教育情報セキュリティポリシーに関するガイドライン(令和6年1月)22

2024年10月28日 2024年10月25日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

４.物理的セキュリティ

４.６. パソコン教室等における学習者用端末や電磁的記録媒体の管理

GIGA端末があるからパソコン教室は廃止、という自治体があることは承知していますが、文部科学省は「GIGA スクール構想に基づく１人１台端末環境下でのコンピュータ教室の在り方について」（リンク先PDF）という事務連絡を令和４年１２月１９日に発出しています。基本的にコンピュータ教室（パソコン教室）はタブレットではちょっと処理が大変な高度なこと（例：中学校技術・家庭科（技術分野）「Ａ材料と加工の技術」における CADを使った製図等）をさせるために、良いスペックのパソコンをいつでも使える状態に整備しておく、という考え方が示されています。

GIGA端末を使いこなしていけば、「もっと高度なことがやりたい」という児童生徒が出てきます。学習意欲が高まったところに使えるツールがあれば、より様々なひらめきや気づき、技術を手に入れることができるでしょう。

ガイドラインでは3点あげられています。パソコン教室という「共用のパソコン」で起こるリスクを軽減するためどれも大変もっともだ、と思うことですので、ご確認ください。

盗難防止のため物理的措置を講じる（特に、共用の場合責任の所在があいまいになるため、保管庫から取り出してから戻すまで等細かい規定が必要）
情報が保存される必要がなくなった時点で速やかに記録した情報を消去
ログインパスワードの入力等による認証を設定

５. 人的セキュリティ

続いて、人的セキュリティを読んでいきましょう。あれ？　既に幾度も話がされているのでは、と思われる方もいらっしゃると思います。ガイドラインには「人による安全管理措置については、先に「第２編３.２. 情報資産の管理」として、情報の生成から廃棄までのライフサイクルにおける基本的な安全管理措置を規定している。」とあります。聞いたことある、と思った方は本当に素晴らしいです。

ここでは、それに加えて「セキュリティ侵害を予防するために必要となる人的な安全管理措置事項」が記載されています。

また、クラウドについては本節及び「２編９. SaaS 型パブリッククラウドサービスの利用」を参照するよう注釈があります。

５.１. 教育情報セキュリティ管理者の措置事項

最初に教育情報セキュリティ管理者がどんな仕事をしなければならないか、ということが8点ガイドラインでは述べられています。

情報資産の管理
教職員等の情報セキュリティ意識醸成
端末等の持ち出し及び持ち込みの記録
教職員等への情報セキュリティポリシー等の遵守指導
新規ソフトウェア及びコンテンツの導入・利用判断
インターネット接続及び電子メール利用の制限
校内及び執務室での管理
自己点検の実施

自己点検は学校現場ではなかなかやられない状態です。教職員にセキュリティポリシーの遵守指導をする、というものもなかなか「誰がやるんだ」という状態に陥りがちです。

このようにガイドラインで書かれていると、見落とさないので、行政職の皆様はぜひご参考になさっていただければと思います。

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。

投稿者プロフィール

大江香織: 株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

教育情報セキュリティポリシーに関するガイドライン(令和6年1月)22