関連ページ:労働法関連 | 著作権・肖像権 | 個人情報保護関連 | 様々な問題への対処 |


 
 

👉 個人情報保護は難しいです。以下の説明は専門家によって書かれたものではありません。記述が正しいかどうかはご自身で確かめつつ読んでください。

概要

個人で使う段階から学校などで活用するようになると、文書の重要性も高くなり、扱う第三者の情報も増えます。教育現場では、学生の個人情報保護の責任は、学校側にあるとされることが多く、教師が紹介するツールなどもしっかりチェックした上でやることになると思います。教育法人向けのアカウントでは、きちんとしていることが多いですが、予算が少ないからと一般の有料アカウントでやるとアウト、みたいなこともあります。

2020年代は、個人情報の管理が最も重要になってくると思います。

→ 今、個人情報保護の大きなテーマは、このツイートのような画像、映像による個人の特定で、日本の企業や自治体は暴走気味です。例えば日本語学校がネットで出した学生の写真が元になって、どこかで照合され、不都合なことが将来、学生の身に起こるかもしれないという可能性もあるわけです。ZOOMや音声チャットのプライバシーポリシーには、個人の声、顔、などをこちらで利用したり、第三者に提供(ほとんどの場合、要するに売るということです)すると書いてあります。これを学校で学生の個人アカウントを取得させてやるなら、事前の説明と同意が必要になるはずです。

👉 同意をとっても、授業で使うなら拒否できないという状況があります。利用するサービスで悪用され、それが防げないプライバシーポリシーだったら、事前の確認不足ですから、もし訴えられたらアウトだと思います。

日本語教育機関には学生だけでなく教師の個人情報もあり、その学校に在籍しているかどうかも含め、かなり保護が必要な重要なものが多いと思われます。事務ではパソコンでの管理は進んでいるはずですが、今後教務にもデータ管理が入ってくると成績なども特A級の個人情報が加わり、それの共有をどうするかというような大きな問題が出てきます。共有の範囲(非常勤に成績データの閲覧権限を与えるかというようなこと)などルール設定をしておかないと、まずいということになりそうです。今後、おそらく学習者のポートフォリオを管理するようなことになると思います。この管理も特A級の個人情報です。

個人情報とは?

日本の個人情報保護法の定義は解釈が難しい文章になっています。

「第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」

これを「個人情報とは特定の個人を識別することができるもの」つまり、「住所、氏名、連絡先」のことだ、と解釈するのは誤りで「個人情報とは個人に関する情報」で、その情報には「特定の個人を識別することができるものも含む」というのが正しいというのが専門家の解釈です。つまり、個人と紐ついていなくても、その個人に関する情報はすべて個人情報である、ということです。後述するEUの一般データ保護規則(GDPR)の定義もほぼそうなっています。

「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編) (1/6)
https://enterprisezine.jp/iti/detail/5752

日本と世界の個人情報保護の取り組み

日本の取り組み

ISMS人称(2019年8月)

国際規格準拠です。保護対象となる情報は、個人情報保護法で定められた個人情報に限定。工場や個別のサービスなどに個別に取得。

先に紹介した、ISMS認証(ISO27001)というものがあります。Information Security Management System(情報セキュリティマネジメントシステム)。これを取得していれば、セキュリティ管理に関して国際標準と同等であるというものです。国内のIT大手やGoogle Apple Microsoftなどは取得しています。ネット上のサービスを利用する際のひとつの目安になります。

ただし、日本の個人情報保護法はEUに比べると罰則もユルく、わずか数十万円です。現在、法律の改正が検討されています。おそらく次で紹介する米国や欧州の取り組みに準じたものとなることが予想されます。

*認証を受けたサービス、登録機関であるかどうかは少し前で紹介した以下で検索できます。 情報マネジメントシステム認定センター(ISMS-AC)
https://isms.jp/

ISMS取得の検索

プライバシーマーク

国内の規格です。国内事業者と国内に拠点がある海外の企業が、個人情報保護法を守るという事業者単位のもの。

これとは別にプライバシーマーク制度もあります。ISMS人称が個人情報に限定したものであることに対し、

プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
https://privacymark.jp/

プライバシーマークを取得しているかを検索するページ

2021年改正案の件

官民を通じた個人情報保護制度の見直し |個人情報保護委員会
https://www.ppc.go.jp/personalinfo/minaoshi/

国際的な取り組み~GDPR~

世界中に学習者がいる日本語教育関係者にとって大事なポイントです。

ネットのサービスは多国間にわたりますので、共通の定義が必要になります。今のところは世界共通のものはなく、米国、欧州、その他の国がそれぞれのルールを持ち、互いに相手のルールを尊重するような条約を結ぶことになっています。

米国にはこれまで児童の保護やスパムに関する個別の法律はあっても、デジタルデータに関する包括的な個人情報保護の法律はなく、原則として各企業と利用するユーザーの自己責任となっていました。プライバシーポリシーを守っているかを監視する機関があり、各自が出しているポリシーに違反すれば巨額の罰金がある。訴訟も多いので、ある程度抑制されている、というような構造になっていたようです。つまり、日本で米国のサービスを利用する際は、各企業のプライバシーポリシーをちゃんと読んで、自己責任でやるしかないということでした。

ただ、2012年ごろから個人情報保護の法制化がスタートし、消費者プライバシー権利章典(Consumer Privacy Bill of Rights)という名前で策定が進められています。2020年からカリフォルニア州消費者プライバシー法(CCPA)が施工され、より厳しい管理となりそうです。

EUには、GDPR(General Data Protection Regulation)というルールがあり、各国のルールもほぼこのGDPRに準拠した形となっているようです。個人を特定できる情報だけでなく、写真、SNSへの投稿、IPアドレス、遺伝子情報、趣味嗜好、宗教、哲学などの付随的なほぼすべての情報が個人情報となり、この取り扱いも、「取得」、「処理」、「域外移転」と分けられ厳しく制限されています。罰則は厳しく、世界の売り上げ高の4%もしくは数十億円ということになるそうです。

米国のサービスは欧州においては、これを守るという約束(EU-USプライバシー・シールド)が米国とEUの間にありますが、EUは米国企業をあまり歓迎はしていないということもあり、この種の規制も戦略的に使われたりという事情もあるようです。

アジアの個人情報保護事情はわかりにくいです。中国には2017年に中国サイバーセキュリティ法が作られ、個人情報保護に関するガイドラインであるPersonal Information Security Specificationがはじまったとのこと。しかし今のところは他国との連携などは、どうなるのかはわかりません。

ロシアの個人情報保護 | ロシア語を話せる弁護士に相談・依頼
https://olga.tokyo/%e3%83%ad%e3%82%b7%e3%82%a2%e3%81%ae%e5%80%8b%e4%ba%ba%e6%83%85%e5%a0%b1%e4%bf%9d%e8%ad%b7/

EUのデジタル新法

Digital Markets Act(DMA:デジタル市場法) EUR-Lex - 52020PC0842 - EN - EUR-Lex
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0842

デジタル市場法 - Wikipedia
Digital Markets Act - Wikipedia

EUデジタル新法 押し切られたIT大手:日経ビジネス電子版
https://business.nikkei.com/atcl/NBD/19/world/00476/

2020年代に入り暴走気味?

