リスク評価に時間を費やす

　02年９月には、ISMSの審査機関であるBSIジャパン社に認定取得を申請。関連コンサルティング会社のアドバイスを受けながら、翌月から学内作業を開始した。
　最初に着手したのは学内体制の整備である。既存の「情報システム委員会」とは別に、各部局の代表16人で構成される「情報セキュリティ委員会」（委員長は丸山副学長）を設置、情報セキュリティに関する基本原則やポリシーに関する審議・議決機関として位置付けた。また、その下に実働部隊として、数理情報学部の教員と事務職員の８人からなる「情報セキュリティ運用管理委員会」を設置。両委員会が中心となり「情報セキュリティマネジメントガイドライン」など各種規定を策定した。
　最も時間を要したのは、運用管理委員会が中心となって進めた情報の洗い出しと仕分けだという。ISMS規格は、情報のリスクアセスメントを基本とする。このため南山大学では、学内の個別情報について、価値（情報自体の価値）を４段階、脆弱性（攻撃に遭った時の保護対策レベル）を５段階、脅威性（危機にさらされる度合い）を５段階でそれぞれ評価した。各ポイントを掛け合わせた評価数値が40を超える情報を高リスクと位置付け、鍵のかかるキャビネットに保管したり、複数の場所でバックアップデータを保管するなどしてセキュリティ対策を強固にした。
　これら認定取得のための作業とともに、教務システムへの外部からの接続の準備を進め、約半年後にISMSの認定を取得した。外部接続を希望する学生には、学内で作成した情報セキュリティに関するテストをe―ラーニングで受けるように義務付けている。このテストで90％以上のスコアを取れなければ学外アクセス用IDを付与しない。05年２月末現在、名古屋キャンパスでは約６割、瀬戸キャンパスでは約５割の学生がこのIDを登録しており、学生の利便性も向上した。
　丸山副学長は、認定取得によるメリットを次のように語る。「意識改革につながったことが最大の成果。認定を取得しなくても技術的な対策は施せたかもしれないが、それでは特定の担当者だけが関わることになる。全学の関与が求められるプロセスを経験し、個々の教職員が取り扱う個人情報に対して敏感になった。これが事故を防ぐ最大の防御壁になり得るだろう」。
　個人情報保護法の完全施行に向けては、ガイドラインの各規定をより厳しくするほか、「個人情報保護委員会」を新設し、そこに情報セキュリティ委員会を吸収させる方向で新体制づくりも進めていく予定だ。「今後は、法律の施行で必要以上に萎縮することなく、情報の積極的な活用を考えていくことが大事。まずは事例の積み重ねが必要だと思う」と課題を語った。