LMSログの保存と匿名加工について

FIT2020のイベント企画「一人一台端末による学びを支えるデジタル学習環境」の講演で、「LMSログを保存する場合には氏名等を落として匿名加工しなければならないか？」という質問がありました。

そのときは、LMS運用や授業そのものの改善のためにLMSログを利用する場合は生データで問題なし、安全管理のために仮名化は有用、研究利用には本人同意とIRBの承認が必要という話をしました。

この件についてもう少し整理して書いておきます。

まず、LMSのデータ利用の目的は以下が考えられます。

(1) 成績の証拠として
(2) 授業の改善に直接使うため
(3) 大学内の施策（IR: institutional research等）で利用するため
(4) 研究者の研究利用のため

次に保存のタイミングです。

(1) 年度末等の学事の区切り
(2) LMSのリプレース等
(3) 保存年限

最後に保存場所です。

(1) LMSのデータベース上
(2) データベースから保存用に取り出したログ
(3) ログから分析環境に移したログ

LMSログの運用計画策定にはこれらの検討が必要です。

まず、成績を証明する原簿の一つとしてLMSログを利用する場合です。これは大学によって見解や方針が異なるでしょう。試験の答案用紙などは（最低）5年保存の規定にしているところが多いのではないでしょうか。しかし、LMSログについては組織決定しているところは少ないかもしれません。個人的にはLMSログは試験等に準じて最低5年は保存が必要と思います。その上、在籍中は削除しない方がよいとも思います。

成績については当然本人情報とリンクしていなければなりません。LMS上に保存されているのが安全管理上も運用がしやすいでしょう。しかし、データが膨大になった場合にどうするか。本人情報を含む形式で LMS外にエキスポートして保存、安全管理の方法を確立した上で、検索や復旧する方法を用意します。なかなか大変そうです。どれほどの頻度で復旧する必要があるか見積もっておくのがよいでしょう。

次に授業改善のための利用です。直接的な利用と統計等の利用があります。統計化されたデータは個人を特定できない（とはいえないのですが。Statistical Disclosure Controlの研究を参照）ので問題ありません。データをフィードバックのように本人に直接適用したい場合はどうか。これには授業縦断的なデータからフィードバックを作成する場合を含みます（学生、教員両方）。フィードバック利用は教育目的であれば取得、利用を逸脱していないでしょうから、フィードバックシステムがLMS外にあっても生ログを保存することに問題はないと思われます。データを最小限にすることが必要です。また、大学外にシステムがある場合には処理が委託となるよう契約する必要があるでしょう。

大学内の施策に利用する場合は、生データではなく個人が特定できない状態に加工するのがよいでしょう。多くの場合は統計を保存しておけば十分です。統計化の手順が事前に定義されていれば、LMS上（あるいは安全な保存場所上）の生データを安全に処理することができます。これは一種のPrivacy by Designといえるでしょう。また今後、平成2年改正で創設される仮名加工情報制度によって、柔軟なデータの保存、加工、分析が可能になると思われます。安全管理のためのData Loss Prevention技術を知るにはGoogleのクラウドサービス（[Google DLP](https://cloud.google.com/dlp?hl=ja）の説明（と実際に動くコード）が参考になります。

研究については、本人同意だけではなく、IRBの審査に基づく研究の実施が必要でしょう。倫理的に研究してくださいね。

結局、成績の証拠としてのLMSログを個人を特定できる形でそこそこ長期間保存しなければならず（機関が不要と判断すれば別ですが）、統計化以外の匿名加工化する機会は少ないように思います。LMSからエクスポートしたログの保存、利用方法については今後開発が必要そうです。