夜ふかしログ

30代サラリーマンが育児・家事・在宅勤務が終わったあと、夜更かしをして読んだ本を紹介したりしなかったりするブログ

「デジタル化すれば流出しづらいし、万が一流出しても流出元を特定できる」を実現するためにかかる費用は膨大なうえ、やっても100%の保証はないよっていう話

雑記

今年度から息子が通う小学校の PTA 役員になったカユウです。

この記事はタイトルが結論みたいなものなんですけどね。
僕は10年以上IT企業で働いていて、業務システムの開発と運用を得意としています。
そんな僕から見て PTA をデジタル化するときには企業のデジタル化とは全然違う考え方をしたほうがいいと強く思ったことを記事にしました。

PTA もデジタル化の波がきている

他の PTA と同じように、僕が所属する PTA もデジタル化を進めています。
連絡手段は LINE。
会議は ZOOM。
ドキュメント管理はは Google ドライブの共有。
という感じで、立ち上げたばっかりの IT ベンチャーみたいな構成。
場当たり的にとりあえず、という感じですが、管理系、運営系は一通りデジタル化しました。

次にデジタル化の対象として上がったのが、広報誌。
僕が所属する PTA は、PTA が独自に発行している広報誌があります。
A3 サイズの用紙に両面印刷する程度の分量なんですけどね。
今は紙に印刷して配布している広報誌を、PDF 化して配布したいという話が出てきました。

広報誌には、学校行事や地域のイベントに参加した生徒の写真と、ちょっとした文章を載せています。
この広報誌をデジタル化するメリットの一つとして挙げられたのが、タイトルにも書いている「デジタル化すれば流出しづらいし、万が一流出しても流出元を特定できる」でした。
これは前提条件や実際の運用を考えると PTA には当てはまらないことかな、と思います。

当てはまらない理由その1:流出しづらいデジタル化の前提条件は入り口を制限できること

デジタル化すれば流出しづらいという言葉には、前提条件が必要です。
企業であれば、データを見るためにはシステムにログインしなければならないようにしたり、権限によって見ることのデータの範囲を制限したり。
他にもデータを見るソフトウェアやハードウェア、物理的な場所を制限することもしていますよね。
データを見るための入り口に制限を作れるのであれば、紙に書かれたデータよりデジタルデータのほうが流出しづらいと言えるでしょう。
そもそもアクセスできなければ流出のしようがない、という考え方ですね。

ですが、 PTA のようなボランティア団体ではデータを見るための入り口に制限を作ることは現実的ではないのです。
PTA の情報を誰に見てほしいかというと、保護者の方々に見てほしいんですよね。
保護者の状況はさまざまです。
僕のようにIT企業で働いていて、デジタルになっても対応できる人もいます。
デジタルとは無縁のお仕事をされていて、デジタルは難しい、自分にはできないと思っている人もいます。
そんなさまざまな人に見てもらうことを考えると、紙に印刷して配布が一番確実で、一番見てもらいやすいんですよね。

一口にデジタル化するといっても、対象のものの目的によってどんな手段で実現するかを考える必要があります。
今回デジタル化を検討している広報誌ですが、目的はこんなイベントがありましたよという情報を保護者に伝えること。
となると、デジタルは難しく、自分にはできないと思っている人にも見てもらえるようにしたいですよね。

僕の周りにいるデジタルは難しく自分にはできないと思っている人にできないと思う理由を聞いたところ、こんなことを言われました。

  • IDとパスワードを忘れてしまうから
  • スマホの操作が不慣れなのであまり触りたくないから
  • 何か変なボタンを押して詐欺サイトに飛んだり、データを壊したりするのが怖いから

デジタルをまったく触らない人からすると、普段の生活の中でIDとパスワードに該当するものは、銀行の暗証番号くらいではないでしょうか。
数字4桁だけ覚えておけば生きていける人に、ランダムな半角英数字記号8文字を考えて覚えておいてくださいっていうのは難しいですよね。

ちなみに、僕の親もデジタル苦手というので、パスワード管理アプリを教えてみたのですが、スマホでアプリを切り替えながらコピーしてペーストする作業を見せてもちんぷんかんぷんだと言われてしまいました。
電話ができて、LINEで孫の写真が見れればよい、という割り切ったスマホの使い方をしているので、必要性がないんのでしょう。

では、IDやパスワードを使わなくてもセキュリティが担保されたシステムを作ればいいじゃないか、と考える方がいらっしゃると思います。
生体認証を行うためには最初にIDとパスワードを生成してログインしてもらう必要があるんですよね。
他にも技術的なハードルがありますし、利用される方の心理的なハードルもあります。
特に心理的なハードルはシステムを作っただけでは解決できるものではありません。
ある意味、仕事だからという強制力でクリアさせることは可能です。
ですが、PTA は任意なので、強制することはできません。
そうすると、使われないシステムになっていってしまいます。

