Skip to content
reader.me

教育現場のPDF:教師と学校のためのプライバシー

学校のPDFには未成年者のデータが含まれています。成績表、指導要録、保護者同意書。なぜそれらをアップロードサイトに送るべきではないのか、そしてどうやって手元で処理するのか。

AG Antonia González · 2026年7月8日 · 7 分で読めます

学期の最終週のことです。ある教師の手元には、別々のPDFになった30人分の成績表があり、それを学年フォルダ用に1つのファイルにまとめる必要があります。学校のノートパソコンにはそれ用のソフトが何も入っていないので、「PDF 結合」と検索し、最初に出てきた結果を開き、児童の名前・成績・生活指導の記録が詰まった30の書類をドラッグして放り込み、ボタンをクリックします。

結合されたファイルがダウンロードされます。フォルダは更新されました。誰も何も気づきません。しかし、その30枚の成績表はたった今、学校を離れ、教師が一度も聞いたこともない会社が運営するサーバーへと着地したのです。そしてそのどれもが、ある子どもについてのものでした。

これは法的助言ではありませんし、私はあなたのデータ保護責任者でもありません。学校にはそれぞれの方針があり、答えを返すべき自校のDPOがいます。けれども教育は未成年者に関するデータの上に成り立っており、それはまさに法律が最も厳重に守ろうとする種類のデータです。だからこそ、次の締め切りが誰かを適当なツールへと追い立てる前に、何が懸かっているのかをはっきりさせておく価値があります。

学校のPDFは子どものデータでいっぱい

学校が毎週、紙と画面の上で生み出すものを思い浮かべてください。成績入りの成績表。住所と生年月日が載った児童の指導要録。校外学習の保護者同意書。健康・アレルギーに関する書類。要保護児童に関する記録。就学援助の受給資格。特別支援教育の個別計画。そのほとんどすべてが特定の子どもを識別しますし、その多くは健康情報のように、法律が特に機微なものとして扱う事柄に触れています。

GDPRは子どものデータに独自の保護を与えています。その理由は明白です。子どもはリスクへの自覚が薄く、漏えいの影響は何年も付きまといます。漏れた成績表はパスワードのようにリセットできません。開示されてしまった要保護児童の記録は、現実の害を引き起こしかねません。だから学校がこうしたファイルを扱うとき、慎重に行うべき水準は、他のほとんど何よりも高いのです。

そして、その責任を負うのは学校です。GDPRのもとで、このデータについて学校は**管理者(controller)**にあたります。その義務は、7月で皆が疲れていて結合を今すぐ片付けなければならないからといって、止まってはくれません。

アップロードサイトはファイルに何をするのか

そのPDFがオンラインツールに送られた瞬間、それは学校の管理下を離れます。学校が運用していないサーバーへと移動し、そこで処理され、何かが返ってくる前にキャッシュされたり、待ち行列に入れられたり、コピーされたりするかもしれません。そのツールを運営する会社は、学校に代わって動く**処理者(processor)**となり、学校はその全体について責任を問われる管理者のままです。

その仕組みには条件が伴います。学校はその処理者と書面による契約を結び、データをどう扱ってよいか、いつ削除するかを明記しておくことになっています。検索で見つけた無料ツールについて、学校はそのどれも持っていません。契約もなく、サーバーがどこにあるのかも分からず、ほかに誰がそのファイルに触れられるのかも言えません。もしそのサーバーがEU域外にあれば、学校は子どものデータの国際移転までしてしまったことになり、それはGDPRが最も大きな摩擦を設けている類のことです。

学校が保証できないサービスを通じて児童のデータが露出してしまえば、それは個人データ侵害になり得ます。子どもが絡む侵害は、規制当局も保護者も最も重く受け止めるものです。たった一度の急ぎのアップロードから、通知、調査、そして非常に気まずい家庭への手紙が続くことになります。

苛立たしいのは、その作業そのもの、つまり数個のファイルを結合したり保護したりすることは、そもそも建物の外に出る必要が一切なかったということです。

学校のPDF作業は自分のパソコン上で行う

ここに解決策があり、それは問題よりもずっと軽いものです。PDFがあなたのデバイスから一度も出なければ、外部の処理者は一切触れません。追いかけるべき契約も、正当化すべき移転も、子どもの記録を漏らしうる第三者も存在しません。学校は依然として管理者であり、児童に対していつもの注意を払う義務を負い続けますが、リスクの層がまるごと存在しなくなります。データがあった場所にとどまったからです。

これが、すべてブラウザ内で動くツールの背後にある考え方です。コードが作業をローカルで、あなたのコンピューターのメモリ内で行い、ファイルはその場に留まります。私たちはそうやってreader.meを作りました。学校のPDFを結合したり保護したりするとき、それはあなたのブラウザ内で処理され、私たちのサーバーには決して届きません。証拠が欲しければ、ブラウザのDevToolsを開き、作業中にNetworkタブを見ていてください。あなたの書類を伴って外へ出ていくものは何もないことが分かります。

3つの作業で、学校が必要とすることのほとんどがまかなえます。

  • それらの成績表をすべて1つの書類にまとめる。PDFの結合を、ノートパソコン上で、アップロードなしに。
  • 機微なファイルがどこかへ行く前にロックする。PDFの保護でパスワードを追加すれば、同意書や記録が保護者の受信トレイに届く前に暗号化されます。
  • 書類や手紙に署名を加える。PDFへの署名を使えば、印刷もスキャンも、書類を見知らぬ相手に先に送ることもなく行えます。

職員室のためのいくつかの習慣

  • 児童に関するすべての書類を、未成年者についてのデータとして扱う。 成績表、指導要録、校外学習の書類、特別支援計画はすべて該当します。スキャンした1ページであっても同じです。
  • 児童のファイルを適当なオンラインツールに決してドラッグしない。 契約もなく、サーバーの所在もはっきりしないということは、子どものデータをそこへ送らない、それだけのことです。
  • 結合・保護・署名のような日常的な作業には、ブラウザ内で動くツールを既定にする。 ローカルで動くなら、精査すべき処理者もなく、国境を越えるものもありません。
  • 家庭に送る前にファイルをロックする。 PDFにかけたパスワードは、クラス一斉メールへの無防備な添付ファイルよりずっと優れています。
  • 児童のファイルにツールを採用する前に、自校でデータ保護を担当している人に確認する。 きっと感謝されます。

子どものデータをめぐる規則は重く聞こえますし、実際に重いものです。データそのものが重いからです。けれども日々の解決策は小さなものです。ファイルを自分のパソコンに留め、アップロードしないツールを使えば、問題の最も重い部分はあなたのところまで届きません。アップロードがこうした義務をどう発生させるのか、もっと詳しい説明が読みたければ、GDPRとPDFのアップロードについて別に書きました。

カテゴリーから探す