GDPR以前からEUは個人情報保護を米系企業への牽制や法的な規制などに使うことが増えていましたが、近年益々その傾向が強くなっており、EUではGoogle系のサービスがほとんど展開できないみたいなことになりつつあります。

GDPRが規制を強めることによって、日本のサイトでもCookieの但し書きを入れるケースが増えましたが、個人情報の取得が関わるサービスは訴訟リスクが常につきまとうということになり、日本発のサービスも影響を受けつつあります。

【重要】欧州などからご利用のお客様へ - Yahoo! JAPAN
https://privacy.yahoo.co.jp/notice/globalaccess.html

教育系のサービスは個人情報取得が甘いところもあり、学習履歴の活用、第三者への譲渡などが多いことから、かなり厳しい制限を受けているようです。

フォントでさえ、こういう事態になっているので。。。

「プライバシー同意」表示がプライバシー法違反、制裁金3,000万円のわけとは? | 新聞紙学的

匿名化と仮名化

実名や住所と紐ついた情報とは別に、匿名化されたデータという呼ばれ方をするものがあります。匿名化とは、収集した個人情報を特定の個人から「40代 女性」などと一般化してデータ化し、これを復元ができないもの(元データの個人と再び紐つけられない)ということになっており、匿名化された情報ならば収集したものは活用してよい、という考え方もあります。しかし複数の情報(住んでいる地域、購入履歴)を照合すれば特定される可能性が高まるケースがあり、判断が難しいところです。リクナビのケースなどは匿名化された情報とされていましたが、企業に提供すれば個人が特定できることになっていて、それを双方知った上で提供が行われたという悪質なケースでした。

匿名であるが照合するなどして個人が特定できる可能性があるものを「仮名化」と呼び区別することになってきています。 学校などで個人情報を扱う場合は、この匿名化と仮名化を区別し、それぞれのルール設定とプライバシポリシーなどでの説明が必要になってくると思われます。

GDPR 匿名化と仮名化の違いは?暗号化はどっち?
https://www.xn--gdpr-ev9g41r.net/gdpr/anonymous.html

学生の権利の保障

学生は学校などに自分の個人情報が守られているのかを訊ねることができます。日本の法律では、個人情報保護法第28条に「保有個人データの本人開示を請求する権利」が保障されています。この手続きに基づいて請求すれば、断ることはできません(断られたら国の個人情報保護委員会に通報して対処してもらうことができる)。

このことを最初に学生に伝えておく必要があります。

国家による監視

国家による監視は2020年代の大きなテーマになりそうです。このページでもZOOM関連の規制についての記述があり、オンラインレッスンの中国の規制はオンライン授業のページで触れています。

学生による相互監視の目も

また日本語学校は表現の自由が制限された国の学生も多数在籍しており、学生の作文などでの自己表現をどうコントロールするのか?という問題があります。ネット上でSNSやブログで発信するタイプの授業でも自由に書けない学生がいますし、学内のシステム上でも学生同士の相互監視下なのでより書けないよ、というような状況は今でもあるわけです。

ICTの活用が進めば、作文を提出し教務内のみで共有していた時と違う状況が生まれます。「一時帰国から戻らない生徒が政府に拘束されていた。それは日本語学校で漏れた学生の作文の内容が原因だった」みたいなことは、おそらくこれまでも起こっていたかもしれず、今後は起きる可能性がより高くなると考えるべきだと思います。

👉 追跡アプリなどで位置情報を取得したり、写真を投稿するシステムでexif情報を削除しないと自宅が特定されてしまうというような問題もあります。これもいかにも留学生や就労系の受け入れ組織で起きそうです。

Facebookとベトナム

FacebookがMETAと社名を変えた2021年の10月に多くのリーク情報がありました。ベトナム政府の要請に応じてFacebookがベトナム国内のユーザー情報を提供し、管理権限をベトナム政府に譲ったというものでした。

フェイスブック ベトナム政府に検閲の強化を容認” 米有力紙 | IT・ネット | NHKニュース
https://www3.nhk.or.jp/news/html/20211026/k10013321551000.html

学校としての取り組み

ネットから「顔」100億枚、AI顔認識に規制当局が削除命令 | 新聞紙学的
https://kaztaira.wordpress.com/2021/11/05/oaic_says_clearview_ai_breached_australians_privacy/

以下は主に学習者の個人情報保護に関することです。日本の教育関係の個人情報保護は、小中学校のGIGAスクール構想周辺で整備されつつあります。

GIGAスクール構想の実現について:文部科学省

学校教育の情報化の推進に関する法律 文部科学省

関連していろいろと問題も起きています。

名古屋市、小中のタブレット使用中断 操作履歴を無断で取得 | 毎日新聞

しかし、GIGAスクール構想を推進する「有名人」の人達は、いまひとつ個人情報保護について理解が浅く、専門家からたびたび指摘を受けています。つまり、SNSで、表面的な情報収集をする程度ではマズいということです。きちんとした理解を持つ担当者が必要です。

関連記事など

ニッポンの教育ログを考える——プライバシーフリーク・カフェ#16(前編) - Cafe JILIS
https://cafe.jilis.org/2022/05/15/347/

巻頭言 教育データと個人情報保護法|鈴木正朝|note
https://note.com/rompal/n/nb691312449dc

学校図書と個人情報

大学や専門学校の図書館や日本語学校でも図書を持つことが決められています。司書ではなくても、学校図書の利用を管理する人は個人情報保護の責任者となります。

告示には以下の項目があります。

 二十五 校舎に教室,教員室,事務室,図書室,保健室その他必要な附帯施設が設けられていること。

 二十九 校舎内に,生徒数などに応じ,必要な種類及び数の視聴覚教育機器,図書その他の設備を設けていること。

図書館に関する法律は以下に。
図書館法施行規則 | e-Gov法令検索
https://elaws.e-gov.go.jp/document?lawid=325M50000080027

学校の図書に関しても、図書館法に準じたルールがあります。

学校図書館プライバシー・ガイドライン - 学図研(がくとけん) - 学校図書館問題研究会
http://gakutoken.net/opinion/2018gakuto-privacy_guideline/

日本語学校がこれらの規制下にあるかは微妙ですが、文科省の監督下にある以上は、これらに準じたものが求められるはずです、何より、自分が利用した情報が漏れるところで本を読もうという人はいないはず*1です。図書管理は担当を決め、個人情報は厳しく管理されるべきです。

「あの本は貸し出し中ですか?」
「あの本は**さんが借りてる最中だよ~」
みたいなことも言ってはダメということは、やはり事前に意思統一をしていないとやってしまいがちなことなので、管理者を決め、ルールを明文化しておくことは大事ではと思います。

学図研(がくとけん) - 学校図書館問題研究会
http://www.gakutoken.net/

公立図書館-警察の照会への対応 緊張感が低下していないか?
https://www.jla.or.jp/portals/0/html/jiyu/yambe20130715.pdf

教師の個人情報

雇用契約ならば履歴書の退職後3年の保管は義務となっていますが、3年を経過した後の廃棄や返却は行わなければならないとされています。学校側も(個人の評価に関する立ち話レベルであっても)個人情報の第三者への提供の禁止と、契約が終了した際の履歴書の返還、個人情報の廃棄はコンプライアンス上、徹底すべき事項です。

まだ教師や学生の個人情報を安易に提供しないというルールがあるかも重要です。教師の評価を教師の紹介業者に提供することだけでなく、本人から提供された情報でないものを就職の際の判断基準にしてはいけないという法律もあります。

職業斡旋・紹介における個人情報管理

学生の就職情報はもちろん、教師の就職、転職を行う業者は増えています。厚労省の登録業者ではないところも多数あり、学校側は、しっかりとプライバシーポリシーなどを確認し、個人情報保護に関する文書を交わす必要がでてきます。学生の成績などの情報を口頭であっても提供しないことは重要です。登録業者でなくても労働契約法など守らなければならない法律はあり、特定商取引法なども関係してきます。「個人でやってることだから」では済まないことが多数あるというわけです。

学校と違い雇用関係がない職業紹介業者には履歴書やエントリーシートなどの保管義務はないので、教師はもしこの種の人達を利用するならば、紹介業務が終了した時点での個人情報の完全な廃棄(電子データはもちろん、エントリーシートなどのコピーの廃棄も意味します)を記した、名前、住所、日付入りの文書を準備する必要があるはずであり、学校側も完全な個人情報保護を求めるべきです。

職業斡旋業者として厚労省に登録したかどうかは以下で確認できます。
http://www.jinzai-sougou.go.jp/

関連法律 厚労省 労働者派遣事業・職業紹介事業等
http://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/koyou/haken-shoukai/index.html

