みんな気になる「情報セキュリティ特集」

平成29年10月、文部科学省が学校や教育委員会を対象とした「教育情報セキュリティポリシーに関するガイドライン」が公開されました

方針

  1. 組織体系の確立
  2. 児童生徒による機微情報へのアクセスリスクへの対応
  3. インターネット経由の標的型攻撃へのリスク対応
  4. 教育現場の実態を踏まえたセキュリティ対策の確立
  5. 教職員の情報セキュリティに関する意識の醸成
  6. 教職員の業務負担軽減とICTを活用した多様な学習の実現

情報セキュリティポリシーとは、一般的に組織における情報セキュリティを確保するための「方針」「体制」「対策」等を包括的に定めた文章のことです。学校であれば、子どもたちの授業成績や通知表などをはじめとして、個人情報として取り扱われる情報が増えつつあります。また、機器の紛失や不正アクセスなどによる情報漏洩の危険性もあります。

学校において何を守るべきか、あるいは、トラブルがあった場合にはどのように対処するのかをあらかじめ決めておくのが教育情報セキュリティポリシーです。

これまでは総務省から平成27年3月に地方公共団体に対するセキュリティポリシーが公開されており、公立学校においても同様のポリシーが適用の対象とされてきました。しかしながら、学校では先生方の日常業務においてパソコンやインターネットを利用するだけでなく、子どもたちも学習活動を通して利用する機会が増えてきています。

そこで、文部科学省からは現状に即し、学校と教育委員会向けのガイドラインが改めて明確化されました。これは学校と教育委員会が連携する組織体制をはじめ、子どもたち自身によるリスクの回避、インターネットからの攻撃回避、現場の実態を踏まえたルール作りの確立などを扱っています。単にガイドラインが例示されているだけでなく、その背景の解説もされているため、学校でのポリシー作成に有用でしょう。

体制

ガイドラインでは、学校の教育情報セキュリティ管理者は校長が担うこと、教育情報システムの導入・運用・管理は原則として教育委員会が行うこと、また、最高情報セキュリティ責任者として、自治体ガイドラインと同一の者(副市長等)が担うなど、役割分担の明確化が示されています。

対策

適切なセキュリティを維持するために

何らかの情報漏洩などの事故(これをセキュリティ・インシデントと呼びます)が起こらないように、先生方に対しても未然防止や対策案が例示されています。以下は主な対策例です。

より詳しい情報は、公開されたガイドラインをご覧ください。

参考サイト:「教育情報セキュリティポリシーに関するガイドライン」公表について:文部科学省
http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1397369.htm

文部科学省が「教育情報セキュリティポリシーに関するガイドライン」を公表

10月18日、文部科学省から「教育情報セキュリティポリシーに関するガイドライン」が公表されました。

授業でのICT活用やプログラミング教育など、学校でインターネットに接続する機会が今後ますます増えることを想定し、重要情報の保護が適切にされるよう基準を定めたものです。

このポリシーの基本的な考え方は次の6点です。

  1. 組織体制を確立すること
  2. 児童生徒による機微情報へのアクセスリスクへの対応を行うこと
  3. インターネット経由による標的型攻撃等のリスクへの対応を行うこと
  4. 教育現場の実態を踏まえた情報セキュリティ対策を確立させること
  5. 教職員の情報セキュリティに関する意識の醸成を図ること
  6. 教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること

利便性を確保しつつ、ポリシーに沿った運用を行うことは、容易ではありませんが、校務に使用するサーバの置き場所や管理方法、ネットワークの設定、各種アプリケーションの管理方法などの専門的知識を要する対策以外に、それらを利用する人が知っておかなければならない知識についての教育、現場を上げてのルールの徹底も行う必要があります。

例えば、さくらインターネットでは「標的型攻撃へのリスク対策」として、標的型攻撃を模したメールを社員に送信し、抜き打ちでの対応訓練を実施していますし、定期的にアルバイトも含めた全社員に対する情報セキュリティ知識のテストや、情報管理状況の棚卸も実施されています。

また、「データセンター・クラウドサービス」など専門業者のサービスを利用して、情報を学校や教育委員会の外に保管することについても「有用である」といった意見がパブリックコメントで上げられ、文部科学省としては「ガイドラインの中でそれらサービスの利用を否定しない」との見解を示しています。

なお、インターネットを介したクラウドサービスの利用における留意点については、今後文部科学省が平成29~31年度に、 総務省と連携して実施することとしている 「次世代学校支援モデル構築事業」において検討し、 本ガイドラインの記述に反映する予定となっています。

「教育情報セキュリティポリシーに関するガイドライン」公表について (文部科学省)
http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1397369.htm

(初出「こどもプログラミング通信」第7号 2017年11月21日発行)