現状の把握が最優先

　個人情報の保護対策を、実際にどのように進めていけばいいのか。岩田氏は次の三段階を提示する。
　第一は、各部局がどれだけの個人情報を持っているか“第三者的な”ヒアリングとリサーチを行い、現状をしっかり把握することだ。自己点検ではどうしても甘くなる。電子化された情報は漏洩すると膨大な量になるため、できればコンサルティング会社など「他人の目」を活用することが望ましい。
　エデュースが受託した大学でも、建前と現実が異なる例は多いという。エデュースの高原隆一学園ソリューション事業部長は、「書類上はきちんと管理してあることになっている大学でも、現状調査に行くと、ガラス戸のキャビネットの中に学籍原簿と書かれたファイルが無造作に置かれていたりする。まずは現状をきちんと把握することが出発点。それなしには対策も立てられない」と語る。
　現状認識に際しては、情報のフローを整理することも大切だ。たとえば、入試課での資料請求者の管理業務では、電子メールや情報誌の資料請求ハガキなど、個別のケースごとに、どんな情報がどのような入手ルートでどこに集まるのか、その管理責任者は誰か、データは帳簿なのか電子ファイルなのか、アクセス権限はどうなっているのかなど、情報の流れと管理状況を一覧表などの形にする必要がある。しかも当該業務に関わる担当者だけでなく、トップや全学の情報管理の統括責任者にも、一目で分かるようになっていなければならない。
　第二は、そうした現状に基づいた対策を立案することだ。エデュースが受託した場合、そこからリスクを洗い出し、そのリスクを回避するための実行可能な具体策を提案するという。この段階までが、PDCAサイクルの「計画」と「実行」の部分にあたる。
　第三は、対策の実施段階だ。ここには教職員の教育や啓発活動も含まれる。この段階以降は情報セキュリティ対策のマネジメントサイクルへとつなげていくことになる。