職業紹介をめぐる法的な問題等について 第2回 | 職業・雇用関係情報等 | 一般財団法人 日本職業協会
http://shokugyo-kyokai.or.jp/shiryou/shokugyo/01-2.html

👉 職業紹介が特商法上の役務(えきむ)の提供にあたるという説明がなされています。

通信販売|特定商取引法ガイド:特商法上明示しなければならない情報などのガイド。
http://www.no-trouble.go.jp/what/mailorder/

日本語教師は養成講座や求人の際に、個人情報が勝手にやり取りされるケースがあります。それについては、「労働法関連」の求人の際の個人情報で少し説明しています。

学生の個人情報

学内で取得する個人情報をどうするかは、デジタル化の際に、改めて考えて作っておく必要があります。名前、住所、成績はもちろん、国籍、進学就職先などをどう管理し、学外に提供する場合はどういう原則があり、具体的な場面(例えば進学先、就職先に希望されても提供しないものは何か、就職斡旋系のところへ提供する場合どうか)でどうするかまで細かく決めておきましょう。昔作ったぼんやりしたプライバシーポリシーへの同意があるからいいだろうと考えていると、すぐに行き詰まります。

当然、事前の許諾も必要です。入学時にとってないなら、新たに作ったものに対する許諾が必要ですし、外部への提供の際はあらためて同意が必要になるものも多いはずです。

学校の個人情報管理のガイドラインをどうするかは、もはや専門化に相談しないと作れないと思います。少なくとも一人は基本的なことを理解している担当者を作り、その人を軸に進めるしかありません。

日本語学習者の母国の政治体制があまり民主的ではないというケースが多いということも注意点です。今後、個々の学校が関係の深い国から学生の個人情報の提供を求められた際に、どうするのか?対応によっては学習者が被害を受ける可能性もありますし、政治問題化する可能性もあります。日本語学校が持つものは、成績だけでなく、生活状況、態度、作文などから思想信条までを調査するデータになります。日本の法律をたてに提供を拒否することになるはずです。セキュリティは万全で無ければならないのはもちろん、かなり重要な情報を扱っているのだという意識が必要です。

気がつかずに事務所にあるパソコンから目を離した隙に「指導的立場の学生」からUSBメモリでデータを抜き取られ、半年後に一時帰国した学生がそのまま母国で逮捕された、みたいなことになったが学校側は気づいていない、みたいなことはもうすでに起きているかもしれません。

ハード経由の個人情報流出

コピー機やルーターなどが勝手に個人情報を取得してネットでどこかに送る、みたいなことがあります。アレクサなどの音声で機器を操作するタイプのものもありますし、みえないところで行われているものもあります。日本の規格を通ったものならだいたい大丈夫と言われてますが、そうでもないケースもある模様。

TP-Link製ルーター、無断でデータをAviraに送信。1日に8万件ものリクエスト | ニッチなPCゲーマーの環境構築Z
https://www.nichepcgamer.com/archives/tp-link-routers-send-data-to-avira-without-the-users-permission.html

スマホを預かることの違法性

2020年、スマホを没収し、私生活を不当に制限したとして、技能実習生の管理団体職員が逮捕されるということがありました。
https://archive.is/szOnj

個人が所有しているスマホを本人が見えない形で一時的に預かることは問題があることにも注意すべきです。そもそもスマホを預かる必要はないはずですが、授業での持ち込み禁止などをする学校で生じる可能性があります。

スマホには個人の住所や電話番号だけでなく、銀行やクレジットカード、オンラインショッピングサイトのパスワードなどあらゆる個人情報が入っています。たとえ学校や教室に持ち込みが禁止されていても、本人の視界から消えるところで預かることはできないと考えるべきです。教室で回収し、全員がみえる場所に箱を置いてそこに入れておいて授業が終わったら返却、というような形をとらないとアウトだと思います。事務でも同じです。必ず本人が見える場所に置く。

すでに海外の学校などで、学校管理ソフトに生徒の位置情報を収集するような機能が盛り込まれているものがあり問題となっています。今後、学校における学生の勝手な個人情報収集は大きな問題になっていく可能性があります。

失踪で学校や受け入れ団体が大きなペナルティとなっている現在の制度では、受け入れた学生を位置情報で管理しようとするところがあっても不思議はありません。しかし人権上大きな問題があります。スマホの一時預かりは、位置情報のアプリなどを勝手にインストールする機会になります。仮に、学校でやらなくても、他の機関がこの主のアプリをインストールしていた場合、学校側が疑われる可能性も出てきます。

もちろん、クレジットカード、銀行のログインパスが漏れた場合、疑われるのは一時的にでも預かった人、組織です。問題になるのがいやならスマホは預からないようにしたほうがいいと思います。

スマホのロックはPINコードなど簡易的なものなので、破るのは難しくありません。日常的に使っている人ならば、絶対に他人に預けたくはないものですが、使わない人にはあまりわからないものなのでオカシナルールを作らないように気をつけましょう。

’’配布する機器に関するモラル’’

上で述べた監視機能、特に位置情報を取得しての管理は、ほぼ違法であり、裁判になれば有罪になる可能性が高いばかりでなく、国際的な問題に発展する可能性すらあります。一時預かりはそういうことを疑われるリスクがあるわけですが、学校が配布するノートやタブレットなどでも注意が必要です。

監視対象の iPhone、iPad、iPod touch を使う - Apple サポート
「雇用主や学校から iPhone、iPad、iPod touch を支給された場合、そのデバイスは監視対象となっている可能性があります」
https://support.apple.com/ja-jp/HT202837

コロナ関連

関連法、厚労省の見解などの整理

新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて |個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/covid-19/

新型コロナウイルス感染症に係る予防接種の実施に関する職域接種向け手引き(第3版)(21年8月)
https://www.mhlw.go.jp/content/000789452.pdf

ワクチン接種はしっかりした説明と説得が必要だが、強制は現時点ではNG。ただし、国よっては教育機関での教師や職員のワクチン接種は義務化されるケースが増えている。学生の接種も半義務化(出席はできるが隔離など)というケースもあるので流動的。上のようにリストで管理することはできないが、匿名のアンケートレベルであれば、定期的に行うことは可能。

2021年10月以降の再入国ではワクチン接種が条件になる可能性もある。国よってはワクチンの種類も違い、ワクチンの「有効期間」問題もあるので、今後、どうなるかはわからない。仮にワクチン接種が義務化された場合、在校生で日本でワクチン接種をしていない学生との隔離などはどうなるのか?もわからない。学生から要望があれば対応せざるを得ないのでは?

👉 当然体質的に接種できない人もあり、ワクチン接種によって格差が生まれてはならない。これも業界でガイドラインを作る必要があると思われるが、ほぼ期待できないので、学校できちんと対応し、その対応を記録しておくことが重要。

業界全体でのガイドライン作りが必要

留学生の個人情報保護の問題と、日本語教育関係者自身の個人情報保護の2つについて、なんらかのガイドラインが必要です。

まずは知ることから

個人情報に関する規定は米日欧で違います。世界共通の規定はなく、それぞれの規定を尊重するという協定がなければ、サービス提供会社の本拠地のルールで進みます。ZOOM社(米)は欧州との間では欧州との協定(プライバシーシールド)があり GDPR(EUの規定)を尊重することになっていますが、日本との協定は書いてありません。日本の個人情報保護の規格であるISMS認証は受けていません。米国の個人情報保護の法律は現在作成中で、州の規制はあるものの、基本的には企業とユーザーの約束に任されています。あと、ZOOMの個人アカと教育ライセンスでは取得した情報の商用利用のポリシーは違います。個人アカの個人情報は商用活用可能で第三者に提供していいと同意したことになってます。すべてZOOMの日本語のプライバシーポリシーをきちんと読めばわかります。しかし担当者が読んでいて、かつ、きちんとリスクを理解しアナウンスしていないと、詳しくない人が、大学で教育ライセンスで利用していて、ホストが足りないからと個人ライセンスで補ったりしたらアウトです。

