Transcript ネットワーク利用における 個人情報保護

教員研修講座 ２７２２
｢ネットワーク社会における学校情報の管理｣
コンピュータネットワーク利用における
個人情報保護について
教育委員会 研修管理課
情報処理研修室
個人情報とは？
個人に関する情報
・文書記述、画像、音声、記号等により当該個人を識別
・その情報単独では個人を特定できないが
他の情報との組み合わせで個人を照合
氏名 生年月日 年齢 住所 電話番号 職業 家族
クレジットカードＮｏ 保険証書番号 キャッシュカード暗証番号
教科・科目の成績 出欠情報 就職・進学先 等
基本的な考え方
１ 岐阜県個人情報保護条例等の遵守
・個人情報の取り扱いには細心の注意
・外部への漏洩が生じないよう最善の対策
２ コンピュータネットワークの管理徹底
・情報ネットワークの危険性の認識
３ 個人情報記録媒体の管理徹底
・記録媒体：ハードディスク CD-ROM MO DVD
各種半導体メモリ
４ 利用規程等の作成と遵守
・コンピュータや校内LAN等
日常の情報管理①
１ デジタル情報の総括的管理の実践
・種類、内容や量
・記録されている場所
・利用許可範囲
・管理責任者 等
２ ネットワーク機器の管理の徹底
・個人的に設定変更を行わない
・パソコン等の使用記録簿作成
・個人のノートパソコンを勝手に接続しない
３ パスワード管理の徹底
・パスワードの自己管理の徹底
・定期的なパスワード変更による漏洩防止
日常の情報管理②
４ ホームページの管理
・掲載情報の更新
・情報の掲載は所属長の決裁後に行う
５ ホームページへの個人情報の掲載
・個人が特定できる情報は掲載しないのが原則
・掲載時は、本人及び保護者の承諾
６ 所属宛て電子メールの確認
・一日1回以上の確認、通常の事務文書規定と同様の扱い
・不審、不明な電子メールの取り扱いに注意
７ ネットワークの監視によるウィルス感染予防
個人情報漏洩事例と対策①
個人情報であることを認識していなかった場合
例1
学校のHPに部活動の情報を掲載
本人と保護者の承諾のない顔写真の画像
個人の氏名、肖像、活動成績が第三者に特定
承諾されていない個人情報は掲載しない
例２
卒業記念に｢CD-ROMアルバム｣を配布
卒業生の｢住所録｣や｢進路先｣データも記録
数年後、HPに実名入りで一覧表が掲載
承諾されていない個人情報は掲載しない
デジタルデータの取り扱いを使用者に注意
個人情報漏洩事例と対策②
個人情報の認識はあったが取り扱いを誤った場合
例３
部活動の選手名簿を電子メールで対戦相手に送付
送信先のメールアドレスを間違えた
第三者に選手名簿が漏洩
機器の取り扱い・作業は慎重に
例４
成績処理システムを校内LANのサーバ上に保存
｢パスワード｣が第三者に知られた
蓄積されていた成績データが外部に漏洩
パスワードの管理徹底
個人情報記録媒体の管理徹底
個人情報漏洩事例と対策③
セキュリティ過信による場合
例５
職員用と生徒用のネットワークを機器設定で分離
職員用ネットワーク上で進学先情報を共有
外部からの不正アクセスで機器設定が変更
外部に｢進学先情報｣が漏洩
セキュリティレベルの再確認
機器の設定用パスワードの管理を厳重に
個人情報漏洩事例と対策④
セキュリティ過信による場合
例６
電子メールにより生徒と教育相談的な指導を実施
・メールアドレスの間違いもなかったが・・・
通信情報を第三者に｢傍受｣されていた
相談内容がインターネットの｢掲示板｣に掲載
外部ネットワークでは常に通信傍受の可能性
メールの内容は慎重に！
個人情報漏洩事例と対策⑤
セキュリティ過信による場合
例７
個人情報を保存したﾊﾟｿｺﾝをｲﾝﾀｰﾈｯﾄ接続用に使用
・セキュリティを考慮し、ウィルス対策ソフト
も最新のものとしていたが・・・
対策ができていない｢新種のウィルス｣に感染
ハードディスク内のファイルが自動的に添付され
複数の宛先に配信された
ウィルス付きメールの受信者を介し
不特定多数に個人情報が漏洩
