教育情報セキュリティポリシーに関するガイドライン(令和6年1月)6

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第1編 総則

第1章 本ガイドラインの目的等

(4)本ガイドラインの経緯

初版のガイドラインからどういう経緯を経て今のガイドラインになったのか、ということが述べられています。毎回経緯について書かれていますが、これは、「いつのガイドラインを読んでいるか」によって、認識が大きく変わるからです。

①「教育情報セキュリティポリシーに関するガイドライン(平成29年10月版)」

「学校における情報セキュリティ対策の考え方を整理することを目的」として初めてガイドラインが作成され、公開されました。とにかくこれは大きな転換点でした。オンプレミスでの解説図が掲載されているので、この初版しか読んでいない方がいらっしゃると、「今は違うんですよ」ということをお伝えする必要があります。

②「教育情報セキュリティポリシーに関するガイドライン(令和元年12月版)」

「クラウドを活用した環境構築に関する内容を追記」したものです。平成29年10月版では上記の通り、オンプレミスによるセキュリティ確保の解説図が掲載されていましたので、「関係者においてガイドライン記載の具体的対策例を一言一句遵守することが目的化」することがあった、と述べられています。

令和元年12月版では、「教育委員会はじめ関係者が遵守すべき理念と、あくまで知見のない者が参考例とすべき内容を明確にした」ものとなります。

セキュリティに関する内容は、日々進化しますし、今までにない試みだったので、様々改定したほうが良いところが出てくるのは当然のことだと思います。それを、きちんと活かして改訂版が出たので、出た当時私はすごいな、と思いました。

③「教育情報セキュリティポリシーに関するガイドライン(令和 3 年 5 月版)」

「児童生徒の「1 人 1 台端末」及び「高速大容量の通信環境」を一体とした学校の ICT 環境整備が急速に進んだ」とあります。それまで本当に現場感覚では「遅々として進まない」状態だった環境整備が、GIGAスクール構想の実現で一気に加速しました。それに伴い、「1 人 1 台端末を活用するために必要なセキュリティ対策やクラウドサービスの活用を前提としたネットワーク構成等の課題に対応」することや、「端末から得られる各種教育データを効果的に活用して教育の質的改善を図る」ことなどが盛り込まれています。

④「教育情報セキュリティポリシーに関するガイドライン(令和 4 年 3 月版)」

「「アクセス制御による対策を講じたシステム構成」への円滑な移行を図るため、詳細な技術的対策の追記及び従来の「ネットワーク分離による対策を講じたシステム構成」と今後の「アクセス制御による対策を講じたシステム構成」について、明示的に書き分ける等の一部改訂を行った。」とあります。

デジタル庁の協力も得て、どんどん学校環境のセキュリティ意識が、世間一般の意識に沿ってきたなというイメージを持ちました。

⑤「教育情報セキュリティポリシーに関するガイドライン(令和 6 年 1 月版)」

「強固なアクセス制御による対策の考え方に基づくネットワーク統合を前提としたパブリッククラウド活用において適切なセキュリティ対策を講じる重要性」について追記が行われたということです。

「次世代校務DXを実現するために、校務系・学習系システムをパブリッククラウド上で運用しつつ情報セキュリティを確保すること」はとても重要です。人類のICTリテラシーが醸成されるのと、テクノロジーの進歩は全く歩幅が違いました。「最初期からセキュリティについてもっと真剣に取り組んでおけば」というような意見が散見されますが、セキュリティを強固にする、ということは「面倒ごとが増える」とほぼトレードオフです。技術の力で何とか便利にしよう、という動きよりは、悪意を持った攻撃に対応する、の方がスピード感を求められているので、なかなか難しいところです。

学校現場は、先生が「人力で何とかする」に慣れすぎていて、それでとても大変な状況になっています。人力で何とかするためには、何とかする対象の知識を身に着けていないとなりません。つまり、とてもとてもとてもとても大変な状況だということですね。

高度なセキュリティの知識を身に着けるのは大変です。とても難しいです。それを身に着けないまま、「人力で何とか」しようとしても、セキュリティは高まりません。

ですのでガイドラインを踏まえつつ、できる限り先生方にあまり負担のないように教育委員会・自治体が連携して取り組んでいかなければならない、ということですね。

来週は教育情報セキュリティポリシーに関するガイドライン(令和6年1月版)第1編総則の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。