、授業などを通して常に評価対象となる彼らは、大学に対して弱者意識をもつ場面が多い。しかし、今後は閲覧や公開を要求するケースが増えることも予想され、一般企業以上に情報の厳格な管理が求められる。
第三は、学校法人が保有する個人情報はセンシティブなものが多い点だ。住所、氏名、年齢、連絡先など、一般的な個人属性を示す「基本情報」のほか、趣味・嗜好や奨学金給付の前提となる保護者の資産など、あまり人に知られたくない「センシティブ情報」、さらには病歴等の健康情報、信条などの「ハイリーセンシティブ情報」を保有していることも多い。
第四は、学校法人は民間企業に比べて、個人情報を長期間にわたって保有し続ける点である。大学であれば学籍情報を卒業後何十年間も保持している。しかも年々その量は増えている。
第五は、個人情報の処理や運用を学外に委託する機会が多い点。資料請求者のデータを発送業者に委託したり、入試関係のデータ処理をアウトソーシングすることもある。情報漏洩の機会はそれだけ多いといえる。
第六は、大学では個人情報を扱う部局が多岐にわたる点が挙げられる。学部、大学院などの教学部門、教務や学務などの事務部門、情報センター、教員の研究室のサーバーなど、あらゆる場所に個人情報が分散している。一般に、情報漏洩の7〜8割は内部からであるとされるが、情報が分散すればするほど、危険度は高まる。
これらを考え合わせると、いったん情報の漏洩が起きた場合に学校法人が被る損失は極めて大きい。「これまでの情報漏洩に関する訴訟では、基本データの漏洩だけでも1人1万円、ハイリーセンシティブ情報が漏洩した場合は1人100万円以上の損害賠償が求められている。学生数5000人程度の中規模大学でも、50億円のリスクを背負っているという認識が必要」と、岩田氏は警鐘を鳴らす。
損害賠償責任については、情報漏洩による具体的な被害がなくても、漏洩した事実だけで慰謝料が発生しており、学校法人は、個人情報の保護に十全な対策を施す必要がある。
|