Canva を学校で利用するときに、同意は必要？（続：2024/07 更新）

↓ の記事で、Canva を学校で利用するときに同意が必要かどうかについて、Canva のホームページに掲載されている内容から整理していました。

この辺りの内容について、以下の動画で Canva の中の人（さる先生）が言及されていたので、改めて整理しておきます。

Canva からの案内

上記の YouTube 動画は、7/7 に開催された ↓ のオンラインイベントのプレイベントとして開催されたものですが、

Canva教育フェス2024 @オンラインのご案内

前述の動画の 13:24 あたりから、Canva の中の人が保護者への同意について説明されています。説明されていた内容を、ざっくり要約すると。

1. Canva としては、日本における利用について、保護者への同意を求めていない。

2. ただし、所属する自治体や学校で定められたルールには従ってください。

という感じでした。

文字としても

↑ の動画の中でのコメントだけでなく、「Canva-for-Education（日本教育者グループ運営サイト）」の中に、「Canva教育版（自治体・学校法人向け）のセキュリティについて」としても案内されています。

Canva-for-Education（日本教育者グループ運営サイト）

ページの中央くらいに「Canva教育版（自治体・学校法人向け）のセキュリティについて」

上記の「Canva教育版（自治体・学校法人向け）のセキュリティについて」の中でも、以下のように説明されています。

同意書について
日本において、Canva の利用について保護者の同意は求めていません。それぞれの自治体や学校のルールに従ってください。

「Canva教育版（自治体・学校法人向け）のセキュリティについて」

保護者への同意が不要？

どうやら、先の記事で触れたような利用規約の内容は、COPPA や GDPR といった日本以外の国や地域に適用されるものので、日本には適用されない、ということのようです。

自治体や学校で定められたルール

ここで説明されている「自治体や学校で定められたルール」というのは、何のことなのでしょう？　ちょっと整理してみます。

⑴ いわゆる、セキュリティポリシー

それぞれの自治体（私立学校の場合には、それぞれの学校）で規定しているセキュリティポリシーに沿った対応をしましょう、ということです。

セキュリティポリシーとは、文部科学省が ↓ のようにガイドラインを作成していて、それぞれの自治体が策定するのを後押ししています。

「教育情報セキュリティポリシーに関するガイドライン」公表について：文部科学省

各種省庁の中では文部科学省の対応は早く、以下のように、短い間隔で更新（改訂）されています。

• 平成 29 年 10 月 18 日 策 定

• 令和 3 年 5 月 改 訂

• 令和 4 年 3 月 一部改訂

• 令和 6 年 1 月 改 訂

しかしながら、文部科学省の公開している資料によれば、昨年の時点で「クラウド対応の教育情報セキュリティポリシー策定済み自治体　49.1%(R5)→100%(R7)」となっているので、約半数の自治体がクラウド対応のセキュリティポリシーが策定されていないということです。

「資料４ 文部科学大臣提出資料」の p.3 抜粋

クラウド対応になっていないというのは、GIGAスクール構想がはじまる前に作られたり、そもそも作られていなかったり、という状況を指します。

そもそもクラウドサービスを利用することが考慮されていないルールだったり、存在しないルールには対応できないのですが、「所属する組織のルールは守りましょう」ということですね。

⑵ 個人情報保護法

前述の「教育情報セキュリティポリシーに関するガイドライン」の最新の改訂では、改訂説明資料で以下のように説明されています。

• 教育情報セキュリティポリシーに関するガイドライン(令和6年1月)改訂説明資料 (PDF:1.2MB)

教育情報セキュリティポリシーに関するガイドライン(令和6年1月)改訂説明資料 の p.3

地方公共団体ごとに定める個人情報保護条例の多くが個人情報を取り扱う際に個人情報保護審議会への諮問答申を得ることとし ていた実態を踏まえて記載していた「諮問答申の際に整理すべき項目の例」について、令和5年4月1日の同改正法の全面施行をもっ て類型的に審議会等への諮問を要件とする条例を定めることは、法改正の趣旨に照らして許容されないこととされたことを踏まえ削除

教育情報セキュリティポリシーに関するガイドライン(令和6年1月)改訂説明資料 の p.3

具体的には、下図のように「【見え消し版】教育情報セキュリティポリシーに関するガイドライン(令和6年1月) (PDF:4.8MB)」を見ていると、個人情報に関する記述が削除されています。

【見え消し版】教育情報セキュリティポリシーに関するガイドライン(令和6年1月) (PDF:4.8MB) の p.222

【見え消し版】教育情報セキュリティポリシーに関するガイドライン(令和6年1月) (PDF:4.8MB) の p.223

このガイドラインを元にして、それぞれの自治体のセキュリティーポリシーが策定されるのでしょうが、自治体のセキュリティーポリシーに本人（児童生徒）と保護者からの同意の要否についての記述が無くなったのは、個人情報保護法の改訂が影響しているものなので、不要になったものではないと考えるのが正しいと思います。

個人情報保護法については、↓ のサイト（政府広報オンライン）で説明されています。

「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？ | 政府広報オンライン

↑ のサイトでは、「4 個人情報や個人データを取り扱うときの基本ルールとは？」として、下図のように 4つのポイントを説明しています。

「4 個人情報や個人データを取り扱うときの基本ルールとは？」より引用

• （1）個人情報を取得・利用するとき

• （2）個人データを保管・管理するとき

• （3）個人データを第三者に提供するとき

• （4）本人から保有個人データの開示等を求められたとき

上記の「（2）個人データを保管・管理するとき」が校内で、「（3）個人データを第三者に提供するとき」がクラウドサービスを含めて校外で保管・管理するときについてのルールを説明しています。

