学校におけるICTの利活用が進む中、保有している個人情報の流出、紛失などの情報セキュリティに関わる事故が後を絶ちません。学校における働き方改革の推進や、約10年ぶりに改訂され、2020年度より小学校から順に実施される「新学習指導要領」を見据えた教育現場におけるICT環境整備はさらに加速していくことが求められています。ICT環境を支える情報セキュリティ対策が急務になっています。
国のガイドラインで具体的な対策基準を定める
文部科学省は2017年10月、「教育情報セキュリティポリシーに関するガイドライン」(以下、ガイドライン)を策定、公表しました。ガイドラインは地方自治体や私学が設置する学校を対象に、教育情報セキュリティポリシーの策定や見直しを行う際、参考になる考え方や内容を示したものです。改めてその要点を整理してみましょう。
ガイドラインの基本的な考え方は以下の6点です。
(1)組織体制を確立すること
(2)児童生徒による機微情報(※)へのアクセスリスクへの対応を行うこと
(3)インターネット経由による標的型攻撃等のリスクへの対応を行うこと
(4)教育現場の実態を踏まえた情報セキュリティ対策を確立させること
(5)教職員の情報セキュリティに関する意識の醸成を図ること
(6)教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること
※児童生徒情報(成績、保健、進路、特性情報等)、保護者情報など
ガイドラインでは、この6点の基本的な考え方を基に具体的な対策基準をまとめています。教育委員会と学校は、対策基準を参考にして、学校における情報セキュリティポリシーの策定と運用ルールの見直しが求められています。対策基準を実施するための具体的な手順などをマニュアルのようにまとめたものが「実施手順」です。実施手順は教育委員会がひな型を学校に提示し、各学校の実態に応じて整備しなければなりません。
「何を」「何から」「どのように」守るのか
文部科学省はガイドラインの内容について、2017年11月、「教育情報セキュリティポリシーに関するガイドライン」ハンドブックを発行して解説しています。教育委員会はその内容をきちんと把握しておく必要があります。情報セキリュティ対策とは「何を」「何から」「どのように」守るかを明らかにすること。まずはこの3項目に関してポイントを整理しておきます。
最初の「何を」は、守る対象のことです。ガイドラインで想定している守る対象は学校が保有している情報全般であり、「情報資産」と位置付けています。学校で扱う情報資産は「校務系」と「学習系」に大別されます。校務系情報は学籍や成績、指導、健康診断など児童・生徒の個人情報、教職員の個人情報など他人には知らせるべきではない機微情報があります。
情報漏えい事故が起これば、児童・生徒、教職員のプライバシーや、学校事務、教育活動の実施に重大な影響を及ぼすことになります。児童・生徒が授業などで利用する学習系情報についても、学外への公表を前提としていない情報が含まれることがあり、学外に漏えいしないように対策を講じなければなりません。
情報そのものに加え、情報を記録したファイルやメール、データが保存されているPCやサーバー、CD-ROMやUSBメモリー、HDDなどの記録媒体も情報資産として保護の対象になります。
次に、情報資産を「何から」守るのかをきちんと意識しておく必要があります。つまり「脅威」の把握です。それは大きく分けると次の5つになります。
(1)内部の者による情報資産の窃取・改ざん等
(2)自然災害等による情報資産の滅失等
(3)児童生徒のいたずら等による情報資産の窃取・改ざん等
(4)悪意のある外部の者による情報資産の窃取・改ざん等
(5)教職員の過失による情報資産の漏えい・紛失等
これらの5つの脅威から「どのように」守るのかという「手段」を押さえておきましょう。手段は大きく分けると「組織的・人的対策」、「物理的対策」「技術的対策」の3つになります。3つの対策は、総合的に実施する必要があります。どれか一部でも弱い部分があれば、そこからの脅威により情報漏えい事故につながってしまうからです。
教育委員会がしなければならない「組織体制の整備」
情報セキュリティ対策は、「組織的・人的対策」から始まります。中でも組織体制の確立は欠かせません。ハンドブックでは、組織体制の整備は教育委員会の役割と明記しています。学校は児童・生徒の教育をつかさどる教員を中心として構成されている組織です。情報システム及びセキュリティ体制に関することは、教育委員会での管理が重要であるとされているのです。しかも、その組織のトップは教育委員会を超えて、副市長など地方公共団体の情報セキュリティの最高責任者が兼務することが望ましいとされています。組織を確立したら、現場の教職員に対する研修計画の推進や学校内での推進体制づくりを行います。
続いて、「物理的対策」と「技術的対策」のポイントも列挙しておきます。これらは、外部の事業者に、システムの導入、運用を依頼する際の条件でもあります。
物理的対策
(1)校務系サーバーの教育委員会による一元管理
(2)通信回線及び通信回線装置の管理
技術的対策のポイント
(1)児童生徒が機微な校務系情報にアクセスするリスクへの対応
(2)インターネット利用におけるセキュリティリスクへの対応
(3)外部への情報資産持ち出しリスクへの対応
(4)その他関連して必要になる対応
(5)情報資産の重要性によるシステム運用管理
こうした「物理的対策」や「技術的対策」を、情報システムの専門家ではない教育委員会や学校が自ら実施することは困難です。実際は、教育委員会や学校が、外部の事業者にシステムの導入や運用を発注、依頼する際に求めるべき条件と考えるべきでしょう。
つまり、「物理的対策」と「技術的対策」を順守できるシステムを納入できる事業者を選び、「組織的・人的対策」により、現場のセキュリティ意識を高め、適切な行動を求めることこそが、教育委員会や学校の役割です。そのための第一歩が「ガイドライン」の内容をしっかり把握することです。
連載記事一覧
- 第1回 学校は個人情報の塊。他人事ではない情報漏えい事故 2019.06.14 (Fri)
- 第2回 押さえておくべき「教育情報セキュリティポリシー」の要点 2019.06.14 (Fri)
- 第3回 学校の情報資産を守る必須の情報セキュリティ対策 2019.08.23 (Fri)