個人情報保護関連

関連ページ:労働法関連 | 著作権 | 肖像権 | 個人情報保護関連 | 公的な相談窓口や通報先など | 発信者情報開示請求 | 日本語教師の待遇問題

個人情報保護関連

👉 個人情報保護は難しいです。以下の説明は専門家によって書かれたものではありません(他の項目もそうですが…)。なるべく元になるソースを入れていますので、記述が正しいかどうかはご自身で確かめつつ読んでください。

個人で使う段階から学校などで活用するようになると、文書の重要性も高くなり、扱う第三者の情報も増えます。教育現場では、学生の個人情報保護の責任は、学校側にあるとされることが多く、教師が紹介するツールなどもしっかりチェックした上でやることになると思います。教育法人向けのアカウントでは、きちんとしていることが多いですが、予算が少ないからと一般の有料アカウントでやるとアウト、みたいなこともあります。

2020年代は、個人情報の管理が最も重要になってくると思います。

→ 今、個人情報保護の大きなテーマは、このツイートのような画像、映像による個人の特定で、日本の企業や自治体は暴走気味です。例えば日本語学校がネットで出した学生の写真が元になって、どこかで照合され、不都合なことが将来、学生の身に起こるかもしれないという可能性もあるわけです。ZOOMや音声チャットのプライバシーポリシーには、個人の声、顔、などをこちらで利用したり、第三者に提供(ほとんどの場合、要するに売るということです)すると書いてあります。これを学校で学生の個人アカウントを取得させてやるなら、事前の説明と同意が必要になるはずです。

👉 同意をとっても、授業で使うなら拒否できないという状況があります。利用するサービスで悪用され、それが防げないプライバシーポリシーだったら、事前の確認不足ですから、もし訴えられたらアウトだと思います。

日本語教育機関には学生だけでなく教師の個人情報もあり、その学校に在籍しているかどうかも含め、かなり保護が必要な重要なものが多いと思われます。事務ではパソコンでの管理は進んでいるはずですが、今後教務にもデータ管理が入ってくると成績なども特A級の個人情報が加わり、それの共有をどうするかというような大きな問題が出てきます。共有の範囲(非常勤に成績データの閲覧権限を与えるかというようなこと)などルール設定をしておかないと、まずいということになりそうです。今後、おそらく学習者のポートフォリオを管理するようなことになると思います。この管理も特A級の個人情報です。

日本の個人情報保護法の定義は解釈が難しい文章になっています。

「第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」

これを「個人情報とは特定の個人を識別することができるもの」つまり、「住所、氏名、連絡先」のことだ、と解釈するのは誤りで「個人情報とは個人に関する情報」で、その情報には「特定の個人を識別することができるものも含む」というのが正しいというのが専門家の解釈です。つまり、個人と紐ついていなくても、その個人に関する情報はすべて個人情報である、ということです。後述するEUの一般データ保護規則(GDPR)の定義もほぼそうなっています。

「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編) (1/6)
https://enterprisezine.jp/iti/detail/5752

GLOCOM六本木会議オンライン#48 デジタル社会を駆動する「個人データ法制」に向けて - YouTube
https://www.youtube.com/watch?v=b6IcewUeJIA

日本の取り組み

ISMS人称(2019年8月)

国際規格準拠です。保護対象となる情報は、個人情報保護法で定められた個人情報に限定。工場や個別のサービスなどに個別に取得。

先に紹介した、ISMS認証(ISO27001)というものがあります。Information Security Management System(情報セキュリティマネジメントシステム)。これを取得していれば、セキュリティ管理に関して国際標準と同等であるというものです。国内のIT大手やGoogle Apple Microsoftなどは取得しています。ネット上のサービスを利用する際のひとつの目安になります。

ただし、日本の個人情報保護法はEUに比べると罰則もユルく、わずか数十万円です。現在、法律の改正が検討されています。おそらく次で紹介する米国や欧州の取り組みに準じたものとなることが予想されます。

*認証を受けたサービス、登録機関であるかどうかは少し前で紹介した以下で検索できます。 情報マネジメントシステム認定センター(ISMS-AC)
https://isms.jp/

ISMS取得の検索

プライバシーマーク

国内の規格です。国内事業者と国内に拠点がある海外の企業が、個人情報保護法を守るという事業者単位のもの。

これとは別にプライバシーマーク制度もあります。ISMS人称が個人情報に限定したものであることに対し、

プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
https://privacymark.jp/

プライバシーマークを取得しているかを検索するページ

2021年改正案の件

官民を通じた個人情報保護制度の見直し |個人情報保護委員会
https://www.ppc.go.jp/personalinfo/minaoshi/

国際的な取り組み~GDPR~

世界中に学習者がいる日本語教育関係者にとって大事なポイントです。

ネットのサービスは多国間にわたりますので、共通の定義が必要になります。今のところは世界共通のものはなく、米国、欧州、その他の国がそれぞれのルールを持ち、互いに相手のルールを尊重するような条約を結ぶことになっています。

米国にはこれまで児童の保護やスパムに関する個別の法律はあっても、デジタルデータに関する包括的な個人情報保護の法律はなく、原則として各企業と利用するユーザーの自己責任となっていました。プライバシーポリシーを守っているかを監視する機関があり、各自が出しているポリシーに違反すれば巨額の罰金がある。訴訟も多いので、ある程度抑制されている、というような構造になっていたようです。つまり、日本で米国のサービスを利用する際は、各企業のプライバシーポリシーをちゃんと読んで、自己責任でやるしかないということでした。

ただ、2012年ごろから個人情報保護の法制化がスタートし、消費者プライバシー権利章典(Consumer Privacy Bill of Rights)という名前で策定が進められています。2020年からカリフォルニア州消費者プライバシー法(CCPA)が施工され、より厳しい管理となりそうです。

EUには、GDPR(General Data Protection Regulation)というルールがあり、各国のルールもほぼこのGDPRに準拠した形となっているようです。個人を特定できる情報だけでなく、写真、SNSへの投稿、IPアドレス、遺伝子情報、趣味嗜好、宗教、哲学などの付随的なほぼすべての情報が個人情報となり、この取り扱いも、「取得」、「処理」、「域外移転」と分けられ厳しく制限されています。罰則は厳しく、世界の売り上げ高の4%もしくは数十億円ということになるそうです。

米国のサービスは欧州においては、これを守るという約束(EU-USプライバシー・シールド)が米国とEUの間にありますが、EUは米国企業をあまり歓迎はしていないということもあり、この種の規制も戦略的に使われたりという事情もあるようです。

アジアの個人情報保護事情はわかりにくいです。中国には2017年に中国サイバーセキュリティ法が作られ、個人情報保護に関するガイドラインであるPersonal Information Security Specificationがはじまったとのこと。しかし今のところは他国との連携などは、どうなるのかはわかりません。

ロシアの個人情報保護 | ロシア語を話せる弁護士に相談・依頼
https://olga.tokyo/%e3%83%ad%e3%82%b7%e3%82%a2%e3%81%ae%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e4%bf%9d%e8%ad%b7/

JICAウェブサイトのプライバシーポリシー(欧州居住者向け) | サイトポリシー - JICA
https://www.jica.go.jp/policy/privacy_eu.html

EUのデジタル新法

Digital Markets Act(DMA:デジタル市場法) EUR-Lex - 52020PC0842 - EN - EUR-Lex
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0842

https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%B8%E3%82%BF%E3%83%AB%E5%B8%82%E5%A0%B4%E6%B3%95
デジタル市場法 - Wikipedia

EUデジタル新法 押し切られたIT大手:日経ビジネス電子版
https://business.nikkei.com/atcl/NBD/19/world/00476/

2020年代に入り暴走気味?

GDPR以前からEUは個人情報保護を米系企業への牽制や法的な規制などに使うことが増えていましたが、近年益々その傾向が強くなっており、EUではGoogle系のサービスがほとんど展開できないみたいなことになりつつあります。

GDPRが規制を強めることによって、日本のサイトでもCookieの但し書きを入れるケースが増えましたが、個人情報の取得が関わるサービスは訴訟リスクが常につきまとうということになり、日本発のサービスも影響を受けつつあります。

【重要】欧州などからご利用のお客様へ - Yahoo! JAPAN
https://privacy.yahoo.co.jp/notice/globalaccess.html

教育系のサービスは個人情報取得が甘いところもあり、学習履歴の活用、第三者への譲渡などが多いことから、かなり厳しい制限を受けているようです。

フォントでさえ、こういう事態になっているので。。。

「プライバシー同意」表示がプライバシー法違反、制裁金3,000万円のわけとは? | 新聞紙学的

匿名化と仮名化

実名や住所と紐ついた情報とは別に、匿名化されたデータという呼ばれ方をするものがあります。匿名化とは、収集した個人情報を特定の個人から「40代 女性」などと一般化してデータ化し、これを復元ができないもの(元データの個人と再び紐つけられない)ということになっており、匿名化された情報ならば収集したものは活用してよい、という考え方もあります。しかし複数の情報(住んでいる地域、購入履歴)を照合すれば特定される可能性が高まるケースがあり、判断が難しいところです。リクナビのケースなどは匿名化された情報とされていましたが、企業に提供すれば個人が特定できることになっていて、それを双方知った上で提供が行われたという悪質なケースでした。

匿名であるが照合するなどして個人が特定できる可能性があるものを「仮名化」と呼び区別することになってきています。 学校などで個人情報を扱う場合は、この匿名化と仮名化を区別し、それぞれのルール設定とプライバシポリシーなどでの説明が必要になってくると思われます。

GDPR 匿名化と仮名化の違いは?暗号化はどっち?
https://www.xn--gdpr-ev9g41r.net/gdpr/anonymous.html

学生の権利の保障

学生は学校などに自分の個人情報が守られているのかを訊ねることができます。日本の法律では、個人情報保護法第28条に「保有個人データの本人開示を請求する権利」が保障されています。この手続きに基づいて請求すれば、断ることはできません(断られたら国の個人情報保護委員会に通報して対処してもらうことができる)。

このことを最初に学生に伝えておく必要があります。

China’s Surveillance State Is Growing. These Documents Reveal How. - The New York Times
https://www.nytimes.com/video/world/asia/100000008314175/china-government-surveillance-data.html

他国のことはともなく、日本でも監視カメラはすでに500万台設置されており、繁華街、ショッピングモールなどかなり網羅されています。設置者も自治体や警察だけでなく、一般企業も多く、録画した映像に関する規制も、かなり曖昧。しかも、Wifiの設定が甘く、かなりの映像はハッキングしほうだいと言われています。(メーカーのクラウド経由で録画監視をするタイプのものも多い)

全国監視カメラだらけ?どれくらい多いか調べてみました。 │ DMJメディア セキュリティマガジン
https://dmji.co.jp/media/surveillance-cameras-all-over-the-country/

学生による相互監視の目も

また日本語学校は表現の自由が制限された国の学生も多数在籍しており、学生の作文などでの自己表現をどうコントロールするのか?という問題があります。ネット上でSNSやブログで発信するタイプの授業でも自由に書けない学生がいますし、学内のシステム上でも学生同士の相互監視下なのでより書けないよ、というような状況は今でもあるわけです。

