【自治体の首長や議員に知ってほしい】 GIGAスクールとかやっても個人情報保護条例の壁で台無しになる？

またもnoteを書くのに間が空いてしまいました...。
どうにも本業(何が本業かが微妙ですが)がGIGAスクールの関係で忙しく、今日も今日とて休日勤務です。
救いは少なくとも自分の周りではリモートワークの理解があること。教育委員会の方との打合せも、WEB会議を許してくれることが非常に多くなってきていて、超助かっています。
陰キャの引きこもり種族としては最高の社会が訪れた感じです。ビフォーコロナに戻らないでね（切実）

それでは、仕事の合間の1時間1本勝負で「個人情報保護条例」のことを書いてみます。

最初に結論：自治体の首長や地方議員は個人情報保護条例のオンライン結合条項の改正に動いて！

今回は個人情報保護条例のことを書きますが、かなり長くなる予感なので、最初に結論を書いておきます。

・各自治体で規定されている個人情報保護条例が、GIGAスクールやオンライン授業・学習の実現の壁になっている。
・具体的には「オンライン結合の禁止」がハードルになっている。
・既に国はオンライン結合を禁止しておらず、自治体にも見直しの通知を出している（平成29年5月19日）。
・条例改定は地方議会の決議事項。自治体の担当者も学校関係者もこの件で疲弊しているので、早期に改訂に向けて動いて欲しい（首長・地方議員マジ頼む）。
・これをやっておかないと、GIGAスクールとか無駄金になる可能性すらある。

これを読んだ方は、是非、自治体の首長や議員に声を届けて欲しいです。
条例改正には時間がかかるので、GIGAスクールの環境整備真っ最中のなか、今すぐ動いても遅いぐらいです（切実）。

以下、上記の箇条書きの詳細です。

個人情報保護条例はGIGAスクールやオンライン授業実現の高い壁

コロナ禍の休校や分散登校に関連して、こんな記事はそこかしこで見ることがあったかと思います。

「チャンスなのに…」公立のオンライン授業、普及への壁：朝日新聞デジタル

文部科学省もGIGAスクールの早期実現、学びの保障に向けたオンライン授業の実現に向けてゲキを飛ばしています。

文部科学省の課長が苦言「いまの日本のICT教育、おかしいです」（FRaU編集部）

文部科学省側が「ルールに捕らわれず」「ルールを守ることが最終目的ではない」と言うことに「よくぞ！」という声が多かったです。
私は自治体の方の気持ちに感情移入してしまったせいか「よくぞ！」と「そうは言っても」が半々の気持ちでした。

法治国家である以上は「ルールに捕らわれず」と言えど、法令に背くことを自治体や学校がやって良いとは思えないからです。
私が自治体の担当者や学校長であれば、真正面から壁にぶつからないといけないと感じたからです。個人情報保護条例の壁に。

「オンライン結合の原則禁止」という高い壁

地方自治体が運営する公立学校の場合、個人情報の取り扱いは各自治体の個人情報保護条例で規定されています。
※個人情報保護法と地方自治体の個人情報保護条例の関係性については割愛します。以下とかを見ていただけたらと。

個人情報保護制度について | 佐久市ホームページ

個人情報保護条例の何が課題になるかと言うと、自治体によって細かく色々ありますが、一番多いのは「オンライン結合の原則禁止」です。

聞きなれない言葉なので補足すると
「個人情報が入っているシステムは外部のネットワークには繋いではダメ」
ということです。

これがGIGAスクールをマトモに実現していこうとすると、オンラインの授業や学びを実現していこうとする際に、高い壁として阻んできます。

要は、
・個人情報が入ったシステムはインターネットには繋げるな
・クラウドには個人情報を入れるな
ってことです。

マトモに運用しようとすると氏名や学年・組などが入るのが普通です。
「IDなどの数字の羅列なら個人情報ではない」という意見もありますが(そう言わないとやっていられない)、個人情報保護法では個人情報は以下で規定されていて、それも本来は「個人情報」のはずです。