個人情報保護は教育現場では重要です。でも、難しいです。わかる範囲で調べて、信頼すべき情報源をウォッチしつづけるか、専門家に尋ねたりしながらコツコツ勉強するしかないです。シスアドの教材なんかもあります。大きな大学なら、他の学科(情報工学科、情報理工学科、情報通信学科)に必ず情報セキュリティの研究者はいるはずですから教えを請いましょう。例えばここ数年、トレンドマイクロが数々の問題を起こしている、みたいなことは一般の人はほとんど知らない。でもセキュリティ界隈では旧知の事実です。関係者は誰も使っていない。でも家電量販店で買うとついてくるからそのまま使っている人は多い。専門的な知識は無くても、こういうことを一応拾えている人になったほうがいいと思います。
情報セキュリティ対策教材のご案内:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/personal/get/index.html

IPAは、日本の情報セキュリティの最も重要な組織です。ツイッター(@ICATalerts)でも、セキュリティの速報などを流しています。 その他、日本の情報セキュリティの代表的な人物、上で紹介した@HiromitsuTakagiや、日本の個人情報保護関連の法整備に関わられてきた情報法制研究所(JILIS)理事長で新潟大学法学部教授(情報法)の@suzukimasatomo氏らもツイッターでいろいろな情報発信をしています。海外のリソースも重要です。@thehackersnews などをフォローしておきましょう。英語ですが、セキュリティの専門家の@dsearls氏も積極的に発信しています。

以下のウェブメディアでは中小企業から大企業までの情報セキュリティに関する記事が充実しています。無料の会員登録をする価値はあります。

セキュリティ - ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/subtop/security/

Security Online(セキュリティ オンライン)
https://enterprisezine.jp/securityonline/
特にこの記事は学校のICT担当者は必読だと思います。
「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編) (1/6):EnterpriseZine

難しいことはわからない、という時は

それも難しいなら、リスクがあるなら使わなければいいだけです。担当者が最優先すべきは学生の個人情報です。せめて脆弱性がある間は使わない。対応が不誠実だと思ったら、ツールやサービスなんて見捨てればいいのです。ひとつのツールやサービスに固執する理由はまったくない。すでに国内で運用実績があるオープンソースか、日本の個人情報保護の規格(ISMS認証)をクリアしている「無難な」サービスで、出来る範囲でやりましょう。MSやGoogleやSlack、CISCO はクリアしてますし、日本に支社があり、日本の法律に基づいて、日本の裁判所でという記述がプライバシーポリシーにあります。教育利用は人を巻き込むリスクがあるところですから、ツールの選択は冒険するところではないのです。ビデオチャットのサービスは無数にあります。定期的にチェックして代替ツールは常に考えておきましょう。特定のツールに依存しないことが重要です。基本、個人情報を扱う可能性が高いツールの選択は、寄らば大樹が正解だと思います。

ひとまずの結論 中立的な立場を保つ

後述の事例からわかることは、教育におけるICT活用では、教師は利用するツールに関して、常に学習者にとってどうなのか?を軸に考え、採用するかどうかは、中立的な立場を守らねばならないということです。これは米国などでは特に、特定の企業からの援助や補助金不正なども起こっていることから教育現場のモラルとしてたびたび語られ、欧州では厳しく監視されています。日本はかなりユルいという印象です。さらに、日本語教育ではICTに詳しい人が少ないこともあり、一人の「ちょっと詳しい人」が「自分が詳しい」とか「好きだ」というような理由で何もかも決めてしまうという傾向があることもリスク要因です。

「契約したから」「人気があるから」「(教師が)使いやすいから」という理由で採用し、使い続けることは間違いです。それらはツール選択の理由としても優先順位は低い。また、導入した担当者は採用したツールに関するリスク関連の情報の収集は欠かさず行い、しっかりと対処をする、きちんと学生や教師など利用者にアナウンスをする、時に利用をストップし、代替ツールを探すという責任を負わねればなりません。

そして担当者が去り、監視ができないものは利用を止める。これも人の移動が多い日本語教育機関では守られるべきガイドラインのひとつではないかと思います。「前任者が導入したもの」を誰もわからないまま使い続けているところはかなり多いようです。

業界全体での対応が必要

教育業界は個人情報を管理する場面がたくさん出てきます。ICTの活用が進めば扱う情報はかなり厳密なルールによる管理が必要になります。求人サイト、職業の紹介業者、学校での教師や学生の個人情報保護など業界には問題が山積しています。業界にも、学生や日本語教師の個人情報を守るガイドラインを作るよう求めていきましょう。

職業安定法第5条の4 - Wikibooksは、まさに就職活動での個人情報を規定したもので、特に、直接訊ねたものしか採用基準にしなければならないことになっており、リクナビの事件でも焦点になったところ。人材派遣業者にとってビジネスになるところでもある。日本語学校業界はここを守らねばならないが、そういう意識があるかは疑わしいし、実際に守られているかも疑わしい。

ツールやサービス利用&紹介の際の注意点

ツールとはアプリやソフトの類いで、サービスはSNSを含めビデオチャットや音声チャット、学習サービスなどです。 今後、少しづつ書いていく予定です。

ひとまず、何かのツールやアプリを紹介する場合は…

は最低限、必要だと思います。プライバシーポリシーと利用規約の読み方のポイントなどは、おって書いていきます(ググればいろいろ出てきます)。特に教育機関で使う場合は、個人の無料アカ、有料アカ、法人アカ、教育法人用アカ、などで、かなり違うことがあるので、そこも要注意です。

主な企業の基本情報(制作中)

プライバシーマークを取得しているかを検索するページ

ISMS取得の検索

👉 ISMSはサービスごとに取得なので、詳しくはそのサービスの利用規約などで確認してください。

【事例】ツールの選択と個人情報保護

概要

ここからは、実際にどう個人情報を収集し、どう活用されているのかを事例で見ていきます。

Siriなどの音声関連のアプリやサービスでは、最初に声紋含む音声データの取得に同意することになっています。この音声をタイプしてテキスト化するアルバイトの求人が出たりしています。ビデオチャットなどの個人情報には、顔の画像、動画の取得も含まれるようになっています。この種の情報は技術の向上のために自社で使うだけでなく、まとめて第三者に売られることもあります。買い手は、その種の個人情報を集めて照合し、名前、国籍、住所、電話番号、メアド、顔の画像、声でまとめて名簿を作り、また転売する、というビジネスモデルです。

今のところ、MSやApple、Googleなどは、この種の転売までは踏み込んでいませんが、新興の企業などは米系でも中国系でも、もちろん日本の企業でもやっています。個人の考えで、このリスクを負うのはいいとしても、学校で教育利用となると話は違ってきます。

アカウントを取得して使うようなネット上のサービスを利用する場合、学校や授業の主催者、日本語教師は、学生は個人情報保護に関わる判断をすることになります。SlackやTeams、ビデオチャットなどのプライバシポリシーはかなり違いますし、例えば、ゲームのプラットフォームを利用する場合などは、教育関連ツールよりも、多くの個人情報をゲーム会社に提供することになります。

慎重な選択が必要です。

AppleやGoogleのストアは審査があるので大丈夫と考えるのは早計で、アプリには審査をすり抜ける情報収集機能があったりしますし、正面から収集すると宣言して許可させるものもあります。許諾したら終わりみたいなものは、少なくとも学校が推薦したら訴えられても仕方ないという気がします。そこそこ有名なアプリでも意味なく位置情報を(マーケ用に)取得することになっていて抗議を受けて外したりということがあります。アプリだけでなく、ブラウザーの機能拡張なども同じです。個人情報収集が目的のアプリはストアに無限にあります。これらのことをまず学習者に教えることも重要になってきています。

上の件、以下の釈明記事がありました。 「原神」公式、PC版の“スパイウェア疑惑”についてコメント ゲーム終了後も起動していたのは「不正パッチを防ぐため」 - ねとらぼ
https://nlab.itmedia.co.jp/nl/articles/2009/29/news052.html

