教育情報セキュリティポリシーに関するガイドライン(令和6年1月)20

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

4.物理的セキュリティ

かつて、ICTは教育の主流ではありませんでした。デジタル教科書が入る時も、電子黒板が入る時も、「そんなのが代わりに授業してくれるのか」という声が出ていました。今から見ると「?」という言説ですが、当時は大真面目にそうだったのです。

そういう状態だったので、「授業準備にパソコンを使いたい」「無線LANが欲しい」といったところでなかなか予算が取れずに、「じゃあ学校独自で(あるいは自腹で)」という先生も多くおみえでした。

その時代の名残が、「パソコンの管理が大変だ」につながっています。「これは自治体が入れたパソコン、こっちは学校独自のアクセスポイント、これは〇〇の予算で……」という大変さと「これは2年度に教委で導入された5台、こっちは防災対策から3年度に導入された3台、そっちは教委の別の課から4年度に導入された30台……」という大変さがあります。聞いただけでうんざりですね。

それでも、情報資産は管理しなければならないのです。現場が苦労するような調達ではないものを模索していきたいところです。私がさすがだな、と鮮明に覚えているのは、7種類あったコンピュータ室の契約を、最終的に1種類にまとめた方の手腕です。すごかったです。

4.4.教職員等の利用する端末や電磁的記録媒体等の管理

ガイドラインでは最初に「教職員等が利用するパソコン、モバイル端末及び電磁的記録媒体等が適切に管理されていない場合は、不正利用、紛失、盗難、情報漏えい等の被害を及ぼすおそれがある。」とあります。管理するのが大変だといっても、管理しなければ、現場の先生方が更に大変なことになります。

それでも目の前の大変さを考えると問題を先送りにしたい気持ちは沸いてきますね。人間だから仕方ないことです。個人的には、予算に関わる方は一度現場で棚卸を体験することを検討していただきたい、と真剣に思います。やったらわかります。どれだけ大変か。

という前提のもと、それでもきちんと管理することは必要ですから、どのようなことをしなければならないかガイドラインを確認しましょう。

例文には9つあげられています。1つ目は、意義ですので置いておき、残り8つの項目は以下の通りです。

  • ログインパスワード
  • 電源起動時のパスワード
  • 多要素認証の利用
  • 暗号化機能を持つセキュリティチップの利用
  • データ暗号化
  • モバイル端末のセキュリティ
  • マルウェア対策
  • 不適切なウェブページの閲覧防止

これらのことについて、校長先生はしっかりと把握しておく必要がありますし、「そうなっています」と胸を張って言える状態にしておく必要があります。

自治体の実情に合わせて、といっても、どれが欠けても大変です。これら全部を対策していても情報漏えいは起こりますから、対策してなければどんなことになるか、というのがとても心配なところです。私の心配は、「先生個人の責任とされる」ことを先生方がどれだけ自覚されているかということです。ずいぶん意識は浸透してきたとは思いますが、未だUSBメモリを入れたカバンが盗難にあった、といった時に自分は被害者である、ということしか思わない先生もごく一部残っています。

モバイル端末のセキュリティについては、1人1台のタブレットはもちろん、先生方がご自分の私物のスマホを業務に使用されているのなら、そちらの規定も早急に定めたほうがいいです。あるいは、私物のスマホを業務に使ってはいけません、とするかですね。私は個人的には、先生方には業務用スマホを配布したほうがいいと思います。2台持ちは嫌だという意見はこの際置いておき、会社員は普通にそのようにしていますので、業務と私用は分けてほしいです。私の子どもの写真が永遠に先生の私物の写真フォルダに残っているのは怖いです。そこから情報が漏えいして、フェイクに使われた、などということが発生しないとも限りません。

怖い怖いという話ばかりをするのは、一昔前の情報モラル教育のようですが、怖いという話をしたうえで、では、どのように使うのが良いか、ということに知恵を絞ることができるような子どもたちを育てるのが先生のお仕事ですね。行政職の皆様は、そのあたりの「先生のお仕事」部分をご理解いただいたうえで、セキュリティに関して注意喚起・規約やルールの整備を実施していただけるようお願い申し上げます。

来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。