教育情報セキュリティポリシーに関するガイドライン(令和6年1月)15

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

3 情報資産の分類と管理方法

この部分は、特にたくさん書き直されているなという印象を受けます。見え消し版では、前の版の文章がごっそり消されてほぼ書き変えられている(文言の修正だけの部分もありますが、とにかく大幅に変更している)様子がうかがえます。しっかり読んで、最新版の知識を確認しておきましょう。

3.1. 情報資産の分類

情報資産を守る、といってもいったい何をどう守ってよいのかわからなければ困りますね。すべての文書を校長室の金庫に入れてしまわなければならないかというと、絶対にそうではないといえますが、ではどこまで線を引くのか、ということになるとあいまいになってきます。

それらの線を明確にして、守るべきものは守り、使いやすい状態にしておくものは使いやすい状態にしておく。勿論すべての情報資産を守らなければなりませんが、過剰に守る必要はない、ということです。

そのためにも、自治体内で統一の(可能であれば国全体で統一できると今後とても楽ですが、まだそこまで到達できそうな気がしませんね)基準を明らかにしておく必要があります。

例文には

「機密性、完全性及び可用性の3つの観点から影響度を評価し」て、4段階の重要性分類を行う

とあげられています。その4段階は

  • Ⅰ セキュリティ侵害が教職員又は児童生徒の生命、財産、プライバシー等へ重大な影響を及ぼす。
  • Ⅱ セキュリティ侵害が学校事務及び教育活動の実施に重大な影響を及ぼす。
  • Ⅲ セキュリティ侵害が学校事務及び教育活動の実施に軽微な影響を及ぼす。
  • Ⅳ 影響をほとんど及ぼさない。

となっています。明確にしておくと迷わなくて良いですね。

ガイドラインでは、それぞれの分類にどのような文書が入るのか例示されています。文字の分量は多いですが、わかりやすいのでぜひ参照なさってください。スクショを撮ろうとしましたが、実物を見て拡大したほうが読みやすいです。(見え消し版https://www.mext.go.jp/content/20240202-mxt_jogai01-100003157_2.pdf 48ページ)

注意書きとして2項目あげられています。

注1 「児童生徒の氏名、性別、学年等の属性情報を、生活歴、心身の状況、電話番号等といった情報と束ねたリスト等」は、重要性の分類IIとして扱うことが望ましいが、「属性情報について学習系システムの中において扱うことを一義的に禁止するものではない。」

注2 児童生徒の学習記録等は本人以外からの不要なアクセス(クラウド事業者含む)を防ぐ必要がある。また、「ログイン ID/PW 自体は情報資産として取り扱うものではないが、ログインID/PW を束ねた管理台帳については重要性分類Ⅱ以上として扱うことが必要。」

注1は、よく読んで理解しようとしたのですが、児童生徒の指名性別学年等の属性情報を、学習系システムの中で扱うことは一義的に禁止ではない、といっていることはわかりました。属性情報と心身の状況等を束ねたリストになると、学習系システムの中で扱うことは問題であるという風な解釈になるのかなと思います。これが正しい解釈とは限りませんので、ぜひ議論させていただきたいところです。

また、注2で、本人以外からの不要なアクセスには、教員が含まれていることも留意が必要だなと思いました。「不要なアクセス」にどのようなものが含まれているのかは、議論が重要だと思います。先生方にしてみたら「子どもの情報にアクセスできないなんて!」と思われる方もいらっしゃるかもしれませんが、データは本人のものである、という大前提を持ったうえで、考えていただきたいところです。

指導のため、子どものため、と言いながら、大人の都合のためだけにデータを取り扱っていないか、子どもたちが大切だと思っているデータを勝手に大人が判断して削除したりさせたりしていないか、というところは今一度振り返っていただきたいところです。

来週は教育情報セキュリティポリシーに関するガイドライン(令和6年1月版)第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。