炎上しないとこういう対応もなかったわけで、自己防衛しないと難しいということがわかります。何も考えずにインストールするのはやめるか、使うツールはGoogleなどだけにするか、しかなさそうです。

国家による個人情報の収集

多分、これが一番やっかいです。どの国のサービスか?は、要チェックです。残念ながら中国系企業が取得した個人情報は中国政府と共有されているケースが多いようで、しっかり管理しないと、日本にいる留学生の情報も収集されてしまいます。

一般論として企業においては、米国よりも欧州のほうが個人情報の保護に熱心だと言われますが、市場で強い米系企業への牽制として規制を戦略的に用いるようなことも多いようで、単純に欧州のほうがフェアだとも言いきれないようです。

これが国家単位での規制となると、一層見えにくくなります。米国はかなり昔からエシュロン計画がスタートしており、ネット上の情報はほぼ収集されていると考えて間違いなさそうです。

中国系企業の個人情報保護

2010年代になり、中国系企業はハードからソフト、ネットに進出し、個人情報を収集に積極的です。そのほとんどは、中国政府も取得するようです。特にネット系のサービスでは、無料アカウントではほぼ100%個人情報は取得され、第三者への譲渡も含め、自由に使われてしまうようです。米国でも市場が広がると、ある程度欧米諸国の個人情報保護のルールの監視下になりますが、本社が中国にあり、中国にサーバーがあれば、基本的には取得されたデータはどう使われてもわからない、ということになります。 ZOOMやTik Tokなどは、米国内では違法な個人情報の取得はされないことになっていますが、日本はその規定外ということもあります。

中国がアリペイに「分割」命令、与信データを政府の管理下に | Forbes JAPAN(フォーブス ジャパン)

これは、カード利用に関わる個人情報データが中国政府の管理下になるというニュースで、こうなるとやはり利用は憚られます。例えば支払いルート開拓として、日本の民間の学校がアカウントを作った場合、その入出金のデータは中国政府に取得されてしまうことになります。学校としても問題ですが、留学生の個人データを母国の政府が取得する形にしてしまうというのは、どうなのか?という問題があります。ZOOMの活用の問題にも繋がりますが、一旦、そういうサービスを使うことにしてしまうと、学生に、それを使わないわけにはいかない、という状況に追い込むことにもなってしまいます。使わないのは何か後ろ暗いことがあるからだと思われてしまうからです。

つまり日本国内の学校などは、基本、支払いやICTツールは、日本か米国など、個人情報が保護されているものに限定したほうがよいと言えます。

現在使われている学校管理システムなど

→ 21年12月の日本語教育関係者のツイート。日本語学校の出欠や成績データに講師が自宅からアクセス出来るシステムというのは微妙という印象。かなり厳密な管理が必要なところなので、要検証だと思われます。GIGAスクール方面では出来る(多分学校の管理者以外無理)?告示校はその辺ユルい?

留学生関係では業界シェアトップはOne Terrace | Company Profileという会社が作っている「留学生向け管理システムWSDBとのこと。21年10月12日の時点で日本語学校80校、その他合わせて88校。日本語学校の有力校のほとんどが利用している模様

入学前情報、出席情報、成績情報、ビザ情報、アルバイト情報、入金情報、出席管理、法務省の提出書類など各種証明書の管理、発行に対応しており、学生向けのアプリでは「住所、電話番号、アルバイト情報、在留資格情報などをスマートフォンアプリを使い学校に報告」とあります。また「安否確認機能、学生証機能も予定」とのこと。位置情報に関係ある?

One Terraceの役員にはにほんごプラットの阿久津 大輔氏の名前もあり、人材派遣関係の会社だと思われる。ざっと検索した限りでは、上のISMS認証、プライバーシーマーク、は取得していない模様。会社のサイトにも記述も見当たりませんでしたが、開発元の東和ソリューションエンジニアリング株式会社 には、プライバシーマークを取得と記述がありました( 【認定番号:17001918(04)】)

WSDBのプライバシーポリシーがあるページは以下。
https://wsdb.jp/privacy-policy/

2021年10月12日の時点の記述は以下のとおり。マーカー部分は、解釈に関して要確認かなと思われるところです。(業界組織がガイドラインを作ってやらないなら契約者単位でやるしかないでしょう)


個人情報の収集について

個人情報とは、個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)を指します。

個人情報の目的について

当社は、収集した個人情報を以下の目的で利用することができるものとします。

個人情報の提供について

株式会社One Terraceは、原則として、ユーザーご本人の同意を得ずに個人情報を第三者に提供しません。提供先・提供情報内容を特定したうえで、ユーザーの同意を得た場合に限り提供します。ただし、以下の場合は、関係法令に反しない範囲で、ユーザーの同意なく個人情報を提供することがあります。

以下はすべて要確認という気がします。

免責事項


とのこと。この、大学別科、日本語学校版ともいえるWSDB-Uが21年10月にスタートしたとのこと。サイトを見る限り、経理方面や書類関係など学生管理の他に出席管理などもある模様。さらに「U」のほうでは成績管理もあると見える。学生の成績管理は、個人情報管理の最も重要なもので、現在法律が整備されている最中。

一般論として

一般論としてこの種のシステムでチェックされるべきことは…

その他、いろいろとある。文科省も学生のデータの監理についてはいろいろと説明の文書を用意している。これをクリアしているか、あるいは、民間の学校相手でクリアしなくてもいい部分は何で、それについてどう考えているのか、なども重要になりそう。2000年以降の人手不足もあり、「留学生の個人情報はビジネスになる」という状況であり、しっかりした、関係各所、あるいは業界の管理、監視が必要。

特に留学生では学習履歴の保護が厳しく守られることと位置情報の不正な利用がないかは重要だと思われる。日本語学校関連業界や関係省庁は、学校法人など文科省に守られる可能性が薄い学校なども保護するために、独自にガイドラインを作り、それを守らせるような施策が必要ではないかと思われます。

学校における個人情報の持出し等による漏えい等の防止について(通知):文部科学省
https://www.mext.go.jp/b_menu/koukai/kojin/info/001.htm

民間事業者に適用される個人情報保護法関連:文部科学省
https://www.mext.go.jp/b_menu/koukai/1400619.htm

マイナンバー関連

【事例1】Clubhouse

音声SNSと呼ばれる。2020年スタート、21年に日本でユーザー拡大。21年の時点では招待制で自分のラジオ局を主催できる的なもの。18才以上で本名登録となっている。iOSアプリ先行でAndroidは1月の時点で無し。iPhoneを買える層に絞った戦略がある模様。また、21年2月の時点で、退会はCEO宛にメールを送らないとできないということになっている。学習者にアカウントを取得させる必要がある教育利用は難しいと言える。

音声データのみならず、声紋のデータも取得する。会社がこれらを第三者への提供を含め二次利用に同意することになっている。ユーザーレベルでも、イベントなどの音声はもちろんログとして(テキストとして)公開することは原則禁じられている。基本、閉じた中でのやりとりで外に出ず、ネットで共有される情報にはならないという仕様と言える。このクローズドな仕様もあり、日本では自己啓発やサロン系の主催者の利用が爆発的に増えており、本社でも日本での「特殊な利用のされ方」が良くも悪くも注目されているとのこと。

原則、本人確認ができる個人情報を登録することになっている。

「ユーザーID」「名前」「写真のURL」「ユーザーネーム」「Twitterアカウント名」「インスタグラムアカウント名」「フォロワー数」「フォロー数」「アカウント作成日」「招待したユーザー名」は、デフォルトで公開され、誰でもアクセスできることになっている(一次流出だと報道されたが、これは仕様だと会社側がコメントしている)。

👉 例えば、zoomの場合はチャットを主催者は参加者に対して、公開について同意をとれというところまで、ということになっている。

👉 米のベンチャーでは初期に退会しにくい仕組みにするのはよくある。CEOに理由をメールで送るということになっているのも定番。初期の投資を順調に集めるためにユーザー数を確保したいということだと思われる。