後者の「（3）個人データを第三者に提供するとき」については、↓ のように説明されています。「「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ　」の内容を見ている分には、クラウドサービスに個人データを保存する場合には、「（3）個人データを第三者に提供するとき」が適用されるように見受けられます。

「4 個人情報や個人データを取り扱うときの基本ルールとは？」の
「（3）個人データを第三者に提供するとき」

ここでの第三者が国内／国外で扱いが変わっているものの、いずれの場合にしてもあらかじめ本人の同意が必要なことは違いように見受けられます。

教育データの利活用

今年 3月に ↓ のような記事が、読売新聞に掲載されていました。

１人１台配備の学習用端末、子供の個人情報扱いに不備…２割強の自治体「利用目的を定めず」

この辺りの議論は文部科学省でも「教育データの利活用に関する有識者会議」などで扱われて進められていたものの、それぞれの自治体や学校現場では徹底できていなかった部分だと思います。

この辺りの「教育データの利活用」については、文部科学省が ↑ の記事の後に ↓ のように留意事項をまとめています。

教育データの利活用に係る留意事項について：文部科学省

上記で案内されている「教育データの利活用に係る留意事項（第2版)（PDF:3466KB）」内の「IV.Q&A 編（よくあるご質問） 」によれば、

「IV.Q&A 編（よくあるご質問） 」の Q（７）

のように

個人情報の利用に当たっては、法令（条例を含みます。以下、本 Q において同じ。）の定める所掌 事務又は業務を遂行するため必要な場合に限り、かつ特定した利用目的内で利用・提供することが基 本です。このように利用目的の範囲内で取り扱う場合には、利用目的を特定することは必要ですが、 同意の取得は求められません。よって、教育データの利活用を行う全ての場合で児童生徒や保護者の 同意が必要なわけではありません。

「教育データの利活用に係る留意事項（第2版)（PDF:3466KB）」内の
「IV.Q&A 編（よくあるご質問） 」のQ（７）より

と、児童生徒が保護者からの同意が必要ではない旨が書かれています。
しかしながら、上記の記述に続けて

行政機関等は、法令の定める事務又は業務を遂行するため必要な場合に限り、個人情報を利用・提 供することができます。その際、行政機関等は、個人情報の利用目的についてできるだけ具体的に特 定し、一部の場合 102を除き、本人に対して利用目的をあらかじめ明示しなければなりません。この通 常のフローには同意の取得というプロセスは含まれておらず、そのため、同意の取得は必要ではあり ません。

「教育データの利活用に係る留意事項（第2版)（PDF:3466KB）」内の
「IV.Q&A 編（よくあるご質問） 」のQ（７）より

と解説されており、同意は必要ないものの、利用目的を特定し、明示することを求めています。　※上記文中の 102 は脚注を示しています。

更に解説は、↓ のように続きます。

「教育データの利活用に係る留意事項（第2版)（PDF:3466KB）」内の
「IV.Q&A 編（よくあるご質問） 」のQ（７）より

前述のような利用目的を明らかにしていないケースでは、児童生徒や保護者に同意を得て、教育データを利活用する場合もあるということなのだと思います。
ただし、上記には以下のように続いており、児童生徒全員から同意を得るような形態は任意性がなく、同意として認められない場合があると注意されています。

「教育データの利活用に係る留意事項（第2版)（PDF:3466KB）」内の
「IV.Q&A 編（よくあるご質問） 」のQ（７）より

このあたりの「教育データの利活用」については、

• 教育データの利活用に係る留意事項（第2版)（PDF:3466KB）

• 教育データの利活用に係る留意事項のポイント（リーフレット）（PDF:842KB）

をよく読んで対応しなければならないのだろうと思います。　前述の Q&A でも、以下のような項目もあるので、要チェックです。

「教育データの利活用に係る留意事項（第2版)（PDF:3466KB）」内の
「IV.Q&A 編（よくあるご質問） 」のQ（７）より

まとめ

今回の記事で言いたかったことは、Canva 側からの

1. Canva としては、日本における利用について、保護者への同意を求めていない。

2. ただし、所属する自治体や学校で定められたルールには従ってください。

という方針は、納得できるものでした。

しかしながら、「所属する自治体や学校で定められたルール」については、「教育情報セキュリティーポリシー」に限らず、教育データの利活用に関するルールにも影響するということです。

• 教育データの利活用に係る留意事項（第2版)（PDF:3466KB）

によれば、児童生徒本人や保護者への同意は必要ではないものの、教育データ（個人情報）の利活用については、利用目的が明示されていなければなりません。

この辺りがどのような運用になっているのかは、それぞれの自治体や学校でどのようなルールが定められているのかは、それぞれ異なると思います。それ故に、「所属する自治体や学校で定められたルールには従ってください」といった表現になってしまうのだと思います。

記載内容についての免責：

上記の内容は、わたし自身がリンク先の文書を読んで解釈した内容に過ぎません。わたし自身は、法解釈の専門家ではありませんので、誤った解釈を行っているかもしれませんので、最終的な判断は所属する自治体や学校のルールを確認するなどしてください。
この記事の内容によって、損害等が発生したとしても、わたし自身は責任が取れないことをご承知おきください。