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。）、または個人識別符号が含まれるもの。

GIGAスクールを単なる環境整備と見ていれば、タブレットやネットワーク整備すれば良い、で個人情報にはノータッチかもですが、本質はそこではないです。

氏名で識別できないシステムの使い勝手の悪さ、運用管理の大変さは想像を絶します。

「（訳わからんIDを付与して）教員側に対照表を持たせて置こう」

とかいう設計を許すのであれば、今後はその人が読む文字は全てヘブライ語にする呪いをかけたくなります。
だって対照表（辞書）があれば大丈夫なはずですから。
※日本人でヘブライ語が読める人は少なそうだから書いただけで、他意はありません。ユダヤの方が読まれた場合はごめんなさい...。

具体的にはどう条例で書かれているのか

具体的な条項を見てみるとこんな感じです。法令の中身まで興味ないよ、という方はこの章は飛ばしてもらえたらと。
東京都千代田区の個人情報保護条例を例にします。

（コンピュータの結合の制限）
第18条
実施機関は、個人情報を処理するため、区のコンピュータと区以外の者のコンピュータとの通信回線その他の方法による結合をしてはならない。ただし、あらかじめ審議会の意見を聴いて区民福祉の向上のために必要であり、かつ、区民等の権利利益を不当に侵害するおそれがないと認められるときは、この限りでない。
２ 実施機関は、前項ただし書の規定によりコンピュータを結合するときは、個人情報の保護について必要な措置を講じなければならない。
３ 実施機関は、第１項の規定によりコンピュータの結合を行った場合において、区民等の基本的人権を不当に侵害するおそれが生じたときは、当該結合の切断その他の必要な措置を講じるとともに、審議会に報告しなければならない。

18条1項を読むと「個人情報を処理するコンピュータは通信回線と結合(＝接続)してはダメよ」となっています。最初にこう書かれるので「基本的にはダメなこと」と解釈されています。
ただ、続く文に「ただし」とあるので例外があります（そもそも例外なのが腹立たしいですが、、、）。

例外規定が何かを抜き出して補足すると
①あらかじめ審議会の意見を聴く
②区民のためになっていて、かつ区民の権利を侵害しない
③個人情報の保護についての必要な措置を講じる
④区民の権利を侵害するようなことがあったらすぐに停止できる
という感じです。

②については、GIGAスクールやオンライン授業が子供たちの学びの質向上や継続性に役立つことを説明する感じでしょうか。後半部分は③と連動ですかね。

③と④はシステム的な部分です。詳細割愛しますが、この辺りは各自治体・学校におけるセキュリティポリシーに準じた措置を行っていくことになるところです。
※教育情報セキュリティポリシーに関するガイドラインについては手前味噌ですが以下なんかも見てもらえたらと

課題になるのが①です。「審議会」という組織が登場します。
これは「個人情報保護審議会(審査会)」という組織で、通称で「保護審」と呼ばれるものです。
この「審議会に聞く」が自治体としては相当な手間になります。

個人情報保護審議会への付議が超大変

大分長くなってしまっているので端折りますが(書き始めて40分経過)、要は以下のような感じです。
手前味噌ですが、私が総務省「教育現場におけるクラウド活用の推進に関する有識者会合」で提言した資料からの抜粋です。
※この資料が教育機関における「クラウド・バイ・デフォルトの導入」を初めて提言した資料になっているはずです。我、色々頑張ってるよアピールなだけですが、、、

この時はクラウドの導入が進まない障壁として、個人情報保護条例と保護審付議について課題提起をしていました。
まさに担当者は死のスタンプラリーをやる羽目になります。
上記の図の話も実話で、4部署8名とそれぞれ複数回の会議を経てやっと付議です。
裏側で支えましたが(左下のシステムベンダが私です)、もう素人が分からずあれこれ言うから超大変(涙)。
これまで両手両足の指の本数以上の自治体で保護審対応の支援で関わっていますが、例外なく担当者は苦労しています。

そしてコレ、学校現場からは教育委員会や自治体の担当者が批判されがちですが、彼らもルールを守っているだけということなのです。
もちろん、そこに立ち向かわないといけないという意見も分かりますが、あまりにも理不尽で労力のかかる仕事だというのも分かってあげてもらえたらと。
原則禁止を捻じ曲げるのですから、適切な例を思いつけていませんが、学校に携帯持ち込むのを全面許可するぐらい調整が大変なことなんです。