だったら、いつでもどこでも誰でも見れるようにすればいいのではないか、と考える方もいらっしゃると思います。
それをやってしまうと、入り口がガバガバなので流出しやすくなってしまいます。
いつでもどこでも誰でも見れるということは、世界中の人たちが見ることができるということです。
PTA の広報誌なんて誰も見ない、というのは思い込みでしかありません。
そして一度世界に公開・拡散されてしまえば、完全に削除することは困難です。

以上のことから、流出しづらくすると見るためのハードルが上がり、見るためのハードルを下げると流出しやすくなります。
どちらも高めるためには、利用される方々の理解と協力が不可欠になってきます。
子どもが通っているからというだけで乗り越えていただくには、なかなか高い壁なんですよね。

というわけで、企業ではデジタル化したほうが流出しにくくなる可能性もあります。
ですが、PTA では流出しづらいデジタル化をすると見にくる方が大幅に減ってしまう可能性があり、目的を考えると現実的ではない、というのが実際のところです。
企業でできるからといって、PTA でできるわけではないんですよね。

当てはまらない点その2:流出元を特定したあとどうするの?

企業のデータが流出した場合、流出元を特定することは意味があります。
たとえば従業員が流出元だった場合、再発防止のため担当業務の変更や部署移動、悪質であった場合には解雇することができます。
たとえば取引先が流出元だった場合、その取引先への損害賠償請求や取引停止を検討することができます。
他の場合も含めて、企業のデータ流出で流出元を特定したい理由は、再発防止なんですよ。

では、PTA が管理しているデータが流出した場合、流出元を特定することの意味はあるのでしょうか。
とある保護者の方が流出元だった場合、PTA から強制退会させるのでしょうか。
それとも、流出元の保護者を公開し、流出によって被害があったご家庭に損害賠償請求をうながすのでしょうか。

嫌な話ですけど、PTA が管理しているデータが流出したことによる被害って、一番の被害者は子どもたちなんですよね。
怪我や誘拐、性犯罪など、子どもにあってほしくない被害ばかりが頭にうかびます。
そうなったとき、流出させた人に損害賠償請求をしただけで、被害にあった子どもの親御さんの気持ちは落ち着くのでしょうか。
僕は、そんなことないと思います。
想像もできないような報復を被害者側が考え、行動してしまうかもしれません。
そうなってしまっては、1回の流出をきっかけに不幸が連鎖的に起こされることが危惧されます。

また、流出元を特定するためには、流出したデータ自体に許可している人たちの中で最後にそのデータを見た人は誰なのかを特定して記録するシステムが必要になります。
データを見ている人は誰なのかを特定しないといけないんですね。
誰を特定する方法として、簡単に想像できるのはログイン機能です。
とはいえ、PTA 会員のみなさんに ID/パスワードを持ってもらうのは、運用負荷が高いといえるでしょう。

今は学校の ICT 化が進み、生徒一人一人に端末が配られている学校が多いので、システムに接続する端末はあります。
ですが、使い慣れないシステムを使おうとしたとき、最初に見るべきマニュアルや、困った時のサポートなど、運用していくために必要な人員は紙で印刷していたときとは考えられないほどの人数が必要になってしまいます。
お給料も出ないボランティア活動を四六時中気にしながら仕事をするって、ハードル高すぎませんかね。

流出元を特定できても PTA では再発防止に使えないし、使われるシステムであるためには開発したあとの運用にもお金がかかりますよ、という話になります。
それだけの費用を払っても、PTA活動には支障がないのでしょうか。

まとめ

企業でできることであっても、PTA ではできないこともあります。
むしろボランティア団体であるPTAのほうが、デジタル化のメリットを享受できないことが多いんですよね。

また、流出元を特定することよりも、そもそも流出させないほうが大事です。
一番安全なのは、文章は手書きで模造紙に書いて、写真はフィルムカメラで撮影して学校の中で現像して貼り付ける方法です。
物理的に学校の中に入れなければ、見ることができませんからね。
危険なのは、SNSに学校名を入れて子どもの鮮明な顔写真を載せることでしょうか。
世界中に拡散され、思いもよらない被害があるかもしれません。

PTAは、子どもたちのためにある団体だと思っています。
親の利便性を上げるために、子どもにリスクを負わせるのは違いますよ。
楽がしたいなら、その活動をやめてしまえばいいのですから。

ただし、デジタル化をするな、と言っているわけではありません。
子どもたちのためになることなら、じゃんじゃんやっていきましょう。
そのために、子どもたちが学校でどう過ごしているのか、先生たちが困っていることはないか、保護者が不満に思っていることはないか、を常日頃から聞いていくことが必要になってきます。

というわけで、PTAのようなボランティア団体ではデジタル化を安易に考えてたらダメだよ、というお話でした。

まさかわたしがPTA!? (コミックエッセイ)

まさかわたしがPTA!? (コミックエッセイ)

Amazon