ICTの活用が進めば、作文を提出し教務内のみで共有していた時と違う状況が生まれます。「一時帰国から戻らない生徒が政府に拘束されていた。それは日本語学校で漏れた学生の作文の内容が原因だった」みたいなことは、おそらくこれまでも起こっていたかもしれず、今後は起きる可能性がより高くなると考えるべきだと思います。

👉 追跡アプリなどで位置情報を取得したり、写真を投稿するシステムでexif情報を削除しないと自宅が特定されてしまうというような問題もあります。これもいかにも留学生や就労系の受け入れ組織で起きそうです。

Facebookとベトナム

FacebookがMETAと社名を変えた2021年の10月に多くのリーク情報がありました。ベトナム政府の要請に応じてFacebookがベトナム国内のユーザー情報を提供し、管理権限をベトナム政府に譲ったというものでした。

フェイスブック ベトナム政府に検閲の強化を容認” 米有力紙 | IT・ネット | NHKニュース
https://www3.nhk.or.jp/news/html/20211026/k10013321551000.html

ネットから「顔」100億枚、AI顔認識に規制当局が削除命令 | 新聞紙学的
https://kaztaira.wordpress.com/2021/11/05/oaic_says_clearview_ai_breached_australians_privacy/

以下は主に学習者の個人情報保護に関することです。日本の教育関係の個人情報保護は、小中学校のGIGAスクール構想周辺で整備されつつあります。

GIGAスクール構想の実現について:文部科学省

学校教育の情報化の推進に関する法律 文部科学省

関連していろいろと問題も起きています。

名古屋市、小中のタブレット使用中断 操作履歴を無断で取得 | 毎日新聞

しかし、GIGAスクール構想を推進する「有名人」の人達は、いまひとつ個人情報保護について理解が浅く、専門家からたびたび指摘を受けています。つまり、SNSで、表面的な情報収集をする程度ではマズいということです。きちんとした理解を持つ担当者が必要です。

関連記事など

ニッポンの教育ログを考える——プライバシーフリーク・カフェ#16(前編) - Cafe JILIS
https://cafe.jilis.org/2022/05/15/347/

巻頭言 教育データと個人情報保護法|鈴木正朝|note
https://note.com/rompal/n/nb691312449dc

大学や専門学校の図書館や日本語学校でも図書を持つことが決められています。司書ではなくても、学校図書の利用を管理する人は個人情報保護の責任者となります。

告示には以下の項目があります。

二十五 校舎に教室,教員室,事務室,図書室,保健室その他必要な附帯施設が設けられていること。
二十九 校舎内に,生徒数などに応じ,必要な種類及び数の視聴覚教育機器,図書その他の設備を設けていること。}

図書館に関する法律は以下に。
図書館法施行規則 | e-Gov法令検索
https://elaws.e-gov.go.jp/document?lawid=325M50000080027

学校の図書に関しても、図書館法に準じたルールがあります。

学校図書館プライバシー・ガイドライン - 学図研(がくとけん) - 学校図書館問題研究会
http://gakutoken.net/opinion/2018gakuto-privacy_guideline/

日本語学校がこれらの規制下にあるかは微妙ですが、文科省の監督下にある以上は、これらに準じたものが求められるはずです、何より、自分が利用した情報が漏れるところで本を読もうという人はいないはず1)です。図書管理は担当を決め、個人情報は厳しく管理されるべきです。

「あの本は貸し出し中ですか?」
「あの本は**さんが借りてる最中だよ~」
みたいなことも言ってはダメということは、やはり事前に意思統一をしていないとやってしまいがちなことなので、管理者を決め、ルールを明文化しておくことは大事ではと思います。

学図研(がくとけん) - 学校図書館問題研究会
http://www.gakutoken.net/

公立図書館-警察の照会への対応 緊張感が低下していないか?
https://www.jla.or.jp/portals/0/html/jiyu/yambe20130715.pdf

雇用契約ならば履歴書の退職後3年の保管は義務となっていますが、3年を経過した後の廃棄や返却は行わなければならないとされています。学校側も(個人の評価に関する立ち話レベルであっても)個人情報の第三者への提供の禁止と、契約が終了した際の履歴書の返還、個人情報の廃棄はコンプライアンス上、徹底すべき事項です。

まだ教師や学生の個人情報を安易に提供しないというルールがあるかも重要です。教師の評価を教師の紹介業者に提供することだけでなく、本人から提供された情報でないものを就職の際の判断基準にしてはいけないという法律もあります。

職業斡旋・紹介における個人情報管理

学生の就職情報はもちろん、教師の就職、転職を行う業者は増えています。厚労省の登録業者ではないところも多数あり、学校側は、しっかりとプライバシーポリシーなどを確認し、個人情報保護に関する文書を交わす必要がでてきます。学生の成績などの情報を口頭であっても提供しないことは重要です。登録業者でなくても労働契約法など守らなければならない法律はあり、特定商取引法なども関係してきます。「個人でやってることだから」では済まないことが多数あるというわけです。

学校と違い雇用関係がない職業紹介業者には履歴書やエントリーシートなどの保管義務はないので、教師はもしこの種の人達を利用するならば、紹介業務が終了した時点での個人情報の完全な廃棄(電子データはもちろん、エントリーシートなどのコピーの廃棄も意味します)を記した、名前、住所、日付入りの文書を準備する必要があるはずであり、学校側も完全な個人情報保護を求めるべきです。

職業斡旋業者として厚労省に登録したかどうかは以下で確認できます。
http://www.jinzai-sougou.go.jp/

関連法律 厚労省 労働者派遣事業・職業紹介事業等
http://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/koyou/haken-shoukai/index.html

職業紹介をめぐる法的な問題等について 第2回 | 職業・雇用関係情報等 | 一般財団法人 日本職業協会
http://shokugyo-kyokai.or.jp/shiryou/shokugyo/01-2.html

👉 職業紹介が特商法上の役務(えきむ)の提供にあたるという説明がなされています。

通信販売|特定商取引法ガイド:特商法上明示しなければならない情報などのガイド。
http://www.no-trouble.go.jp/what/mailorder/

日本語教師は養成講座や求人の際に、個人情報が勝手にやり取りされるケースがあります。それについては、「労働法関連」の求人の際の個人情報で少し説明しています。

学内で取得する個人情報をどうするかは、デジタル化の際に、改めて考えて作っておく必要があります。名前、住所、成績はもちろん、国籍、進学就職先などをどう管理し、学外に提供する場合はどういう原則があり、具体的な場面(例えば進学先、就職先に希望されても提供しないものは何か、就職斡旋系のところへ提供する場合どうか)でどうするかまで細かく決めておきましょう。昔作ったぼんやりしたプライバシーポリシーへの同意があるからいいだろうと考えていると、すぐに行き詰まります。

当然、事前の許諾も必要です。入学時にとってないなら、新たに作ったものに対する許諾が必要ですし、外部への提供の際はあらためて同意が必要になるものも多いはずです。

学校の個人情報管理のガイドラインをどうするかは、もはや専門化に相談しないと作れないと思います。少なくとも一人は基本的なことを理解している担当者を作り、その人を軸に進めるしかありません。

日本語学習者の母国の政治体制があまり民主的ではないというケースが多いということも注意点です。今後、個々の学校が関係の深い国から学生の個人情報の提供を求められた際に、どうするのか?対応によっては学習者が被害を受ける可能性もありますし、政治問題化する可能性もあります。日本語学校が持つものは、成績だけでなく、生活状況、態度、作文などから思想信条までを調査するデータになります。日本の法律をたてに提供を拒否することになるはずです。セキュリティは万全で無ければならないのはもちろん、かなり重要な情報を扱っているのだという意識が必要です。

気がつかずに事務所にあるパソコンから目を離した隙に「指導的立場の学生」からUSBメモリでデータを抜き取られ、半年後に一時帰国した学生がそのまま母国で逮捕された、みたいなことになったが学校側は気づいていない、みたいなことはもうすでに起きているかもしれません。

コピー機やルーターなどが勝手に個人情報を取得してネットでどこかに送る、みたいなことがあります。アレクサなどの音声で機器を操作するタイプのものもありますし、みえないところで行われているものもあります。日本の規格を通ったものならだいたい大丈夫と言われてますが、そうでもないケースもある模様。

TP-Link製ルーター、無断でデータをAviraに送信。1日に8万件ものリクエスト | ニッチなPCゲーマーの環境構築Z
https://www.nichepcgamer.com/archives/tp-link-routers-send-data-to-avira-without-the-users-permission.html

スマホを預かることの問題点と課題

2020年、スマホを没収し、私生活を不当に制限したとして、技能実習生の管理団体職員が逮捕されるということがありました。
https://archive.is/szOnj

個人が所有しているスマホを本人が見えない形で一時的に預かることは多くの問題があることにも注意すべきです。そもそもスマホを預かる必要はないはずですが、授業での持ち込み禁止などをする学校では、そういう必要が生じる可能性があります。

スマホには何が入っているか

スマホ取り上げを安易に考える人の多くは、ガラケー時代の印象、つまり「電話機」という認識がある場合が多いです。LINEもできるらしいくらいです。しかし、今、スマホは、超A旧の個人情報がつまっていて、それに簡単にアクセスでできる機械です。自身のスマホも安易に預けてしまうと、ほぼすべての情報を抜かれる可能性があり、どんなアプリを仕込まれるかわかりません。デジタルに弱い日本語教育関係者は、まずここから始める必要がありそうです。

スマホには個人の住所や電話番号だけでなく、通学、通勤の定期代わり、日常の決済で利用し、銀行やクレジットカード、オンラインショッピングサイトのパスワードなどあらゆる個人情報が入っています。公的機関でもスマホ認証が増え、マイナンバーカードの申請でも使われ、おそらく今後も活用は進みます。しかも、スマホのロックは、ほとんどの場合、PINコードなど簡易的なものなので、破るのは難しくありません。Googleなどクラウド系のものを使っている人の端末なら、ブラウザーなどが記憶したパスで、ほぼすべての仕事の文書へのアクセスもできます。むしろ、持ち歩くのが怖いくらいです。

災害時の必須ツール

そして、2020年代、スマホは災害時にも必要なツールです。災害情報の取得、家族との連絡、おそらくは災害時はGooglemapで知り合い同士で位置情報を共有するみたいな使い方がされるはずですから、スマホがないと安否確認ができないことになります。災害時でもスマホなら現金が引き出せる、地方自治体での個人確認も可能、ということになっているはずです。

東日本大震災(2011)はスマホの比率はまだ10%程度、震災でツイッターの情報インフラの効用が議論されはじめた段階でした。

第1部 特集 データ主導経済と社会変革(総務省) https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h29/html/nc111110.html

違法な位置情報取得アプリ

学生や就労系の外国人の位置情報を取得し報告させる機能というものがあります。スマホにそれをインストールすれば、その端末を持っている人がどこにいるかを常時送ってきます。これはコロナの際に入国時のアプリでも一部採用され、すでに海外の学校などで、学校管理ソフトに生徒の位置情報を収集するような機能が盛り込まれているものがあり問題となっています。日本国内ではすでに多くの裁判があり、雇用主が勤務時間に、雇用者の位置情報を取得する場合にかぎり、事前の了承など条件付きでOKとなっていますが、当然、外国人管理に使うのは違法であるだけでなく、国際的な問題へと発展しかねない大きな人権侵害です。

まず、LMSなど学校や受け入れ組織による管理ソフトに位置情報の取得はできないことになっていることが重要です。どんな目的であれば位置情報の取得があればその管理ソフトは使うべきではないと思います。今後、学校における学生の勝手な個人情報収集は大きな問題になっていく可能性があります。

失踪で学校や受け入れ団体が大きなペナルティとなっている現在の制度では、受け入れた学生を位置情報で管理しようとするところがあっても不思議はありません。しかし人権上大きな問題があります。スマホの一時預かりは、位置情報の取得の違法アプリなどを勝手にインストールする機会になります。日本語学校や就労系の外国人受け入れ組織が悪用しそうなアプリのひとつです。仮に、学校でやらなくても、他の機関がこの主のアプリをインストールしていた場合、一時的でも学校が預かった事実があれば、結果として学校側が疑われる可能性も出てきます。

つまりスマホを本人が見えないところで預かるということは、この種のアプリを仕込むのではないか?と疑われるリスクもあるということです。

もちろん、クレジットカード、銀行のログインパスが漏れた場合、疑われるのは一時的にでも預かった人、組織です。問題になるのがいやならスマホは預からないようにしたほうがいいと思います。

違法な位置情報取得アプリは、単独のものもあれば、上のように学校などが使うLMSに入っているケース、その他たくさんあります。でも簡単にインストールでき、しかも、インストールされた人はそのアプリが見えず、削除もできない、そのアプリを立ち上げなくても、その人がどこにいるかを常時送信するというアプリ、機能は存在し、ググれば誰でも使えます。インストールした人が地図アプリを立ち上げれば、誰がどこにいるかがすべて把握できます。今スマホの位置情報は数メートル単位ですから。どの店にいるか、どの建物にいるかまでわかります。

浮気調査(一時話題になりました)、勤務状況の把握などで、現在も普通に使われていることは、知っておく必要があります。中国製の学校管理ソフトにはそういう機能があるものもあるようで、国によっては禁止されていないこともあります。留学生にはこの種のアプリを入れろとなっている国もあると思います。あまり具体的な情報提供はしたくないので、ここまでにします。

スマホの持ち込みを禁じている国のほうが多数派

しかし、海外では学校への持ち込み自体が禁止されている国は多数あります。教室で自由にスマホを覗ける国はほとんどないはずです。学習への影響、授業の妨げだけではなく、SNSを使った虐め問題は世界中にあり、性的なコンテンツ、勧誘、その他様々な違法な広告など、問題が多数あるからです。フランスなど欧州の多数の国は、学校外でも規制が厳しく、16才以下は親の承諾無しではSNSのアカウントも取れません。比較的スマホの活用に寛容だと言われるアメリカでも、半数の教育関係者は反対で持ち込みができないことになっています。そして日本でも登下校の安全のための例外を除き、原則禁止です。

基本中学くらいまでは全面禁止。高校では情報ツール活用としては教えることがあるが個人の端末を授業で使うことはほとんど無く、配布されるタブレットなどでやります。

学校における携帯電話の取扱い等に関する有識者会議(令和2年度):文部科学省 https://www.mext.go.jp/b_menu/shingi/chousa/shotou/150_2/index.htm

中学校に携帯持ち込み、条件付きで容認 文科省が見直し:朝日新聞デジタル https://www.asahi.com/articles/ASN6S6DNSN6SUTIL01M.html

欧州各国で小中学校スマホ禁止令、中国は? - すまほん!! https://smhn.info/201808-prohibition-of-smartphone-at-school-in-china

学校教育法ではスマホを一時的に禁じることができるという解釈がありますが、この学校に、日本語学校や就労系の受け入れ機関などは含まれていません。しかし、日本語学校は文科省の管理下ならば影響は受けると思いますし、就労系の受け入れ機関、関係機関も日本語教室などにおいて、妥当な理由があり、上記のような手順をふんだものなら、教室で使用を禁じることはもちろん、悪用が考えられる場合は一時預かりも可能だと思います。スマホを預かること自体がすべて「人権侵害」「違法」という意見もあるようですが、その理屈だとナイフでも何でも教室に持ち込めるみたいなことになってしまいます。

【資料】

smartphone school rule などで検索するといろんな国の試行錯誤がわかります。基本、北米や若干緩く、欧州は厳しい。しかし全体でも年々厳しくなっており、スマホ利用OKが時々記事になるのは、貴重な例外だからということがあります。そして、そのスマホ活用例を読むと、かなり注意深く、ガチガチのルール設定でやっているケースが多いです。どの国も悪戦苦闘、試行錯誤の最中という印象です。

アメリカ :8割の高校で規定があり、76%で禁止 https://files.eric.ed.gov/fulltext/EJ847358.pdf

以下、欧州はほぼ全面禁止

イギリス Mobile Phones May2015v6 https://cep.lse.ac.uk/pubs/download/dp1350.pdf

フランス https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000022473162

その他欧州 https://www.tnuda.org.il/files/d1db9a328f8de69ddbc9d819763c27b5/NCGM_FinalReport_nov.2014.pdf

その他資料、記事など

Press release-Impact of smartphones on behavior in lessons to be reviewed, Department for Education 13.9.15 https://www.gov.uk/government/news/impact-of-smartphones-on-behaviour-in-lessons-to-be-reviewed

Banning Phones in Class? Not So Fast | WIRED https://www.wired.com/story/cell-phone-bans-school/

一時的に預かるという状況は避けられない

スマホは、ちょっと活用するという程度のツールではなくなってきています。特に語学周辺はレッドオーシャンで、無数のサービス、アプリがあり、日々進化しています。(もちろんマルウェアなどが仕込まれたニセアプリも多数あります)高性能な翻訳サイトもあれば、例文が探せて、文章さえ書ける、作文もやってくれる、これら数秒でやってくれる。いわゆるツールの活用レベルを超えて、授業で与えられた課題、プロジェクトの解答そのものに即辿り着くことができます。つまり、学習者が「悪用」しようと思えば何でもできます。「辞書を引いてググって調べましょう」という牧歌的な時代ではなくなっています。2023年に話題になったchatGPTのアクセスを禁止する教育機関はNY州など、多いようです。どういうさじ加減でやるか、どこも苦慮しています。

その他、授業においてスマホは障害になるということは当然あります。授業より楽しいことにいくらでもアクセスでき、人ともやり取りができるわけですから。留学生、就労系の外国人には、恋人からメッセージが入ったら授業どころではない年代です。机の下で覗く人は多いでしょう。着信音、メッセージの到着音が鳴り響くこともあります。試験だけでなく通常の授業でも、当然一時的に使えないという状況を作る必要はでてきます。特に学習初期段階において、数コマの理解不足がっきっかけとなって脱落してしまうということは起きがちです。語学においては顕著で、最初の100時間くらい、集中力が途切れず続けることができるかは、その後の学習を大きく左右します。教える側が、授業への集中を妨げるものは可能なかぎり排除したいと考えるのは自然だと思います。

学校のWifiでアクセス制限しても携帯回線を使われたら終わりですし、仮に例えばLINEが使えなければ代替のものは無限にあります。この種のおいかけっこにおいて、デジタルが苦手な日本語教師側はほぼ何もできないと思います。やはり授業註に使わないことが守れないなら授業の間だけでも預かるしかないことはあると思います。

留学生や就労系の外国人の違法なアルバイトや失踪に繋がり兼ねない勧誘はスマホを介して流れてくる、みたいなこともあります。これは防ぐのは難しいですが、講述するスマホの情報ツールとしての活用を教える際に、こういうネガティブな側面も含めてやることは重要です。

どういう条件が必要か?

しかし、簡単に没収することはできないと考えるべきだと思います。たとえ学校や教室に持ち込みが禁止されていても、例えば、本人の視界から消えるところで預かることは無理というのが妥当なラインでしょうか。教室で回収し、教卓の上など、全員がみえる場所に箱を置いてそこに入れておいて授業が終わったら返却、というような形をとらないとアウトだと思います。事務でも同じです。机上など必ず本人が見える場所に置く。操作がわからないなどの場合は、操作を教える用の端末でやってみせるか、画面を本人にみせながらやる。スマホを一時的に預かるということは、そのくらいセンシティブな状況だという認識が必要だと思います。

業界でルール作りが必要かと思います。例えば、授業で一時的に預かる必要がある場合は、以下の条件がすべて守られていること、などです。

  • 通信ツールを禁じることがあると事前の了解があること(校則などでうたっていること)
  • 妥当な理由があると想定されている場所、時間で、必要な時間のみ。
  • 所持者の視界から消えないところ、例えば教卓の上などで預かること
  • 制限されるべき時間が終了すれば返却されること。

視界から消えないことが重要です。いわゆる没収みたいな形で、学校などが別のところに保管するのはアウトだと考えるべきです。つまり業界の規定などでは「当人の視界から消えるところで没収や預かりはできない」ということも規定しておく必要があります。パスポートの預かりと同じくらいリスキーな行為だと業界全体で認識する必要があります。

事前の了解は校則などで厳密に規定しておくのがいいとは思いますが、すべての可能性を網羅するのは難しいです。スマホだけでなく、ナイフなどの武器類、ペット、スマホではない新しい通信機器などもあるでしょうから、「授業の遂行に支障が来すと学校が判断したものは~」という書き方にならざるをえないかもしれません。

スマホ管理の教育も必要?

むしろ、日本に来日した人が日本でスマホを使う場合、上のような条件を満たさないならば、第三者に預けるべきではないという教育が必要だと思います。来日時に決済やらない、SNSやらないと行っても、今後日本で生活していく上で、スマホで認証するようなケースはどんどん増えていくはずです。スマホを安易に誰かに渡すことは、実印を渡すようなもので、第一級の用心すべきことだと思います。

関連して、語学学習にスマホやネットを活用する方法も教えるべきだ、という主張もよく見ます。確かに必要です。ただ現状では、ネットの功罪をしっかり理解し、それを教えることができる日本語教育関係者がどれだけいるか?という気もします。まずはちゃんとシラバスを作り、教師用の解説本を作ることが先決という気がします。

前述のように、外国人相手の怪しげな勧誘はスマホを通じてくることが多いです。情報ツールとしての活用、注意点をしっかり教えることは必要ですが、これをしっかりやるのは、今の日本語教育関係者には、かなり難しいです。メアドは複数持って、基本、捨てメアドでやるとか、LINEは、通信契約と紐ついているから、簡単にIDを教えるな、みたいなことを指導できる人がどれだけいるでしょうか?これもまずは教師向けのガイドラインと教育から始める必要があります。

とはいえ、学校でやれることは限られています。ネットの活用だけに絞れば、正直、2コマくらいやって、個人情報など注意事項、日本語学習サイト、アプリの紹介、検索のためのキーワードなどを紹介し、冊子を配布すれば十分で、後は学習者のほうが上手にやれると思います。それより入力、変換の時間を作ることが大事なのでは。

端末は学校が配布する

スマホを授業で活用する場合、想定されているのは、辞書や辞書系のツール、ネットの検索、検索の先にある様々なツールということでしょうか。ここまでなら、個人の紐ついた端末でなくても大丈夫ですから、学校が学校管理のタブレットなどを配布し授業で使うことによって、かなりの問題は解決します。(ただし、個人のスマホは教室に持ち込めますから、これも机の下でスマホを覗くみたいなことは起きますが)

学校管理のタブレットは授業の計画に応じて機能制限が可能で、何よりWifi接続のみなので、ルーターなどでネットで特定のアクセス先を制限できるというメリットがあります。いろいろ抜け道はあるものの、SNSだけアクセスできない、代表的な辞書系のツールは使えないということも可能です。ルーターによるアクセス制限は子供用の設定などで、家庭用の機種でもできます。

監視対象の iPhone、iPad、iPod touch を使う - Apple サポート
「雇用主や学校から iPhone、iPad、iPod touch を支給された場合、そのデバイスは監視対象となっている可能性があります」
https://support.apple.com/ja-jp/HT202837

通信妨害系

数メートルの範囲で通信を妨害するツールというのがありますが教室では使えなさそうです。また、コンサート会場などではもっと大規模なものを使うことがありますが、これは許可が必要です。この種のツールは法的にも年々使いにくくなってきています。例えば通信できない環境下で地震やテロが起きたらみたいなこともありますし、知らずにそのエリアに立入り、重要な連絡がこなかった、みたいなことが起きます。

総務省|東海総合通信局|携帯電話等の通信抑止装置の使用について https://www.soumu.go.jp/soutsu/tokai/denpa/tuuwayokusi/index.html

関連法、厚労省の見解などの整理

  • 感染に関する情報は、感染防止の観点から、本人の同意なく同一業者内での公表は問題ない
  • 取引先への2次感染防止目的であれば本人の同意は不要。
  • ワクチン接種の有無の管理は「被接種者の個人情報の取扱いについて、医療機関等に準じた取扱いを行うこととし、
  • 目的外の使用を決してしないこと」となっている。学校単位でやるのは難しい。

新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて |個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/covid-19/

新型コロナウイルス感染症に係る予防接種の実施に関する職域接種向け手引き(第3版)(21年8月)
https://www.mhlw.go.jp/content/000789452.pdf

ワクチン接種はしっかりした説明と説得が必要だが、強制は現時点ではNG。ただし、国よっては教育機関での教師や職員のワクチン接種は義務化されるケースが増えている。学生の接種も半義務化(出席はできるが隔離など)というケースもあるので流動的。上のようにリストで管理することはできないが、匿名のアンケートレベルであれば、定期的に行うことは可能。

2021年10月以降の再入国ではワクチン接種が条件になる可能性もある。国よってはワクチンの種類も違い、ワクチンの「有効期間」問題もあるので、今後、どうなるかはわからない。仮にワクチン接種が義務化された場合、在校生で日本でワクチン接種をしていない学生との隔離などはどうなるのか?もわからない。学生から要望があれば対応せざるを得ないのでは?

👉 当然体質的に接種できない人もあり、ワクチン接種によって格差が生まれてはならない。これも業界でガイドラインを作る必要があると思われるが、ほぼ期待できないので、学校できちんと対応し、その対応を記録しておくことが重要。

留学生の個人情報保護の問題と、日本語教育関係者自身の個人情報保護の2つについて、なんらかのガイドラインが必要です。

個人情報に関する規定は米日欧で違います。世界共通の規定はなく、それぞれの規定を尊重するという協定がなければ、サービス提供会社の本拠地のルールで進みます。ZOOM社(米)は欧州との間では欧州との協定(プライバシーシールド)があり GDPR(EUの規定)を尊重することになっていますが、日本との協定は書いてありません。日本の個人情報保護の規格であるISMS認証は受けていません。米国の個人情報保護の法律は現在作成中で、州の規制はあるものの、基本的には企業とユーザーの約束に任されています。あと、ZOOMの個人アカと教育ライセンスでは取得した情報の商用利用のポリシーは違います。個人アカの個人情報は商用活用可能で第三者に提供していいと同意したことになってます。すべてZOOMの日本語のプライバシーポリシーをきちんと読めばわかります。しかし担当者が読んでいて、かつ、きちんとリスクを理解しアナウンスしていないと、詳しくない人が、大学で教育ライセンスで利用していて、ホストが足りないからと個人ライセンスで補ったりしたらアウトです。

個人情報保護は教育現場では重要です。でも、難しいです。わかる範囲で調べて、信頼すべき情報源をウォッチしつづけるか、専門家に尋ねたりしながらコツコツ勉強するしかないです。シスアドの教材なんかもあります。大きな大学なら、他の学科(情報工学科、情報理工学科、情報通信学科)に必ず情報セキュリティの研究者はいるはずですから教えを請いましょう。例えばここ数年、トレンドマイクロが数々の問題を起こしている、みたいなことは一般の人はほとんど知らない。でもセキュリティ界隈では旧知の事実です。関係者は誰も使っていない。でも家電量販店で買うとついてくるからそのまま使っている人は多い。専門的な知識は無くても、こういうことを一応拾えている人になったほうがいいと思います。
情報セキュリティ対策教材のご案内:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/personal/get/index.html

IPAは、日本の情報セキュリティの最も重要な組織です。ツイッター(@ICATalerts)でも、セキュリティの速報などを流しています。 その他、日本の情報セキュリティの代表的な人物、上で紹介した@HiromitsuTakagiや、日本の個人情報保護関連の法整備に関わられてきた情報法制研究所(JILIS)理事長で新潟大学法学部教授(情報法)の@suzukimasatomo氏らもツイッターでいろいろな情報発信をしています。海外のリソースも重要です。@thehackersnews などをフォローしておきましょう。英語ですが、セキュリティの専門家の@dsearls氏も積極的に発信しています。

以下のウェブメディアでは中小企業から大企業までの情報セキュリティに関する記事が充実しています。無料の会員登録をする価値はあります。

セキュリティ - ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/subtop/security/

Security Online(セキュリティ オンライン)
https://enterprisezine.jp/securityonline/
特にこの記事は学校のICT担当者は必読だと思います。
「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編) (1/6):EnterpriseZine

それも難しいなら、リスクがあるなら使わなければいいだけです。担当者が最優先すべきは学生の個人情報です。せめて脆弱性がある間は使わない。対応が不誠実だと思ったら、ツールやサービスなんて見捨てればいいのです。ひとつのツールやサービスに固執する理由はまったくない。すでに国内で運用実績があるオープンソースか、日本の個人情報保護の規格(ISMS認証)をクリアしている「無難な」サービスで、出来る範囲でやりましょう。MSやGoogleやSlack、CISCO はクリアしてますし、日本に支社があり、日本の法律に基づいて、日本の裁判所でという記述がプライバシーポリシーにあります。教育利用は人を巻き込むリスクがあるところですから、ツールの選択は冒険するところではないのです。ビデオチャットのサービスは無数にあります。定期的にチェックして代替ツールは常に考えておきましょう。特定のツールに依存しないことが重要です。基本、個人情報を扱う可能性が高いツールの選択は、寄らば大樹が正解だと思います。

後述の事例からわかることは、教育におけるICT活用では、教師は利用するツールに関して、常に学習者にとってどうなのか?を軸に考え、採用するかどうかは、中立的な立場を守らねばならないということです。これは米国などでは特に、特定の企業からの援助や補助金不正なども起こっていることから教育現場のモラルとしてたびたび語られ、欧州では厳しく監視されています。日本はかなりユルいという印象です。さらに、日本語教育ではICTに詳しい人が少ないこともあり、一人の「ちょっと詳しい人」が「自分が詳しい」とか「好きだ」というような理由で何もかも決めてしまうという傾向があることもリスク要因です。

「契約したから」「人気があるから」「(教師が)使いやすいから」という理由で採用し、使い続けることは間違いです。それらはツール選択の理由としても優先順位は低い。また、導入した担当者は採用したツールに関するリスク関連の情報の収集は欠かさず行い、しっかりと対処をする、きちんと学生や教師など利用者にアナウンスをする、時に利用をストップし、代替ツールを探すという責任を負わねればなりません。

そして担当者が去り、監視ができないものは利用を止める。これも人の移動が多い日本語教育機関では守られるべきガイドラインのひとつではないかと思います。「前任者が導入したもの」を誰もわからないまま使い続けているところはかなり多いようです。

教育業界は個人情報を管理する場面がたくさん出てきます。ICTの活用が進めば扱う情報はかなり厳密なルールによる管理が必要になります。求人サイト、職業の紹介業者、学校での教師や学生の個人情報保護など業界には問題が山積しています。業界にも、学生や日本語教師の個人情報を守るガイドラインを作るよう求めていきましょう。

職業安定法第5条の4 - Wikibooksは、まさに就職活動での個人情報を規定したもので、特に、直接訊ねたものしか採用基準にしなければならないことになっており、リクナビの事件でも焦点になったところ。人材派遣業者にとってビジネスになるところでもある。日本語学校業界はここを守らねばならないが、そういう意識があるかは疑わしいし、実際に守られているかも疑わしい。

個人情報とは名前や住所やクレジットカードの番号だけではなく、匿名で収集される性別やIPアドレスなども含みます。教師は、教育現場では被害者よりも加害者となってしまう可能性のほうが高いことにも注意が必要だと思います。匿名化されていても、例えば「ある国の人が選ぶ教材のデータ」は必要な人にとっては商品価値がある個人情報なわけです。あつまれ動物の森のデータもSiriやスマートスピーカーに語りかけるフレーズもハードとそのシステムを作った会社に収集されデータ化され利用されていることを知っておくことが重要です。

👉 Doc Searls WeblogWeb会議のセキュリティでチェックしておきたい10のポイント

ビデオチャットに限りませんが、外部サービスを学習者に利用させる場合、そのサービスがどういうものなのか、どういうリスクがあるのかはしっかり「身体検査」をしておく必要があると思います。学校のプライバシーポリシーの範囲内であるかというチェックです。利用するサービスの会社によってもコースによってもセキュリティの質が違うということもあります。

日本語教育のICTの専門家という大学の研究者が、ウェビナーで「学校の(ZOOMの)アカウントが足りない時は個人ので代用すればいい」と発言していたのを聞きましたが、もちろん法人アカウント、特に教育アカウントと個人のアカウントではまったく個人情報保護のポリシーが違うことがほとんどなので個人アカで代用するのは絶対にNGです。学校で使う場合は、生徒の個人情報保護がしっかり保護されている教育向けアカウントでないと使えないと考えたほうがいいと思います。「日本語教育の世界のICTに詳しい人」はほぼ個人情報保護やネットの技術に関してはほぼ素人みたいな人がほとんどなので注意すべきです(おそらくそれでも業績を積める世界なんでしょう…)。教育とICT関連の研究者ではなく、情報セキュリティの専門家や大学などでオンライン化の運用をしているレベルの人達の話を聞くべきだと思います。

👉 この研究者は、ネットのオーケストラの合奏動画について質問に「口パクみたいなのでやってるんじゃない?」と答えてました。かなり昔からネットを介したミキシングの技術はいろんな方法で実現していて、現在は個人レベルでもできるようになっています。

ビデオチャットでは顔や話す内容は参加者に公開されます。また利用するサービスによっては主催者のみがIPアドレスを取得するもの(ミーティングを主催するタイプのzoomなどが該当)があり、これも個人情報です。収集される個人情報はかなり多く、匿名参加でも特定される可能性は高いです。これは学校の利用だけでなく、セミナーのような個人ビジネスで悪用される可能性が高いところです。主催者が取得した個人情報をIDと共に勝手に同業者相手に「この人達カモですよ」と売買するようなことが起きかねないわけです。

ポイントは日本の情報マネジメントシステム認定センター(ISMS-AC)などの認証を受けているか、プライバシーポリシーなどを読み、日本の法律にもとずいて日本の裁判所で、ということになっているか、でしょうか。ビデオチャットシステムは海外製が多く、MSのSkype、Google Meet、CISCOなどを除いてはこの点があやしいものが多いです。特に日本語学校は世界中から学生が集まりますので、日本の法律を守ればOKというわけにはいかないケースが出てくると思います。収集した個人情報をどう活用することになっているのか、第三者に渡すことになっているか、では学校としてどこまで許容するのかも重要です。外部サービスを利用する際に、そこがクリアになっていないものの導入は難しいという気がします。

ライブ授業で双方向性の確立の方法にもよりますが、例えば、YouTubeライブのチャット、Googleスライドのコメントがあり、ツイッターのハッシュタグなどもありますが、投稿の際にログインマストにするのかみたいな細かい課題もあります。ログインしての投稿ならアカウントと紐つくので匿名性は薄れます。授業中の自分の発言が自分の名前と共にネットで公開され、ずっとネットに残るのはあまり想像したくない事態です。もちろんどこの学校に所属しているかも、本人の許諾無しに公開されるべきではないと思います。

EUの個人情報保護のルール(GDPR=General Data Protection Regulation)は厳しく、留学生であっても国籍がEUであれば、この規制下にあると考える必要がでてきそうです。個人情報の取得や肖像権など、事前に個々に許諾をとっておく必要がありそうです。

後に述べますが、ビデオチャットの場合、参加者へ録画を許可するかということもポイントですが、録画を禁じることができる仕様なのかも大事になってきます。勝手に録画したものをネットに流されることなどを想定してルールを作り、許諾を取る必要がありそうです。

👉 流出しコピーされることは避けられないことを免責しつつ、しっかりこのラインまではやるとして、許諾を得ておく必要があります。

ライブ配信

Youtubeライブなどを使ったライブ配信では、背景に映るものはモノに関しては商標権などもありますが、それほど気にしなくてもよさそうです。ただヒトが映る場合は許諾が必要です。シンポジウムや学会の発表などは、許諾がない場合は音声だけでもいいのなら音声だけで、どちらもNOならカットしかありません。事前の説明と許諾がなければ配信自体もできないと考えたほうがいいと思います。ただシンポジウムなど許諾を得る人は少ないので、比較的楽かもしれません。ただし、、、

  • 配信を録画してアーカイブ化し後日公開する場合はその点も事前の説明許諾が必要。
  • Youtubeはダウンロードできない仕様だが、Vimeoなどではダウンロード可で公開する場合もある。それぞれ違う許諾が必要。
  • Youtubeも仕様上はダウンロードできなくてもツールを使えば簡単にできる。流出し二次利用されるリスクはあることも説明許諾が必要。
  • 公開期間、期限などを設けるほうが管理は楽。販売などもするなら、もちろんより詳しい書類のやり取りが必要。

イベントなどで会場などを映すのは、一瞬「今日の会場の様子でーす」と映すのもグレーゾーンで、今はモザイク必須です。もし会場の人などに事前の許諾を得るなら、テレビ局やネット系企業などの 承諾書のひな形はネット上にいろいろありますから、一枚作っておいて、イベント時に配布するか事前にPDFでダウンロートしてもらい、サインを貰うだけです。

👉 動画にモザイクをかけるのはOS付属の動画編集ソフトでは難しく、1万円前後のソフトでは可能ですが、手作業なので大変、プロ向けの編集ソフトなら自動化できますが、覚えるのが大変、ということになっています。撮影時に背景をぼかすみたいな方法もありますが、カメラ次第ですし、少々知識もテクニックも必要です

ビデオチャットの録画の問題

Youtubeの授業配信は配信者だけの問題ですが、ビデオチャットでは参加者の顔を映った動画とかなりの個人情報を共有することになります。録画しなくても、事前にIDや名前をどう呼ぶかなど、取り決めと免責が必要になりますが、録画に関してもそこで説明をし同意を得ることになるはずです。

ビデオチャットのサービスは、ほとんどの場合録画はできる仕様になっていますが、サービスによって

  • 主催者だけができるもの
  • 主催者はできて参加者には禁じる設定があるもの
  • デフォルトで自由に参加者ができるもの
  • 有料、無料などコースによって違うケース

と、いろいろあります。デフォルトで出来なくてもプラグインとか他のアプリで出来るものもあります。

録画した動画も

-一時的にクラウド上に保存できるがダウンロードできない。 -ダウンロードできる。

と違いがある場合があります。

いずれにしても、録画ができる仕様であれば、その動画がネットに流出するリスクは常にあります。

参加者全員の許諾がなければ、録画は原則禁止にすることになると思います。ただ禁止しても録画できる仕様なのか(つまりルール上だけのことなのか)、設定でできなくなるかでも、ルール設定、許諾の文言が違ってきます。主催者の録画に関しても説明責任があります。録画をしていることが参加者にわかるのか、黙ってできるのか、などによってもルール設定を変える必要があると思います。

仕様上、録画ができないサービスであれば、仮に動画キャプチャソフトなどで録画され、流出してもしっかり免責しておけば不可抗力として責任は問われる可能性は低くなりそうですが、この場合も事前にこういう不可抗力で録画される可能性があることは文言として入れておいての同意でないといけないはずです。

またスカイプやGoogle Meetのように一対一や複数の人で話しましょうというものではなく、セミナービジネス向けで開発されたサービスは、主催者の権限が強く、IPアドレスの取得ができるものなどもあります。この場合、主催者は参加者の個人情報を一方的に取得することになるので、取得した個人情報の利用について、きちんとプライバシーポリシーを作り説明と許諾を得ておく必要があります。これはSlackなどでも同じです。

ビデオチャットと違って、シンポジウムや講義で質疑応答はテキストベースみたいなYoutubeライブであれば、比較的許諾は簡単なので、録画した動画をその後公開するのは難しくありません。この点からも、広く知見をシェアすべきイベントなどは、ビデオチャットシステムではなく、Youtubeライブなどの配信システムを利用すべきだと思います。

👉 録画した動画を公開するだけでなく販売するケースも増えています。特にセミナーなどでは許諾を取らずに売る場合もありますし、キャプチャなどを勝手に宣伝の画像として使うところもあります。主催者のみが録画可能で、参加者に録画の禁止ができるタイプのセミナー向けのサービスを利用する業者には気をつけたほうがいいと思います。事前の説明と同意事項の文書の発行(主催者の名前、住所、サイン)を要求し取得てから参加したほうがいいと思います

👉 個別のオンラインイベントの許諾は、項目に同意くらいで、あるいはフォームに同意で送信でいいのかは微妙なところです。基本的には、誰が作った、どういう項目がある文書に、誰が、いつ許諾したのか、両者の名前と住所が書いてあるものが残り、同一のものだと証明できる形で双方が同じものを持つ必要があると思いますが、どう実現したらいいのかはわかりません。動画を販売する場合も同様です。電子署名のシステムがないなら、紙でやるしかなさそうです。動画を販売するならなおさら、ちゃんと項目を設けてやる必要がありそうです。

ツールとはアプリやソフトの類いで、サービスはSNSを含めビデオチャットや音声チャット、学習サービスなどです。 今後、少しづつ書いていく予定です。

ひとまず、何かのツールやアプリを紹介する場合は…

  • どこの国に拠点を置く会社か確認する。
  • プライバシーポリシー(個人情報保護方針)を読む
  • 利用/サービス規約(会社とユーザーとの約束事)を読む。
  • 紛争解決地を確認する(法律上の問題を解決する国。利用規約に記載がある)
  • 紹介時に上の2つについて説明をする。
  • 紹介時に上の2つへのリンクを置く。

は最低限、必要だと思います。プライバシーポリシーと利用規約の読み方のポイントなどは、おって書いていきます(ググればいろいろ出てきます)。特に教育機関で使う場合は、個人の無料アカ、有料アカ、法人アカ、教育法人用アカ、などで、かなり違うことがあるので、そこも要注意です。

プライバシーマークを取得しているかを検索するページ

ISMS取得の検索

👉 ISMSはサービスごとに取得なので、詳しくはそのサービスの利用規約などで確認してください。

未登記の海外ITに罰金へ 政府、メタ・Twitterなど監視強化: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUA163EK0W2A610C2000000/

「米メタ(旧フェイスブック)や米ツイッター、米グーグルなど48社に登記を求めたが、応じない企業があるとみられる。各国は利用者保護の観点でIT大手への規制や監視を強めており、日本も厳格に対応する。」

ここからは、実際にどう個人情報を収集し、どう活用されているのかを事例で見ていきます。

Siriなどの音声関連のアプリやサービスでは、最初に声紋含む音声データの取得に同意することになっています。この音声をタイプしてテキスト化するアルバイトの求人が出たりしています。ビデオチャットなどの個人情報には、顔の画像、動画の取得も含まれるようになっています。この種の情報は技術の向上のために自社で使うだけでなく、まとめて第三者に売られることもあります。買い手は、その種の個人情報を集めて照合し、名前、国籍、住所、電話番号、メアド、顔の画像、声でまとめて名簿を作り、また転売する、というビジネスモデルです。

今のところ、MSやApple、Googleなどは、この種の転売までは踏み込んでいませんが、新興の企業などは米系でも中国系でも、もちろん日本の企業でもやっています。個人の考えで、このリスクを負うのはいいとしても、学校で教育利用となると話は違ってきます。

アカウントを取得して使うようなネット上のサービスを利用する場合、学校や授業の主催者、日本語教師は、学生は個人情報保護に関わる判断をすることになります。SlackやTeams、ビデオチャットなどのプライバシポリシーはかなり違いますし、例えば、ゲームのプラットフォームを利用する場合などは、教育関連ツールよりも、多くの個人情報をゲーム会社に提供することになります。

慎重な選択が必要です。

AppleやGoogleのストアは審査があるので大丈夫と考えるのは早計で、アプリには審査をすり抜ける情報収集機能があったりしますし、正面から収集すると宣言して許可させるものもあります。許諾したら終わりみたいなものは、少なくとも学校が推薦したら訴えられても仕方ないという気がします。そこそこ有名なアプリでも意味なく位置情報を(マーケ用に)取得することになっていて抗議を受けて外したりということがあります。アプリだけでなく、ブラウザーの機能拡張なども同じです。個人情報収集が目的のアプリはストアに無限にあります。これらのことをまず学習者に教えることも重要になってきています。

上の件、以下の釈明記事がありました。 「原神」公式、PC版の“スパイウェア疑惑”についてコメント ゲーム終了後も起動していたのは「不正パッチを防ぐため」 - ねとらぼ
https://nlab.itmedia.co.jp/nl/articles/2009/29/news052.html

炎上しないとこういう対応もなかったわけで、自己防衛しないと難しいということがわかります。何も考えずにインストールするのはやめるか、使うツールはGoogleなどだけにするか、しかなさそうです。

国家による個人情報の収集

多分、これが一番やっかいです。どの国のサービスか?は、要チェックです。残念ながら中国系企業が取得した個人情報は中国政府と共有されているケースが多いようで、しっかり管理しないと、日本にいる留学生の情報も収集されてしまいます。

  • 個人情報の保護が守られるのは、基本、民主主義がある程度成熟した国じゃないと難しい
  • しかしいわゆる自由主義諸国でも国による監視志向は高まっている。
  • ネット関連の大企業でも、抜け道をつくって個人情報の収集は行っている
  • 個人情報の収集を国家規模で進めている国もある。

一般論として企業においては、米国よりも欧州のほうが個人情報の保護に熱心だと言われますが、市場で強い米系企業への牽制として規制を戦略的に用いるようなことも多いようで、単純に欧州のほうがフェアだとも言いきれないようです。

これが国家単位での規制となると、一層見えにくくなります。米国はかなり昔からエシュロン計画がスタートしており、ネット上の情報はほぼ収集されていると考えて間違いなさそうです。

中国系企業の個人情報保護

2010年代になり、中国系企業はハードからソフト、ネットに進出し、個人情報を収集に積極的です。そのほとんどは、中国政府も取得するようです。特にネット系のサービスでは、無料アカウントではほぼ100%個人情報は取得され、第三者への譲渡も含め、自由に使われてしまうようです。米国でも市場が広がると、ある程度欧米諸国の個人情報保護のルールの監視下になりますが、本社が中国にあり、中国にサーバーがあれば、基本的には取得されたデータはどう使われてもわからない、ということになります。 ZOOMやTik Tokなどは、米国内では違法な個人情報の取得はされないことになっていますが、日本はその規定外ということもあります。

中国がアリペイに「分割」命令、与信データを政府の管理下に | Forbes JAPAN(フォーブス ジャパン)

これは、カード利用に関わる個人情報データが中国政府の管理下になるというニュースで、こうなるとやはり利用は憚られます。例えば支払いルート開拓として、日本の民間の学校がアカウントを作った場合、その入出金のデータは中国政府に取得されてしまうことになります。学校としても問題ですが、留学生の個人データを母国の政府が取得する形にしてしまうというのは、どうなのか?という問題があります。ZOOMの活用の問題にも繋がりますが、一旦、そういうサービスを使うことにしてしまうと、学生に、それを使わないわけにはいかない、という状況に追い込むことにもなってしまいます。使わないのは何か後ろ暗いことがあるからだと思われてしまうからです。

つまり日本国内の学校などは、基本、支払いやICTツールは、日本か米国など、個人情報が保護されているものに限定したほうがよいと言えます。

現在使われている学校管理システムなど

→ 21年12月の日本語教育関係者のツイート。日本語学校の出欠や成績データに講師が自宅からアクセス出来るシステムというのは場合よってひゃ、アウトでしょう。かなり厳密な管理が必要なところなので、要検証だと思われます。GIGAスクール方面では出来ない(多分学校の管理者以外無理)?告示校はその辺ユルい?

留学生関係では業界シェアトップはOne Terrace | Company Profileという会社が作っている「留学生向け管理システムWSDBとのこと。21年10月12日の時点で日本語学校80校、その他合わせて88校。日本語学校の有力校のほとんどが利用している模様

入学前情報、出席情報、成績情報、ビザ情報、アルバイト情報、入金情報、出席管理、法務省の提出書類など各種証明書の管理、発行に対応しており、学生向けのアプリでは「住所、電話番号、アルバイト情報、在留資格情報などをスマートフォンアプリを使い学校に報告」とあります。また「安否確認機能、学生証機能も予定」とのこと。位置情報に関係ある?

One Terraceの役員にはにほんごプラットの阿久津 大輔氏の名前もあり、人材派遣関係の会社だと思われる。ざっと検索した限りでは、上のISMS認証、プライバーシーマーク、は取得していない模様。会社のサイトにも記述も見当たりませんでしたが、開発元の東和ソリューションエンジニアリング株式会社 には、プライバシーマークを取得と記述がありました( 【認定番号:17001918(04)】)

WSDBのプライバシーポリシーがあるページは以下。
https://wsdb.jp/privacy-policy/

2021年10月12日の時点の記述は以下のとおり。&color(Black,antiquewhite){マーカー部分};は、解釈に関して要確認かなと思われるところです。(業界組織がガイドラインを作ってやらないなら契約者単位でやるしかないでしょう)


個人情報の収集について

個人情報とは、個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)を指します。

個人情報の目的について

当社は、収集した個人情報を以下の目的で利用することができるものとします。

  • コールセンターなどの受託業務遂行のため
  • 刊行物やインターネット等の公開情報をもとにしたご連絡
  • サービスに関するご意見、お問い合わせへの回答
  • 本人確認、認証サービスのため
  • アフターサービス、問い合わせ、苦情対応のため
  • アンケートの実施のため
  • 採用に関する各種連絡・お知らせの配信
  • 新サービス、新機能の開発のため
  • システムの維持、不具合対応のため
  • その他当社の各サービスにおいて個別に定める目的のため

個人情報の提供について

株式会社One Terraceは、原則として、ユーザーご本人の同意を得ずに個人情報を第三者に提供しません。提供先・提供情報内容を特定したうえで、ユーザーの同意を得た場合に限り提供します。ただし、以下の場合は、関係法令に反しない範囲で、ユーザーの同意なく個人情報を提供することがあります。

  • 本人の同意がある場合
  • 裁判所、検察庁、警察、税務署、弁護士会またはこれらに準じた権限を持つ機関から、個人情報の開示を求められた場合
  • 保険金請求のために保険会社に開示する場合
  • ユーザーが第三者に不利益を及ぼすと判断した場合
  • 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、ユーザーご本人の承諾を得ることが困難である場合

以下はすべて要確認という気がします。

  • 当社が行う業務の全部または一部を第三者に委託する場合
  • 当社に対して秘密保持義務を負う者に対して開示する場合
  • 当社の権利行使に必要な場合
  • 合併、営業譲渡その他の事由による事業の承継の際に、事業を承継する者に対して開示する場合
  • 個人情報保護法その他の法令により認められた場合
  • その他当社の各サービスにおいて個別に定める場合
  • 個人情報を保護する体制について
  • 当社では、個人情報管理委員会が個人情報の取扱いに関する方針を決定し、運用状況を確認しています。更に、個人情報を管理する責任部門に個人情報管理統括責任者を配置し、その者が個人情報の適切な管理を指導しています。また、従業員入社時に、個人情報保護に関する研修を行っています。

免責事項

  • 当サイトからリンクやバナーなどによって他のサイトに移動した場合、移動先サイトで提供される情報、サービス等について一切の責任を負いません。
  • 当サイトのコンテンツについて、可能な限り正確な情報を掲載するよう努めていますが、誤情報が入り込んだり、情報が古くなっている場合があります。
  • 当サイトに掲載された内容によって生じた損害等の一切の責任を負いかねますのでご了承ください。

とのこと。この、大学別科、日本語学校版ともいえるWSDB-Uが21年10月にスタートしたとのこと。サイトを見る限り、経理方面や書類関係など学生管理の他に出席管理などもある模様。さらに「U」のほうでは成績管理もあると見える。学生の成績管理は、個人情報管理の最も重要なもので、現在法律が整備されている最中。

一般論として

一般論としてこの種のシステムでチェックされるべきことは…

  • 個人情報をどこまで取得し、どう加工するか。
  • 位置情報など不要な情報の取得がないか。
  • 個人情報の第三者への提供があるか、どういうルールでか。
  • 成績や学費の情報などが個人の承諾なしに提供されるようなことはないか。

その他、いろいろとある。文科省も学生のデータの監理についてはいろいろと説明の文書を用意している。これをクリアしているか、あるいは、民間の学校相手でクリアしなくてもいい部分は何で、それについてどう考えているのか、なども重要になりそう。2000年以降の人手不足もあり、「留学生の個人情報はビジネスになる」という状況であり、しっかりした、関係各所、あるいは業界の管理、監視が必要。

特に留学生では学習履歴の保護が厳しく守られることと位置情報の不正な利用がないかは重要だと思われる。日本語学校関連業界や関係省庁は、学校法人など文科省に守られる可能性が薄い学校なども保護するために、独自にガイドラインを作り、それを守らせるような施策が必要ではないかと思われます。

学校における個人情報の持出し等による漏えい等の防止について(通知):文部科学省
https://www.mext.go.jp/b_menu/koukai/kojin/info/001.htm

民間事業者に適用される個人情報保護法関連:文部科学省
https://www.mext.go.jp/b_menu/koukai/1400619.htm

マイナンバー関連

【事例1】Clubhouse

音声SNSと呼ばれる。2020年スタート、21年に日本でユーザー拡大。21年の時点では招待制で自分のラジオ局を主催できる的なもの。18才以上で本名登録となっている。iOSアプリ先行でAndroidは1月の時点で無し。iPhoneを買える層に絞った戦略がある模様。また、21年2月の時点で、退会はCEO宛にメールを送らないとできないということになっている。学習者にアカウントを取得させる必要がある教育利用は難しいと言える。

音声データのみならず、声紋のデータも取得する。会社がこれらを第三者への提供を含め二次利用に同意することになっている。ユーザーレベルでも、イベントなどの音声はもちろんログとして(テキストとして)公開することは原則禁じられている。基本、閉じた中でのやりとりで外に出ず、ネットで共有される情報にはならないという仕様と言える。このクローズドな仕様もあり、日本では自己啓発やサロン系の主催者の利用が爆発的に増えており、本社でも日本での「特殊な利用のされ方」が良くも悪くも注目されているとのこと。

原則、本人確認ができる個人情報を登録することになっている。

「ユーザーID」「名前」「写真のURL」「ユーザーネーム」「Twitterアカウント名」「インスタグラムアカウント名」「フォロワー数」「フォロー数」「アカウント作成日」「招待したユーザー名」は、デフォルトで公開され、誰でもアクセスできることになっている(一次流出だと報道されたが、これは仕様だと会社側がコメントしている)。

👉 例えば、zoomの場合はチャットを主催者は参加者に対して、公開について同意をとれというところまで、ということになっている。

👉 米のベンチャーでは初期に退会しにくい仕組みにするのはよくある。CEOに理由をメールで送るということになっているのも定番。初期の投資を順調に集めるためにユーザー数を確保したいということだと思われる。

同種のサービス

人気となる以前から、FBやツイッターでも同じようなサービスを作ることが公言されており、21年中には似たような機能が、大手のSNSにも追加される可能性が高い。特殊な技術でもないので、より個人情報保護などがしっかりしているところが始めるまで待つという選択肢もある。

FBやツイッターなどの既存のSNSも音声チャットを開発中とのことで、この種のSNSは、テキスト+画像、動画と音声チャット、ビデオチャットがパッケージになっていきそう。

その後の問題

□ 21年2月に中国は全面的にBAN。

同月に音声、声紋などの個人情報を中国の企業に売っていることが明らかに。中国企業は家庭用、法人用の監視システムなどの世界シェアトップになっており、音声、映像、などのデータの収集、解析に熱心と言われている。

Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告 | ギズモード・ジャパン
https://www.gizmodo.jp/2021/02/clubhouse-agora.html

□ 21年7月24日 Clubhouseの38億件の電話番号などユーザー登録情報が全面流出

初期ユーザー(21年3月15日以前にアカウントを作ったユーザー)は、アカウント取得時(取得時はスキップできても招待ができないので結局提供するしかない)に連絡帳(メアド、電話番号、所属などなど)の提供がマストだったんですね。ツイッターでも、連絡帳アップする設定はありますが、任意になっています。これをアカウント取得や利用でマストにするのはかなり行儀の悪い手法だと思います。

いつから?

21年2月の時点で注意喚起が出ていたようです。つまりこの時点では連絡帳提供がマストだった模様。任意でも招待できないなら提供するしかないでしょうから。個人情報取得はこういう抜け道手法も多いです。アカウントは作れるけど実質的に提供しないと使えない、みたいな。スマホのアプリに多いです。SNSじゃなくても多い。写真の加工アプリとかも位置情報を提供しないとダメというケースもある。怪しいと思ったらインストールしないのが吉です。

21年3月15日以降は連絡先提供は廃止になった模様

21年2月にメディアが注意喚起
-Clubhouseに連絡先を提供してもいいの? 米メディアが注意喚起 - ITmedia NEWS

21年3月15日に指摘を受け連絡先吸い上げは廃止。

つまり、21年3月15日以前にアカウントを作った人は、連絡先をClubhouseに提供しているということです。この日以降でも設定を見てない人はそうした可能性があります。この日以前に招待を受けた人は、名前、電話、メアド、あるいは住所などはその招待者を通じて、すでにClubhouseに提供されていて、そのデータはどこかの企業に売られている可能性が高い、ということになります。

注意点

連絡帳を第三者に開示するのは知人の個人情報を売るようなものです。今後、そういう機会をみたら、しないことはもちろん、そのサービスの利用もしない、という選択をしてください。

Clubhouseは比較的早くから日本語教育関係者で使われはじめていますから、連絡帳を提供した日本語教育関係者は膨大な数になると思います。日本語教育関係者から漏れた個人情報も膨大な数になりそうです。

サービスを利用する時はもちろん、第三者に紹介する、アカウントを取得するのを勧める際は、事前に最低限のリスクは調べてからにしたほうがいいです。あと、こういうサービスを紹介した人、使っている人は、紹介したサービスが問題を起こしたら、この種のトラブルのニュースをきちんとSNSで投稿するなどしてきちんと注意喚起をしてください。「紹介したのに流出なんてばつが悪い」みたいなことからか、スルーしたり、「たいしたことない」みたいな伝え方をする人も多いです。ひとつのサービスから流出したものは、それを集めているところが、他の情報と組み合わせて個人プロファイルを作りますから、後々、効いてきます。怖いです。

👉 基本、Google,MS,Appleで似たようなサービスがあるなら、そこでやるのが無難です。新しい機能をウリにするサービスが出ても、半年もすれば大手でも似たような機能が追加みたいなことになります。「新しい!」「イノベーション!」とか言ってあわてて使う必要も紹介する必要もないと思います。教育現場は学生の個人情報にも影響しますから、慎重で保守的な選択でOKです。

その他

急速に広まった音声SNS「Clubhouse」個人情報の取り扱いは大丈夫?
https://legalsearch.jp/portal/column/clubhouse/

コロナの接触アプリは、開発に問題があり、かなりダメなものになってしまいました。しかし、海外ではアプリが感染抑制に成果をあげている例もあり、今後は活用が期待はされています。

当初、このアプリは違法な個人情報の取得が指摘されましたが、後に誤りであることがわかりました。この種の個人情報保護は、どちらかというと、「日本の場合は」国や政府よりも企業のほうが行儀が悪く、法律の未整備をついて、勝手なことをしているのですが、一般の人の認識は逆です。「国家による監視だ!」と騒ぐ人はいても、企業の監視はスルーみたいなことになってしまっています。

フリークス、コロナ接触確認アプリ適法性を精査する――プライバシーフリーク・カフェ(PFC)
https://www.atmarkit.co.jp/ait/articles/2007/29/news010.html

これも、以前から指摘されていることでした。

「JILIS特別会員LINE株式会社の越境データ問題に関する理事会決議のご報告」
https://jilis.org

ZOOMは中国系企業で、コロナ下で拡大しましたが、以前から個人情報に関して甘いという指摘が多い企業でした。最大の課題は「国家による個人情報の取得から学生をどう守るか」です。結論からいうと、現在(2021年秋)の仕様では、個人の有料アカウントでも、学校単位で活用することはありえないと考えたほうがいいと思います。学生の個人情報は守られません。

元々、(今もそうですが)有料アカウントへの誘導、法人ビジネスがメインのビジネスモデルです。TeamsやGoogleMeetとは性格が違います。有料アカウント紹介にはアフィリエイトもあります。

以下、いろいろと問題がありました。新興のIT系企業は、やはりいろいろと要注意だという例としてその経緯を記録します。

元々自己啓発団体御用達ツールだった

ZOOMは、学校単位でのビデオチャットの活用分野は、大手向けのものしかなかったこともあり、コロナ下で大幅にユーザーが増え、拡大しました。しかし、コロナ以前は、自己啓発系セミナー御用達のツールでした。個人情報はIPアドレスをはじめ、主催者のみが取得でき、ユーザーへのプライバシーポリシーの説明は不足しており、「その種のビジネス関係者」にとっては便利で使いやすいツールでした。日本でも、新宗教、自己啓発団体で2015年あたりから国内の教育関係者を中心に有料セミナーへの誘導に便利だということで利用が拡大していました。日本語教育関係者もZOOM利用のビジネス関係者と共に拡販に協力していた過去もあります。

コロナ以降、ユーザーが増えたことで、監視の目も生まれ、おかしなことはできなくなりつつありますが、教育利用も増え、若い学生を中心にあやしげなセミナーへ流れるケースが増えているようです。その種のオンラインセミナーでも、ZOOMは相変わらず利用されています。アカウントを持つことはこの種のリスクを広げることになりますので、要注意です。

概要

2020年のコロナ禍のころに、ZOOMの脆弱性の問題が報道されました。実はZOOMは、過去にもいろいろと問題を起こしており、その対応を含めて、いろいろと不信感を買っており、特に中国系の学生が安心して利用できるツールなのか?ということが浮き彫りになりました。個人間で遊びで使うのは自己責任でいいのですが、日本語教育機関として採用するかという点でどうなのかを考えるよいサンプルだと思いましたので、経緯を記録しました。

教育系の外部サービスでは、ほとんどの場合、匿名加工した学習したデータを取得され、二次利用の許諾をとられます。まずこれを許すかということがあります。仮に許すとして、どういうデータまで許すか、それの利用は取得した会社だけか第三者への提供までか、というものがあり、そして、その匿名化はどう行われるのかのチェックもあります。

これらを学習して学校として外部サービス利用の際のガイドラインを作る必要があります。担当者はシスアドなど個人情報保護の基本的な知識がある人と相談して作り、そのガイドラインを主要スタッフにレクチャーするプロセスが必要です。

ZOOMは、2022年の末でも、問題は継続しています。初期の問題ではなく、有料アカウントにおけるユーザーの個人情報取得の範囲が広いこと。これを学校で使って良いのか?という問題があり、法人契約でも教育向けのしっかりしたものでないと、サーバーは日本ではなく香港しか選択肢がない。選べてもデフォルトは日本ではないので管理者が忘れると、香港サーバーで運用されてしまう。

香港サーバーは中国管理下なので、中国の法律で個人情報が取得される。日本にいる留学生などが利用した場合、ログはすべて取得される可能性がある。みたいなこともあります。

👉 高木氏は日本の情報セキュリティ界隈の名物男的な存在の人で「口は悪いがフェアで筋を通す人」として知られてます。工学博士で政府の情報セキュリティ研究センターの主任研究員

2020年、コロナ問題の際に、いろいろな脆弱性が出ました。報道を受けて2020年4月1日にZoom社は改善するとa-message-to-our-usersしました。担当者はこの一連の脆弱性をある程度「解釈」する必要があります。やむを得ない種類のものなのか、そうではないものか。

以下、日本語の報道です。内容は専門的で難しいです。

オンライン会議ツール「Zoom」が問題山積み。荒らし予防策、修正状況まとめ | ギズモード・ジャパン
「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家 ITmedia NEWS
「Zoom」のウェブカメラ利用に脆弱性、その対応を巡る方針転換の理由|WIRED
Zoom Meeting for Macのインストーラーが、ユーザー承認を得ずにアプリをインストールする問題
新型コロナウイルス対策の在宅勤務で人気のオンライン会議アプリ「ZOOM」は、Facebookアカウントを持っていない人のデータもFacebookに送信している

以下は英語の記事です。セキュリティーの専門家(「ハッカー」と呼ばれることが多いですがハッキングをする犯罪者ではなく企業や大学の研究者やフリーランスの専門家です)代表的なものは以下です。

Doc Searls Weblog · Zoom needs to clean up its privacy act

その他の記事です。thehackernewsとtheinterceptは独立系の情報セキュリティ関連サイトです。

Unpatched Zoom App Bug Lets Hackers Steal Your Windows Password
Zoom’s Flawed Encryption Linked to China

ワシントンポストやフォーブス、ガーディアンの記事

Zoom videos exposed online, highlighting privacy risks - The Washington Post
Warning: Zoom Makes Encryption Keys In China (Sometimes)
‘Zoom is malware’: why experts worry about the video conferencing platform | Technology | The Guardian

その他

Zoom's attention-tracking feature is ripe for misuse
Zoom privacy: Your video conferences aren’t as private as you think
What You Should Know About Online Tools During the COVID-19 Crisis | Electronic Frontier Foundation
Zoom Teleconferencing Service & Privacy - Consumer Reports
Security and Privacy Implications of Zoom - Schneier on Security

「脆弱性」の解釈

いろいろありますし、問題の濃淡もあります。2020年の急成長を見たライバル社のネガティブキャンペーンもあるでしょう。これらの問題のうち、zoombombingは仕様の変更で、Windowsの認証情報が盗まれる件もアップデートで解決すると思います。しかし本当の問題は個人情報保護への同社の姿勢です。上の英語のサイトは詳細を伝えているもののほとんどが、虚偽の報告であったり十分な情報開示がなかったというものであることに注目すべきです。2019年から、脆弱性を指摘されても長い間ZOOM社は誤りを認めず、誠実に対応してこなかったという経緯があり、海外のセキュリティの専門家達の不信をかっています。これは2020年の急激なユーザーの規模の拡大とは本質的に関係がありません。

例えばこれらの脆弱性のうち、2020年3月に個人情報をFacebookに流していた問題は米国で訴訟になってますが、当然日本のユーザーの情報も流れている可能性があります。
ZoomのFacebookへのデータ転送(停止済み)で集団訴訟 - ITmedia
しかし、日本語のプライバシーポリシーを読む限りでは、収集した個人情報はほぼ無制限に利用するとなっており、ユーザーはそれにすでに同意したことになっています。しかも、米国の法律で、米国の裁判所で解決されると書かれています。
https://zoom.us/jp-jp/privacy.html

Zoom Meeting for Macのインストーラーが、ユーザー承認を得ずにアプリをインストールする問題があり、さらに暗号化キーが中国のサーバーを経由していて、中国では中国内にあるサーバーに対しては国の管理下にあるのでこのキーにもアクセスできる(データが流れるなら検閲もできる)ということになっていたことが問題となり、それが(2020年の米国の空気の中で)ヘイトの原因になってしまったのは残念なことです。しかし、ヘイト関連はあくまで外野の問題であって、暗号化キーに米国外のサーバー管理者がアクセスできる仕様なのはやはり大きな問題です。正直、なぜこんなことをしたのか理解できない。一度こういうことが発覚すれば、おそらく今後は米国だけでなく日本の政府系の組織や企業でも使えなくなる可能性は高いと思います。
Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明 - 記事詳細|Infoseekニュース

Zoom’s Flawed Encryption Linked to China

2021年元日のツイート。日本の省庁の対応について書かれています。この「使い分け」は、中国系の留学生を預かる学校などは、意識しながらやっていくことが求められるのでは、という気がします。

👉 ちなみに経産省の浅野大介氏が推進している「未来の教室」でzoomがピックアップされているのは日本の個人情報保護の規制とはまったく関係ないと思います。go.jpですが、作ったのはコンサルティング会社ですし、サイトをよく読むと、個々のツールの安全性を保証しない旨が書かれてます。こういうのをちゃんと確認するのも教育現場でICTを担当する人がやらなければならないことです。

追記 上を整理した後、4月6日に東京大学から「Zoomを用いたオンライン講義を安全に進めるために」という文書が出てました。これまでの問題が整理されています。
https://apps.adm.s.u-tokyo.ac.jp/WEB_info/p/pub/5756/Zoom.pdf

これに対して、セキュリティの専門家からは厳しい指摘があります。


この記事も新たなものです。セキュリティ界隈の平均的な意見という印象です。
Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう (1/2) - ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/articles/2004/07/news027.html

その後、台湾は政府から教育機関に使わないことが望ましい的な通達が、オーストラリアドイツ、シンガポールなどいくつかの国の政府機関でも使わないことになり、Googleでも使用禁止となったようです。

国際交流基金関係者のZOOM利用に対するスタンス

国際交流基金関係者は、コロナ以前からZOOMを自己啓発セミナーツールとして活用するという民間組織でコンサルタントみたいな立場でOBなど多くの人が仕事をしており関連のイベント(性格占いなどスピリチュアル系のオンラインイベント)にも出席していました。

その後、基金の「みなと」でもZOOMが採用され、ツイッター上の基金の専門家が主催するイベントのツールはすべてZOOMになりました。コロナ下で、大学などでの大規模オンライン授業システムが注目され、早く対応したZOOMが拡大するに従って、日本語教育での浸透もスピードアップしました。(2022年の時点では日本語教育では学会関連のイベントもほぼZOOMとなっています。ただし他の研究ジャンルではここまで独占状態ではありません。おそらくトップはTeams+Skypeで、次にwebEXなどの大手の次くらいだと思います)

コロナ下の右往左往

2020年4月4日に外務省がテレビ会議システムを導入という報道があり、7日に国際交流基金の関係者が急に「スカイプはzoomを超えた!」とツイート2)してました。

外務省でビデオチャットシステムの検討があり、8日までに外務省から基金に対してZOOMは使うなとお達しがあった模様:https://twitter.com/Midogonpapa/status/1247559236600483841。おそらく暗号キーが中国経由という報道が影響しているのだと思いますが、%%基金で全面的にNGとなるとまるごとのコースからセミナーまですべてスカイプに移行することになりそうです。

しかし、翌日関係者はこういうツイートをしてましたから違うようです)。さらに他の基金関係者も学習者からクレームが出ても東大も使ってるんだからと言えば納得するだろうというようなツイートもありました。しかし東大のZOOM採用はセキュリティ関係者からはかなり評判が悪いことは上で述べたとおりです。基金は個人情報保護に関して知識レベルが低く、情報収集の深度も浅いという印象です。「みなと」などでも、このセキュリティ騒動前から、早々とZOOMを採用していましたが、チェックなどはなかったと思います。

ZOOMをプッシュしてきた大学のeLearningの研究者もそういうことは仕方ないという見解。(この研究者はセミナーで「学校の法人アカウントが足りない時は個人アカでやればいい」と説明していました。おそらく個人情報保護に関する知識は無いと思います。学校の管理者は青ざめるでしょう。)

その後でてきたあれこれ

学習者が安心して使える環境とは

2020年の4月10日に開催されたシンポジウムで、柏崎 礼生 国立情報学研究所サイバーセキュリティ研究開発センター特任准教授による、ビデオ会議ソフトのセキュリティに関する発表がありました。
https://www.nii.ac.jp/news/upload/20200410-10_Kashiwazaki.pdf保存したファイル

ここで「私見」として以下のようなことが述べられています。 -Zoomは「ここ90日はセキュリティに注力する」と述べているので、「その動向をウォッチするコストをかけつつならば」使う価値があるかもしれない。 -「せっかく購入したのだから」のような「Zoomを使うことが目的化している」ことについては再考を。Cisco Webexが180日キャンペーンをやっていることですし。 -冗長化は大事。事業の継続性、高可用性が重要。

👉 「国立の機関なので特定のサービスにあまり言及できないけど、あくまで私見として(東大のことを暗に示唆しつつ、でしょうか)やんわり書いた」と解釈するのが自然かなと思います。

日本の法人ユーザーは香港と同じ管理に

セキュリティの指摘を受け、ZOOM社は、アメリカのユーザーは、米国内のサーバーでやると宣言しましたが、日本のユーザーは香港サーバーが原則という方針を出しました。おそらくは留学生の監視も意識してのことではないかと思います。法人アカウントの場合は日本と香港のサーバーの選択が可能とのこと。これは管理者が知らないとアウトです。

👉 米国ではいろいろな政治体制の国から来る留学生が留学中に母国からの監視から逃れ自由に活動や発言ができるように配慮しようという空気があります。この辺、日本語教育関係者に希薄なところだと思います。

https://pc.watch.impress.co.jp/docs/news/1246921.html
(上記に関するZOOM社からのアナウンス。https://blog.zoom.us/wordpress/2020/04/13/coming-april-18-control-your-zoom-data-routing/

無料と有料アカウントの差

:無償、有償で差をつけるということに。日本の無償ユーザーはどうなのかは不明だが、米国ユーザーは経由しないと強調しているところを見る限りでは、今後も状況によっては中国サーバー経由しますよ、ということかもしれません(香港と同じククリですし)。中国在住者は中国サーバー経由マストなので中国系の日本語学習者が「自由に話せる」プラットフォームとは言い難いということになりそうです。国家機密だとか企業の機密情報どうこうより学習者にとってどうなのかという点でも問題だという視点が重要です。

ZOOMに限らず、この種の国単位の検閲がらみのことは、学習者本人からは言い出しにくい(「問題ないです!」と言うしかないでしょう…)という特殊なことなので特にいろいろな政治体制の国からの学生を扱う学校は、ICT担当者がしっかり理解し方策を考えるべきことになりそうです。中国やベトナムだけでなく、留学生の多くは言論の自由が制限されているところから来ています。リアル授業では(学生同士の相互監視という課題はあるとしても)それなりに配慮できても、オンラインでは難しいということがあります。このセンシティブな事情を考慮し、すべての学生が安心して使える環境を準備することを考えるのもICT担当者にとって重要なポイントです。仮に、オンライン上で、実際にワード検索による監視などが行われなくても、やろうと思えばできる状況でもあるというツールを教育現場で使うことの是非、みたいなことはもうちょっと議論されてもいいのではと思われます。国家単位のネット監視は強化される傾向にあり、個人情報保護のルールはそことも関係してくる問題なのです。米国以外に本拠地があるSNSは意外とたくさんあります。

その後のZOOM対国家に関するあれこれ

中国で個人ユーザ間のZoomがサービス停止に——今週開幕の全人代が影響か – BRIDGE(ブリッジ)
https://thebridge.jp/2020/05/zoom-suspends-chinese-individuals-users-from-hosting-meetings-due-to-regulatory-demand

India Top Court Agrees to Hear Petition Banning Zoom App - Bloomberg
インド政府、Zoomを国家的排除へ。「国産ビデオ会議ツール」開発プロジェクトに着手 | Business Insider Japan
インドでも猜疑が出ている模様。今後対中関係がよくない国に広がっていくのかもしれません。
Zoomのエンドツーエンド暗号化、有料ユーザーのみに提供へ - CNET Japan
https://japan.cnet.com/article/35154769/
米人権団体のアカウントをズームが停止、天安門事件追悼のビデオ会議後 - (1/2)
https://www.cnn.co.jp/tech/35155201.html

2020年 7月 国家安全法成立
7月2日 
解説】 香港の「国家安全法」 なぜ人々をおびえさせるのか - BBCニュース
https://www.bbc.com/japanese/features-and-analysis-53259691

香港国家安全維持法(全66条)、全訳しました 
https://news.yahoo.co.jp/articles/e3ecf09f2a859fe481e9c1c81709882c787a6cf5

ここまでを整理すると、アップデート後は日本からのZOOM利用は日本か香港のサーバー経由で米国とは違って個人情報は保護されない。ただし法人契約の一部では経由するサーバーを選べる。中国香港は選べないが日本は日本のサーバー経由が可能。つまり教育利用では法人契約でかつ、日本のサーバー経由であるかその都度確認しないと、中国系学習者の言論の自由は保障されない、ということになります。

以下は7月の新たな脆弱性に関するレポート

A New Flaw In Zoom Could Have Let Fraudsters Mimic Organisations
https://thehackernews.com/2020/07/zoom-vanity-url-vulnerability.html

こうなってくると、ZOOMだけでなくサーバーが中国政権下にあるツール(特にIPなど個人が特定されやすいもの)は、日本の教育機関では使いづらくなったという気がします。中国に限りませんが、留学生の安全を守るという意味からも、学生の個人情報保護に対する教育機関としての責任問題は2020年代の大きなテーマになりそうです。

👉 この脆弱性の問題の少し前、2019年、中国はzoomの国内ユーザーは中国内を経由しないと使えないようにしました。ビデオ会議ツールの旗手「Zoom」、国慶節を前に中国国内で政府によるブロックが始まる——ユーザは国内版への移行を余儀無くされる事態に – BRIDGE(ブリッジ)

👉 同時期にこういうこともありました。Classi で大規模情報漏洩 ID や暗号パス約 122 万人分流出か | カナガク。会社の規模や市場の評価と安全性は基本的には関係ありません。ICT担当者がひとつひとつの事例を丁寧に見て判断していくしかありません。

Amazon欲しい物リストで個人情報流出

#twitter_embed(1493817827744043010)

2010年代最初から知られていたバグということですが。。。

Amazonのほしい物リストで住所がバレる?真相を徹底検証 | 日々記事
https://hibikiji.com/knowledge-amazon-wishlist-privacy/

ビデオチャットのミュート時の音声取得

ビデオ会議中、マイクが“ミュート”でも音が取得されている問題 米国チームが検証(ITmedia NEWS) - Yahoo!ニュース ~
https://news.yahoo.co.jp/articles/c59501e09a9a31a0303476f386d194ea37632170







研究

高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱 - Cafe JILIS
https://cafe.jilis.org/2022/03/18/160/

巻頭言 教育データと個人情報保護法|鈴木正朝|note https://note.com/rompal/n/nb691312449dc


1)
「自分は気にならない」という問題ではないんですが、こういうことはいつも「自分は気にならない(からそれくらいいいんじゃないの)」という人が出てくる。
2)
ちなみに、スカイプの字幕機能は1年以上前に実装済み、Google Meetも1年前からあり、いろいろと検証が行われてますが、まだ実用レベルじゃありません。仮想的に部屋を分割するのは、スカイプもGoogle Meetもアカウントは複数作れるので昔からできます。
  • 個人情報保護関連.txt
  • 最終更新: 2023/01/10 00:34
  • by webjapanese