同種のサービス

人気となる以前から、FBやツイッターでも同じようなサービスを作ることが公言されており、21年中には似たような機能が、大手のSNSにも追加される可能性が高い。特殊な技術でもないので、より個人情報保護などがしっかりしているところが始めるまで待つという選択肢もある。

FBやツイッターなどの既存のSNSも音声チャットを開発中とのことで、この種のSNSは、テキスト+画像、動画と音声チャット、ビデオチャットがパッケージになっていきそう。

その後の問題

□ 21年2月に中国は全面的にBAN。

同月に音声、声紋などの個人情報を中国の企業に売っていることが明らかに。中国企業は家庭用、法人用の監視システムなどの世界シェアトップになっており、音声、映像、などのデータの収集、解析に熱心と言われている。

Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告 | ギズモード・ジャパン
https://www.gizmodo.jp/2021/02/clubhouse-agora.html

□ 21年7月24日 Clubhouseの38億件の電話番号などユーザー登録情報が全面流出

初期ユーザー(21年3月15日以前にアカウントを作ったユーザー)は、アカウント取得時(取得時はスキップできても招待ができないので結局提供するしかない)に連絡帳(メアド、電話番号、所属などなど)の提供がマストだったんですね。ツイッターでも、連絡帳アップする設定はありますが、任意になっています。これをアカウント取得や利用でマストにするのはかなり行儀の悪い手法だと思います。

日本の番号は8000万件なんて書いてあります。ダブったり個人のものじゃないものがあるとしても、ほぼすべての連絡先が漏れた可能性大。もうアングラサイトで売られているようなので、今後、どこかの業者からSMSでメール送られてくることかもしれません。これだけ大規模になると、ニセモノも大量に出回るでしょうし、大混乱になりそう。

その後、データの信憑性についていろいろと議論噴出

クラブハウス「38億件の電話番号流出」騒ぎも「偽物」か – SAKISIRU(サキシル)
https://sakisiru.jp/6787

という情勢の模様。

いつから?

21年2月の時点で注意喚起が出ていたようです。つまりこの時点では連絡帳提供がマストだった模様。任意でも招待できないなら提供するしかないでしょうから。個人情報取得はこういう抜け道手法も多いです。アカウントは作れるけど実質的に提供しないと使えない、みたいな。スマホのアプリに多いです。SNSじゃなくても多い。写真の加工アプリとかも位置情報を提供しないとダメというケースもある。怪しいと思ったらインストールしないのが吉です。

21年3月15日以降は連絡先提供は廃止になった模様

21年2月にメディアが注意喚起

21年3月15日に指摘を受け連絡先吸い上げは廃止。

つまり、21年3月15日以前にアカウントを作った人は、連絡先をClubhouseに提供しているということです。この日以降でも設定を見てない人はそうした可能性があります。この日以前に招待を受けた人は、名前、電話、メアド、あるいは住所などはその招待者を通じて、すでにClubhouseに提供されていて、そのデータはどこかの企業に売られている可能性が高い、ということになります。

注意点

連絡帳を第三者に開示するのは知人の個人情報を売るようなものです。今後、そういう機会をみたら、しないことはもちろん、そのサービスの利用もしない、という選択をしてください。

Clubhouseは比較的早くから日本語教育関係者で使われはじめていますから、連絡帳を提供した日本語教育関係者は膨大な数になると思います。日本語教育関係者から漏れた個人情報も膨大な数になりそうです。

サービスを利用する時はもちろん、第三者に紹介する、アカウントを取得するのを勧める際は、事前に最低限のリスクは調べてからにしたほうがいいです。あと、こういうサービスを紹介した人、使っている人は、紹介したサービスが問題を起こしたら、この種のトラブルのニュースをきちんとSNSで投稿するなどしてきちんと注意喚起をしてください。「紹介したのに流出なんてばつが悪い」みたいなことからか、スルーしたり、「たいしたことない」みたいな伝え方をする人も多いです。ひとつのサービスから流出したものは、それを集めているところが、他の情報と組み合わせて個人プロファイルを作りますから、後々、効いてきます。怖いです。

👉 基本、Google,MS,Appleで似たようなサービスがあるなら、そこでやるのが無難です。新しい機能をウリにするサービスが出ても、半年もすれば大手でも似たような機能が追加みたいなことになります。「新しい!」「イノベーション!」とか言ってあわてて使う必要も紹介する必要もないと思います。教育現場は学生の個人情報にも影響しますから、慎重で保守的な選択でOKです。

その他

急速に広まった音声SNS「Clubhouse」個人情報の取り扱いは大丈夫?
https://legalsearch.jp/portal/column/clubhouse/

【事例2】コロナ接触アプリ(2020)

コロナの接触アプリは、開発に問題があり、かなりダメなものになってしまいました。しかし、海外ではアプリが感染抑制に成果をあげている例もあり、今後は活用が期待はされています。

当初、このアプリは違法な個人情報の取得が指摘されましたが、後に誤りであることがわかりました。この種の個人情報保護は、どちらかというと、「日本の場合は」国や政府よりも企業のほうが行儀が悪く、法律の未整備をついて、勝手なことをしているのですが、一般の人の認識は逆です。「国家による監視だ!」と騒ぐ人はいても、企業の監視はスルーみたいなことになってしまっています。

フリークス、コロナ接触確認アプリ適法性を精査する――プライバシーフリーク・カフェ(PFC)
https://www.atmarkit.co.jp/ait/articles/2007/29/news010.html

【事例3】LINEの越境データの取り扱い問題(2021)

これも、以前から指摘されていることでした。

「JILIS特別会員LINE株式会社の越境データ問題に関する理事会決議のご報告」
https://jilis.org

【事例4】 ZOOMの問題と脆弱性の解釈(2020年~)

ZOOMは中国系企業で、コロナ下で拡大しましたが、以前から個人情報に関して甘いという指摘が多い企業でした。最大の課題は「国家による個人情報の取得から学生をどう守るか」です。結論からいうと、現在(2021年秋)の仕様では、個人の有料アカウントでも、学校単位で活用することはありえないと考えたほうがいいと思います。学生の個人情報は守られません。

元々、(今もそうですが)有料アカウントへの誘導、法人ビジネスがメインのビジネスモデルです。TeamsやGoogleMeetとは性格が違います。有料アカウント紹介にはアフィリエイトもあります。

以下、いろいろと問題がありました。新興のIT系企業は、やはりいろいろと要注意だという例としてその経緯を記録します。

元々自己啓発団体御用達ツールだった

ZOOMは、学校単位でのビデオチャットの活用分野は、大手向けのものしかなかったこともあり、コロナ下で大幅にユーザーが増え、拡大しました。しかし、コロナ以前は、自己啓発系セミナー御用達のツールでした。個人情報はIPアドレスをはじめ、主催者のみが取得でき、ユーザーへのプライバシーポリシーの説明は不足しており、「その種のビジネス関係者」にとっては便利で使いやすいツールでした。日本でも、新宗教、自己啓発団体で2015年あたりから国内の教育関係者を中心に有料セミナーへの誘導に便利だということで利用が拡大していました。日本語教育関係者もZOOM利用のビジネス関係者と共に拡販に協力していた過去もあります。

コロナ以降、ユーザーが増えたことで、監視の目も生まれ、おかしなことはできなくなりつつありますが、教育利用も増え、若い学生を中心にあやしげなセミナーへ流れるケースが増えているようです。その種のオンラインセミナーでも、ZOOMは相変わらず利用されています。アカウントを持つことはこの種のリスクを広げることになりますので、要注意です。

概要

2020年のコロナ禍のころに、ZOOMの脆弱性の問題が報道されました。実はZOOMは、過去にもいろいろと問題を起こしており、その対応を含めて、いろいろと不信感を買っており、特に中国系の学生が安心して利用できるツールなのか?ということが浮き彫りになりました。個人間で遊びで使うのは自己責任でいいのですが、日本語教育機関として採用するかという点でどうなのかを考えるよいサンプルだと思いましたので、経緯を記録しました。

