教育情報セキュリティポリシーに関するガイドライン(令和6年1月)8

2024年6月17日 2024年6月13日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第１編総則

第２章地方公共団体における教育情報セキュリティの考え方

基本理念が7つ紹介されており、それをもとに第2編で対策基準の例をまとめているという構成になっています。

②児童生徒による重要性が高い情報へのアクセスリスクへの対応を行うこと

学校には、先生の数以上の児童生徒がおり、先生と児童生徒が同じネットワークを使用していることがある、という点が一般的な会社や役所と大きく違う点です。「成績の書き換えが行える」状況にしてしまうと、生徒から逮捕者を出すことになります。

ですので、学校、教育委員会はリスクを回避する必要があることを理解し、対策を取ることが必要です。また、子どもの目の前で管理者パスワードを何度も入力する、管理者パスワードを大勢で使いまわすなど、気を付けなければならない行動について、先生方は理解をする必要があります。

③標的型及び不特定多数を対象とした攻撃等による脅威への対応を行うこと

ガイドラインでは「標的型及び不特定多数を対象とした攻撃等による脅威に対する対策を講ずることが必要となる」とさらっと書いているだけですが、訓練はどれくらいの教育委員会で実施されているのでしょうか。１度も訓練をしたことがない場合と、１回でも訓練をしたことがある場合とでは対応に差が出ると思います。

例えば「標的型攻撃メールの予防対策」（一橋大学情報基盤センター　伊藤史人先生ら）によれば、「訓練メールは予防接種」というキーワードで、職員に受け入れられている様子が伺えます。

訓練を実施したら各学校からとても恨まれるのではないか、という不安は付きまとうと思います。「予防接種を定期的に打って、標的型メールの餌食にならないようにしよう」という考え方は貴重です。行政職の皆様に考えていただくきっかけとなれば幸いです。

④教育現場の実態を踏まえた情報セキュリティ対策を確立させること

「個人情報が記載された電子データを紛失することにより懲戒処分等を受けた教員は平成27年度で62名」という衝撃的な記載がされています。盗難に合ったとしても、個人情報を流出させた加害者になってしまうということですね。踏んだり蹴ったりもいいところです。

ですので、「平成29年のガイドライン策定時に教員が個人情報を外部に持ち出す際のルールについて、考え方を明確にした。」とあります。ルールを明確化し、それを守っていればOKという状態にしておくことが重要ですね。

児童生徒が扱うデータそのものに個人情報となるものが含まれる場合もあります。ですので、「暗号化等の対策を講ずることとした。なお、通信経路の暗号化を必須とし、データへの適切なアクセス制限を行った上で、データそのもの及びデータ格納先の暗号化については運用を考慮して対策を講ずることが必要」とあります。できる限り漏えいのリスクを減らす観点で、このように具体例が記載されていると検討しやすいですね。

来週は教育情報セキュリティポリシーに関するガイドライン（令和6年１月版）第１編総則の続きを読んでいきます。

投稿者プロフィール

大江香織: 株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

教育情報セキュリティポリシーに関するガイドライン(令和6年1月)8