個人情報記録媒体の厳重な管理の徹底
ウィルス対策ソフトが常に安全とは限らない！
個人情報の漏洩防止対策①
１ 外部ネットワークと接続されたコンピュータでは
→ 個人情報を扱わない
２ 個人情報を記録したハードディスク
→ ネットワークに接続しない
３ 個人情報を記録した媒体
→ 耐火金庫での保管等
個人情報の漏洩防止対策②
４ 厳重なコンピュータウィルス対策の実施
→ 最新のウィルスに対応可
５ ウィルスに感染したら
→ 速やかに最善の措置の実施
→ ウィルスの拡散増殖の防止
６ パソコン本体、記憶媒体の廃棄
→ 記録媒体の物理的な破壊
→ 個人情報の完全な消去の実施
情報通信ネットワーク上での
不適切な行為の例
不適切な行為の例①
１ 不正アクセス
・不正にコンピュータにアクセスする行為
２ 不正コピー
・著作物を著作者に無断で複製する行為
３ ソフトウエアの不正使用
・不正にコピーしたソフトや不正入手の起動パスワードでの
ソフトウエアの使用
・契約外のソフトウエアの使用（台数、使用場所、使用者等）
４ マルチ商法
・新規会員から上納金を徴収し、参加者を募集する行為
５ プライバシー侵害
・個人の情報を不正に入手したり、あばく行為
不適切な行為の例②
６ 誹謗・中傷
・他人を悪く言ったり、名誉を傷付ける行為
７ 差別
・正当な理由なしに、あるものを他より低く扱う行為
８ なりすまし
・他人の名前やメールアドレスをかたって他人になりすまし、
偽造メッセージ等を送付する行為
９ デマ
・真実でない情報を流布する行為
10 くもがくれ
・Web上の商取引等で代金を受け取って商品を渡さず、
連絡を絶つ行為
不正行為に関連する法令①
１ 不正行為全般
・民法 ７０９条：｢不正行為の要件と効果｣の規定
２ 虚偽情報の公開等
・刑法 ２３０条：名誉毀損
２３１条：侮辱
２３３条：信用毀損及び業務妨害
・証券取引法 １５８条：風説の流布、偽計利用等の禁止
３ わいせつな表現
・刑法 １７５条：わいせつ物頒布等
・風俗営業法：映放送信型性風俗特殊営業者の届け義務
・関税定率法：輸入禁制品の指定
・児童買春・児童ポルノ処罰法
不正行為に関連する法令②
４ 不正アクセス、パスワード漏洩
・不正アクセス行為の禁止等に関する法律
５ 電子商取引等
・民法 ９５条：錯誤 ９６条：詐欺と脅迫による意思表示
・訪問販売法 ・割賦販売法 ・無限連鎖講防止法
・刑法 ２４６条の２：電子計算機使用詐欺罪 １８５条：賭博
６ 業務妨害、窃盗、恐喝、偽造
・刑法 ２３３条：信用毀損及び業務妨害
２３４条の２：電子計算機損壊等業務妨害 ２４９条：恐喝
２３５条：窃盗 １３４条：秘密漏示 １５５条：公文書偽造等
１５８条:偽造公文書行使等 １５９条：私文書偽造等
１６１条の２：電磁的記録不正作出及び供用
・電波法 １０６条：虚偽の通信
７ 知的所有権
・著作権法、特許法、意匠法、実用新案法、商標法、不正競争防止法
コンピュータセキュリティに
かかわる問題
デジタル時代の情報モラルを考える
著作権・プライバシー相談室
http://www.askaccs.ne.jp/
教育が最大のセキュリティー対策
｢・・・・・｣をやってはいけない！
ではなく
｢・・・・・｣をやったらどうなる？
影響や結果、責任などの具体例を
見せて、考えさせる！！
チェック項目
□ 個人情報を取り扱う事務についてその事務を明確にしているか。
□ 事務の目的達成のために必要な範囲を超えて個人情報を収集
していないか。
□ 個人情報を本人から収集しているか。
□ 事務の目的以外に個人情報を内部で利用したり、外部に提供し
たりしていないか。
□ 個人情報を外部に提供する場合は、提供先に対して必要な保護
措置を講ずるよう求めているか。
□ 保有する個人情報は、常に最新かつ正確に保つようにしている
か。
□ 個人情報の漏えい、滅失及びき損を防止するための必要な措置
を講じているか。
□ 保有する必要のなくなった個人情報を確実かつ速やかに廃棄し
ているか。