教育系の外部サービスでは、ほとんどの場合、匿名加工した学習したデータを取得され、二次利用の許諾をとられます。まずこれを許すかということがあります。仮に許すとして、どういうデータまで許すか、それの利用は取得した会社だけか第三者への提供までか、というものがあり、そして、その匿名化はどう行われるのかのチェックもあります。

これらを学習して学校として外部サービス利用の際のガイドラインを作る必要があります。担当者はシスアドなど個人情報保護の基本的な知識がある人と相談して作り、そのガイドラインを主要スタッフにレクチャーするプロセスが必要です。

👉 高木氏は日本の情報セキュリティ界隈の名物男的な存在の人で「口は悪いがフェアで筋を通す人」として知られてます。工学博士で政府の情報セキュリティ研究センターの主任研究員

2020年、コロナ問題の際に、いろいろな脆弱性が出ました。報道を受けて2020年4月1日にZoom社は改善するとブログで報告しました。担当者はこの一連の脆弱性をある程度「解釈」する必要があります。やむを得ない種類のものなのか、そうではないものか。

以下、日本語の報道です。内容は専門的で難しいです。

オンライン会議ツール「Zoom」が問題山積み。荒らし予防策、修正状況まとめ | ギズモード・ジャパン
「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家 ITmedia NEWS
「Zoom」のウェブカメラ利用に脆弱性、その対応を巡る方針転換の理由|WIRED
Zoom Meeting for Macのインストーラーが、ユーザー承認を得ずにアプリをインストールする問題
新型コロナウイルス対策の在宅勤務で人気のオンライン会議アプリ「ZOOM」は、Facebookアカウントを持っていない人のデータもFacebookに送信している

以下は英語の記事です。セキュリティーの専門家(「ハッカー」と呼ばれることが多いですがハッキングをする犯罪者ではなく企業や大学の研究者やフリーランスの専門家です)代表的なものは以下です。

Doc Searls Weblog · Zoom needs to clean up its privacy act

その他の記事です。thehackernewsとtheinterceptは独立系の情報セキュリティ関連サイトです。

Unpatched Zoom App Bug Lets Hackers Steal Your Windows Password
Zoom’s Flawed Encryption Linked to China

ワシントンポストやフォーブス、ガーディアンの記事

Zoom videos exposed online, highlighting privacy risks - The Washington Post
Warning: Zoom Makes Encryption Keys In China (Sometimes)
‘Zoom is malware’: why experts worry about the video conferencing platform | Technology | The Guardian

その他

Zoom's attention-tracking feature is ripe for misuse
Zoom privacy: Your video conferences aren’t as private as you think
What You Should Know About Online Tools During the COVID-19 Crisis | Electronic Frontier Foundation
Zoom Teleconferencing Service & Privacy - Consumer Reports
Security and Privacy Implications of Zoom - Schneier on Security

「脆弱性」の解釈

いろいろありますし、問題の濃淡もあります。2020年の急成長を見たライバル社のネガティブキャンペーンもあるでしょう。これらの問題のうち、zoombombingは仕様の変更で、Windowsの認証情報が盗まれる件もアップデートで解決すると思います。しかし本当の問題は個人情報保護への同社の姿勢です。上の英語のサイトは詳細を伝えているもののほとんどが、虚偽の報告であったり十分な情報開示がなかったというものであることに注目すべきです。2019年から、脆弱性を指摘されても長い間ZOOM社は誤りを認めず、誠実に対応してこなかったという経緯があり、海外のセキュリティの専門家達の不信をかっています。これは2020年の急激なユーザーの規模の拡大とは本質的に関係がありません。

例えばこれらの脆弱性のうち、2020年3月に個人情報をFacebookに流していた問題は米国で訴訟になってますが、当然日本のユーザーの情報も流れている可能性があります。
ZoomのFacebookへのデータ転送(停止済み)で集団訴訟 - ITmedia
しかし、日本語のプライバシーポリシーを読む限りでは、収集した個人情報はほぼ無制限に利用するとなっており、ユーザーはそれにすでに同意したことになっています。しかも、米国の法律で、米国の裁判所で解決されると書かれています。
https://zoom.us/jp-jp/privacy.html

Zoom Meeting for Macのインストーラーが、ユーザー承認を得ずにアプリをインストールする問題があり、さらに暗号化キーが中国のサーバーを経由していて、中国では中国内にあるサーバーに対しては国の管理下にあるのでこのキーにもアクセスできる(データが流れるなら検閲もできる)ということになっていたことが問題となり、それが(2020年の米国の空気の中で)ヘイトの原因になってしまったのは残念なことです。しかし、ヘイト関連はあくまで外野の問題であって、暗号化キーに米国外のサーバー管理者がアクセスできる仕様なのはやはり大きな問題です。正直、なぜこんなことをしたのか理解できない。一度こういうことが発覚すれば、おそらく今後は米国だけでなく日本の政府系の組織や企業でも使えなくなる可能性は高いと思います。
Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明 - 記事詳細|Infoseekニュース

Zoom’s Flawed Encryption Linked to China

2021年元日のツイート。日本の省庁の対応について書かれています。この「使い分け」は、中国系の留学生を預かる学校などは、意識しながらやっていくことが求められるのでは、という気がします。

👉 ちなみに経産省の浅野大介氏が推進している「未来の教室」でzoomがピックアップされているのは日本の個人情報保護の規制とはまったく関係ないと思います。go.jpですが、作ったのはコンサルティング会社ですし、サイトをよく読むと、個々のツールの安全性を保証しない旨が書かれてます。こういうのをちゃんと確認するのも教育現場でICTを担当する人がやらなければならないことです。

追記 上を整理した後、4月6日に東京大学から「Zoomを用いたオンライン講義を安全に進めるために」という文書が出てました。これまでの問題が整理されています。
https://apps.adm.s.u-tokyo.ac.jp/WEB_info/p/pub/5756/Zoom.pdf

これに対して、セキュリティの専門家からは厳しい指摘があります。


この記事も新たなものです。セキュリティ界隈の平均的な意見という印象です。
Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう (1/2) - ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/articles/2004/07/news027.html

その後、台湾は政府から教育機関に使わないことが望ましい的な通達が、オーストラリアドイツ、シンガポールなどいくつかの国の政府機関でも使わないことになり、Googleでも使用禁止となったようです。

日本語教育関係者のZOOM利用に対するスタンス

2020年4月4日に外務省がテレビ会議システムを導入という報道があり、7日に国際交流基金の関係者が急に「スカイプはzoomを超えた!」とツイート*2してました。外務省でビデオチャットシステムの検討があり、8日までに外務省から基金に対してZOOMは使うなとお達しがあった模様。おそらく暗号キーが中国経由という報道が影響しているのだと思いますが、基金で全面的にNGとなるとまるごとのコースからセミナーまですべてスカイプに移行することになりそうです。 (翌日関係者はこういうツイートをしてましたから違うようです)。さらに他の基金関係者も学習者からクレームが出ても東大も使ってるんだからと言えば納得するだろうというようなツイートもありました。ZOOMをプッシュしてきた大学のeLearningの研究者もそういうことは仕方ないという見解。(この研究者はセミナーで「学校の法人アカウントが足りない時は個人アカでやればいい」と説明していました。これはやめたほうがいいと思います。学校の管理者は青ざめるでしょう。)

その後でてきたあれこれ

Hackers leak Zoom accounts’ usernames, passwords & email addresses
How i hacked worldwide ZOOM users - s3c - Medium
Zoom Singapore bans video chat app in schools amid 'Zoombombing' attacks | The Independent
Pentagon Issues New Guidance on Zoom Use | Voice of America
50万人分以上の「Zoom」アカウントが闇市場で売買されたと判明、価格は1アカウント1円未満で無料配布されるケースも - GIGAZINE
アメリカ政府に「国家安全保障の脅威」に認定されそうなZoomが汚名返上に必死すぎる | ギズモード・ジャパン