自治体任せにしている国が悪い？

「国が音頭とってしっかりやれよ」という意見も良く聞きますが、ルールの範囲で結構やっているように私には感じられています。

もう3年前、2017年には総務省から各自治体に対し以下の通知文を出しています。

タイトル未設定

長くて読むの大変ですが、P8の「5 オンライン結合制限」の部分です。

個人情報保護条例におけるオンライン結合（通信回線を通じた電子計算機の結合をいう。）による個人情報の提供について、多くの地方公共団体では制限されているが、個人情報保護審議会等の意見を聴いた上で、公益上の必要があると認める場合などには、個人情報保護条例に基づきオンライン結合が認められている。
一方、行政機関個人情報保護法では、オンライン結合を禁止しておらず、地方公共団体においても、ＩＴの活用により行政サービスの向上や行政運営の効率化が図られていることから、オンライン結合制限については、行政機関個人情報保護法の趣旨を踏まえながら、その見直しを行うなど、各地方公共団体において適切に判断する必要がある。

ポイントとなるのは「行政機関個人情報保護法では、オンライン結合を禁止しておらず」の部分です。
行政機関個人情報保護法は、個人情報保護条例の霞が関版のようなものですが、そちらはオンライン結合を禁止していないのです。
そして「だから各自治体も見直ししておけよ」と通知しているのです。

本来、各自治体の条例に対し国が介入するのは、地方自治の観点からするとよろしくないことです。
なので精一杯の行いとして「私(国)はやめたから皆(自治体)もやめよう」と通知を出しているのです。
地方自治の原則に基づくと、官僚側の精一杯の対応に見えます。むしろ偉いなぁ、と。
でもこれもう3年前の通知なんですよ...。

そして今はどうなっているか。東京23区の例。

では3年前に通知して、今はどうなっているのか。1年ほど前にとある国会議員にレクをした際に、東京23区の状況を30分一本勝負で調べた結果は以下のような感じでした。

個人情報保護条例：ネットワーク結合の調査（23区）

概要としては
・ネットワーク結合を原則禁止している：21／23
・結合実施時に審議会等への付議を義務付けている：21／23
です。
9割以上の自治体で結合禁止も審議会付議の規定がある(そこから条例変更していたらごめんなさい)。

もうこの時点で、GIGAスクールとかオンライン授業とか簡単に言うなよ、という状況です。
そして、条例を改正するには地方議会の決議が必要です。

なので、
自治体の首長や議員に知ってほしい。
GIGAスクールとかやっても個人情報保護条例の壁で台無しになる。
です。

おわりに‥結論をもう一度

学校現場における個人情報保護条例の課題について、これでも端折って書いたのですが、、かなり長文になってしまいました。
結局、1時間では書ききれず、既に1時間20分かかっています。うへ、仕事がヤバい...。

大事なことなので、改めてもう一度、結論を書いておきます。

・各自治体で規定されている個人情報保護条例が、GIGAスクールやオンライン授業・学習の実現の壁になっている。
・具体的には「オンライン結合の禁止」がハードルになっている。
・既に国はオンライン結合を禁止しておらず、自治体にも見直しの通知を出している（平成29年5月19日）。
・条例改定は地方議会の決議事項。自治体の担当者も学校関係者もこの件で疲弊しているので、早期に改訂に向けて動いて欲しい（首長・地方議員マジ頼む）。
・これをやっておかないと、GIGAスクールとか無駄金になる可能性すらある。

是非、自治体の首長や議員の方々に上記の課題意識を持ってもらえるよう、皆さんでも広めていただきたいです。

GIGAスクールではクラウド前提、1人1IDが原則です。
多大な公的予算を投じるGIGAスクール構想において、「個人情報保護条例」の時代遅れは、間違いなくボトルネックになります。

自治体の担当者も不屈の闘志があれば、「原則禁止」を乗り越えられるかもですが、そんなのを期待するのは間違っています。

そして、最後に苦労するのは結局のところ、学校現場です。
氏名が入っていないツールを使う。氏名が入っていない名簿で年次更新を行う。もう効果半減・辛み倍増です。教員もICT支援員も、システム保守する事業者も辛くなる一方です。

結局、それらは最終的には子供たちに返っていきます。

今からでも遅くないはず。
皆で声をあげて、変えるべき古いルールを変えていけたらと。