Zoom、Cisco WebEX、TeamsをCASBでセキュリティで比較。結局Zoomは何が駄目?(大元隆志) - 個人 - Yahoo!ニュース

Intel report warns Zoom could be vulnerable to foreign surveillance - ABC News

Zoom、「1日の利用者3億人」は誤りと認める - CNET Japan

👉 ツイッターで「zoom 禁止(2020年4~5月での検索結果)」などで検索すると国内のネット関連企業でセキュリティに厳しいところは続々と利用禁止になっているようです。

学習者が安心して使える環境とは

2020年の4月10日に開催されたシンポジウムで、柏崎 礼生 国立情報学研究所サイバーセキュリティ研究開発センター特任准教授による、ビデオ会議ソフトのセキュリティに関する発表がありました。
https://www.nii.ac.jp/news/upload/20200410-10_Kashiwazaki.pdf保存したファイル

ここで「私見」として以下のようなことが述べられています。

👉 「国立の機関なので特定のサービスにあまり言及できないけど、あくまで私見として(東大のことを暗に示唆しつつ、でしょうか)やんわり書いた」と解釈するのが自然かなと思います。

日本の法人ユーザーは香港と同じ管理に

セキュリティの指摘を受け、ZOOM社は、アメリカのユーザーは、米国内のサーバーでやると宣言しましたが、日本のユーザーは香港サーバーが原則という方針を出しました。おそらくは留学生の監視も意識してのことではないかと思います。法人アカウントの場合は日本と香港のサーバーの選択が可能とのこと。これは管理者が知らないとアウトです。

👉 米国ではいろいろな政治体制の国から来る留学生が留学中に母国からの監視から逃れ自由に活動や発言ができるように配慮しようという空気があります。この辺、日本語教育関係者に希薄なところだと思います。

Zoom、中国を経由しないルーティングを実装。有償ユーザーは地域設定可能に - PC Watch
(上記に関するZOOM社からのアナウンス。Coming April 18: Control Your Zoom Data Routing - Zoom Blog

無料と有料アカウントの差

:無償、有償で差をつけるということに。日本の無償ユーザーはどうなのかは不明だが、米国ユーザーは経由しないと強調しているところを見る限りでは、今後も状況によっては中国サーバー経由しますよ、ということかもしれません(香港と同じククリですし)。中国在住者は中国サーバー経由マストなので中国系の日本語学習者が「自由に話せる」プラットフォームとは言い難いということになりそうです。国家機密だとか企業の機密情報どうこうより学習者にとってどうなのかという点でも問題だという視点が重要です。

ZOOMに限らず、この種の国単位の検閲がらみのことは、学習者本人からは言い出しにくい(「問題ないです!」と言うしかないでしょう…)という特殊なことなので特にいろいろな政治体制の国からの学生を扱う学校は、ICT担当者がしっかり理解し方策を考えるべきことになりそうです。中国やベトナムだけでなく、留学生の多くは言論の自由が制限されているところから来ています。リアル授業では(学生同士の相互監視という課題はあるとしても)それなりに配慮できても、オンラインでは難しいということがあります。このセンシティブな事情を考慮し、すべての学生が安心して使える環境を準備することを考えるのもICT担当者にとって重要なポイントです。仮に、オンライン上で、実際にワード検索による監視などが行われなくても、やろうと思えばできる状況でもあるというツールを教育現場で使うことの是非、みたいなことはもうちょっと議論されてもいいのではと思われます。国家単位のネット監視は強化される傾向にあり、個人情報保護のルールはそことも関係してくる問題なのです。米国以外に本拠地があるSNSは意外とたくさんあります。

その後のZOOM対国家に関するあれこれ

中国で個人ユーザ間のZoomがサービス停止に——今週開幕の全人代が影響か – BRIDGE(ブリッジ)
https://thebridge.jp/2020/05/zoom-suspends-chinese-individuals-users-from-hosting-meetings-due-to-regulatory-demand

India Top Court Agrees to Hear Petition Banning Zoom App - Bloomberg
インド政府、Zoomを国家的排除へ。「国産ビデオ会議ツール」開発プロジェクトに着手 | Business Insider Japan
インドでも猜疑が出ている模様。今後対中関係がよくない国に広がっていくのかもしれません。
Zoomのエンドツーエンド暗号化、有料ユーザーのみに提供へ - CNET Japan
https://japan.cnet.com/article/35154769/
米人権団体のアカウントをズームが停止、天安門事件追悼のビデオ会議後 - (1/2)
https://www.cnn.co.jp/tech/35155201.html

2020年 7月 国家安全法成立
7月2日 
解説】 香港の「国家安全法」 なぜ人々をおびえさせるのか - BBCニュース
https://www.bbc.com/japanese/features-and-analysis-53259691

香港国家安全維持法(全66条)、全訳しました 
https://news.yahoo.co.jp/articles/e3ecf09f2a859fe481e9c1c81709882c787a6cf5

ここまでを整理すると、アップデート後は日本からのZOOM利用は日本か香港のサーバー経由で米国とは違って個人情報は保護されない。ただし法人契約の一部では経由するサーバーを選べる。中国香港は選べないが日本は日本のサーバー経由が可能。つまり教育利用では法人契約でかつ、日本のサーバー経由であるかその都度確認しないと、中国系学習者の言論の自由は保障されない、ということになります。

以下は7月の新たな脆弱性に関するレポート

A New Flaw In Zoom Could Have Let Fraudsters Mimic Organisations
https://thehackernews.com/2020/07/zoom-vanity-url-vulnerability.html

こうなってくると、ZOOMだけでなくサーバーが中国政権下にあるツール(特にIPなど個人が特定されやすいもの)は、日本の教育機関では使いづらくなったという気がします。中国に限りませんが、留学生の安全を守るという意味からも、学生の個人情報保護に対する教育機関としての責任問題は2020年代の大きなテーマになりそうです。

👉 この脆弱性の問題の少し前、2019年、中国はzoomの国内ユーザーは中国内を経由しないと使えないようにしました。ビデオ会議ツールの旗手「Zoom」、国慶節を前に中国国内で政府によるブロックが始まる——ユーザは国内版への移行を余儀無くされる事態に – BRIDGE(ブリッジ)

👉 同時期にこういうこともありました。Classi で大規模情報漏洩 ID や暗号パス約 122 万人分流出か | カナガク~。会社の規模や市場の評価と安全性は基本的には関係ありません。ICT担当者がひとつひとつの事例を丁寧に見て判断していくしかありません。

事例その他

Amazon欲しい物リストで個人情報流出

2010年代最初から知られていたバグということですが。。。

Amazonのほしい物リストで住所がバレる?真相を徹底検証 | 日々記事
https://hibikiji.com/knowledge-amazon-wishlist-privacy/

ビデオチャットのミュート時の音声取得

ビデオ会議中、マイクが“ミュート”でも音が取得されている問題 米国チームが検証(ITmedia NEWS) - Yahoo!ニュース ~
https://news.yahoo.co.jp/articles/c59501e09a9a31a0303476f386d194ea37632170

研究

記事など

高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱 - Cafe JILIS
https://cafe.jilis.org/2022/03/18/160/

論文

 
 

 
日本語教師読本 Wikiについて日本語教師読本シリーズhttps://creativecommons.org/licenses/by-sa/4.0/deed.ja

*1 「自分は気にならない」という問題ではないんですが、こういうことはいつも「自分は気にならない(からそれくらいいいんじゃないの)」という人が出てくる。
*2 ちなみに、スカイプの字幕機能は1年以上前に実装済み、Google Meetも1年前からあり、いろいろと検証が行われてますが、まだ実用レベルじゃありません。仮想的に部屋を分割するのは、スカイプもGoogle Meetもアカウントは複数作れるので昔からできます。

トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS