教育情報セキュリティポリシーに関するガイドラインのポイント

2023年11月28日 www.soliton.co.jp より移設

学校では、教職員だけでなく児童生徒も日常的に情報システムへアクセスします。さらに、端末は教室・職員室・持ち帰りなど「分散した場所」で使われやすく、授業・校務を止めずに運用し続ける必要もあります。こうした前提の違いから、一般的な行政事務の延長では整理しきれない論点が多く、学校向けの考え方をまとめた指針として「教育情報セキュリティポリシーに関するガイドライン」が示されています。

この記事では、ガイドラインの位置づけ、策定の背景、押さえるべきポイントを整理し、現場に落とし込む際の考え方（何を優先し、どこでつまずきやすいか）まで分かりやすくまとめます。読み終えると「自校（自自治体）では何を守る対象にし、どの対策をどの順で整備するか」を判断しやすくなります。

教育情報セキュリティポリシーに関するガイドラインの概要

この章では、ガイドラインが何を目的にし、どの文書とどう関係するのかを整理します。学校向けの情報セキュリティポリシーを策定・見直しする際に、どこを参照し、何を決めるべきかが明確になります。

教育情報セキュリティポリシーに関するガイドラインは、文部科学省が地方公共団体向けに、学校に必要なセキュリティ対策の考え方や具体策を整理したものです。学校（小中高等学校等）における情報セキュリティポリシーを策定・見直しする際の参照資料として活用されます。

情報セキュリティポリシーは、一般に「基本方針」と「対策基準」の2つから構成されます。「基本方針」は地方公共団体として統一して示す必要があるため、「地方公共団体の情報セキュリティポリシーに関するガイドライン」に沿って整備します。一方、「対策基準」は学校の利用実態（児童生徒の利用、教室等の物理環境、学習活動の特性、端末の配備形態など）を踏まえた設計が必要となるため、「教育情報セキュリティポリシーに関するガイドライン」に沿って具体化します。

「基本方針」と「対策基準」を分けて考える理由

学校の情報セキュリティでは、「全庁共通で守るべき原則」と「学校の現場で運用できる具体手順」を分けないと、次のような問題が起こりやすくなります。

• 原則が抽象的すぎて、教職員が日々の判断に迷う（何をしてよい／いけないが曖昧）
• 現場に合わない厳しすぎる運用が定着せず、形骸化する
• 学校ごとに対応がばらつき、事故時の説明責任や再発防止が難しくなる

そのため、基本方針で方向性と責任を明確にしつつ、対策基準で「誰が」「いつ」「何を」「どうやって」行うかまで落とし込むことが重要です。

ガイドラインが求める「守り方」の考え方

ガイドラインでは、情報セキュリティ対策の基本となる「何を」「何から」「どのように」守るかを明確にしたうえで、運用に落とし込める具体的な対策まで整理することが求められます。ここで重要なのは、対策を網羅的に並べることではなく、学校の実態に合わせて優先順位を付け、継続的に回る運用へ設計することです。

ガイドラインが対象とする「守るべき情報資産」の例

学校では、次のような情報資産が扱われます。学校の実態に合わせて優先順位を付け、守る範囲（どの情報を、どの場所で扱い、どこまで持ち出すか）を明確にすることが重要です。

• 児童生徒の個人情報（氏名、成績、出欠、健康情報など）
• 教職員の個人情報
• 校務に関する文書・データ（指導要録、報告資料、各種台帳など）
• ID・パスワード等の認証情報
• 端末、サーバー、ネットワーク機器、クラウドサービス上の設定情報

「情報資産」を定義する際の注意点

学校では「データそのもの」だけでなく、「設定」や「権限」も重要な情報資産です。例えば、クラウドの共有設定、学習系サービスのクラス招待設定、フィルタリングの例外設定、管理者権限の付与状況などは、誤設定がそのまま事故につながりやすいため、管理対象として明確化しておく必要があります。

教育情報セキュリティポリシーに関するガイドライン策定の背景

この章では、学校の環境がなぜ特有のリスクを持つのか、そしてなぜ「実行可能な基準」が求められるのかを整理します。背景を押さえると、対策を決めるときの優先順位の付け方がぶれにくくなります。

学校では教室やPC教室など、児童生徒が利用できる端末が多数存在し、インターネットへアクセスする機会も日常的に発生します。この前提のもとで、端末への不正アクセスや、設定不備・誤操作による情報漏えいなどが起こり得るため、教育機関に適した情報セキュリティ対策が求められるようになりました。

また、学校現場は「安全に守ること」と同時に、「授業や校務を滞らせないこと」も強く求められます。過度に厳しい運用は現場の負担になり、結果的にルールが形骸化するリスクがあります。そのため、教育現場の実態を踏まえた基準を整備し、実行可能な形で運用へ落とし込む必要性が高まり、ガイドラインが策定されました。

学校で起こりやすい“つまずき方”

学校の情報セキュリティは、教職員の意識だけでは解決しきれない論点が多く、仕組みと運用の設計が前提になります。よくあるつまずきとして、次のような状況が起こり得ます。

• 校務と学習の境界が曖昧で、どの情報をどこに置いてよいか現場判断に依存する
• 年度替わり・転入出が集中し、アカウントや端末の棚卸しが追い付かない
• 「急ぎの共有」「一時的な例外」が積み上がり、設定が複雑化して管理不能になる
• 事故の兆候に気づいても、誰にどう報告すればよいか分からず初動が遅れる

このため、ルールの提示だけでなく、役割分担、報告経路、判断基準、定期点検の仕組みまで含めて整備することが重要になります。

教育情報セキュリティポリシーに関するガイドラインのポイント

この章では、ガイドラインが示す基本理念と、対策を整備する際の整理軸を示します。学校のセキュリティ対策は「物理」「人」「技術」の3つをセットで捉えることで、抜け漏れが起きにくくなります。

教育情報セキュリティポリシーに関するガイドラインでは、学校における情報セキュリティ対策を進めるうえでの基本的な考え方が整理されています。基本理念の例は次のとおりです。

• 組織体制を確立すること
• 児童生徒が機密情報へアクセスするリスクへの対策を行うこと
• インターネットを介した標的型攻撃等のリスクへの対策を行うこと
• 教育現場の実態を踏まえたうえで、情報セキュリティ対策を確立させること
• 教職員の情報セキュリティに関する意識づくりを図ること
• 教職員の業務負担軽減とICT活用を両立し、多様な学習方法の実現を図ること

これらを実現するために、対策は「物理的セキュリティ」「人的セキュリティ」「技術的セキュリティ」の3つの観点で整理し、抜け漏れが起きないように整備します。どこか一部に弱い点があると、そこが入口となって事故につながる可能性が高まります。ここでは、それぞれのリスクと対策ポイントを整理します。

物理的セキュリティ

物理的セキュリティは、端末やサーバー、記録媒体などの情報資産を「盗難・紛失・破損」から守るための対策です。学校は多くの人が出入りし、端末も分散配置されやすいため、管理の抜けが起きやすい点に注意が必要です。

主なリスク

• 端末や記録媒体の盗難・紛失（持ち出し、置き忘れ、管理外保管など）
• 第三者による不正な持ち込み・持ち出し
• 災害（地震・水害等）による情報資産の滅失・破損

対策ポイント

• 校務系サーバー等の一元管理（教育委員会等での管理を含む）
• 通信回線および通信回線装置の管理と、機器設置場所のアクセス制御
• 端末・記録媒体の管理ルール（保管場所、施錠、持ち出し手続き、棚卸し）
• 災害を想定したバックアップと復旧手順の整備

運用に落とす際のチェック観点

物理対策は「ルールがある」だけでは不十分で、守れる状態になっているかが重要です。例えば、棚卸しの頻度と責任者、持ち出しの承認手順、返却確認の方法、故障端末や廃棄端末の保管場所など、現場で迷いが出る点を先に決めておくと運用が安定しやすくなります。

人的セキュリティ

人的セキュリティは、教職員の行動や判断に起因する事故（誤送信、誤設定、置き忘れ、ルール逸脱など）を減らし、事故発生時に迅速に対処できるようにするための対策です。学校では多忙さや繁忙期の集中もあり、「分かっていても手順が守れない」状態が起こり得るため、教育・体制・手順をセットで整備することが重要です。

主なリスク

• 誤送信、誤操作、誤設定などのヒューマンエラー
• ルールの未理解・形骸化（現場の負担が大きく運用が崩れる）
• 事故発生時の報告遅れ、初動の遅れ

対策ポイント

• 推進体制の整備（責任者、連絡系統、校内の役割分担の明確化）
• 教職員向けの教育・研修（eラーニング、集合研修、説明会など）の継続実施
• 事故の疑いがある場合や、事故発生時の報告ルール・初動手順の整備
• 「守るための手順」を現場で実行可能な形に簡素化し、定着させる工夫

「形骸化」を防ぐための考え方

人的対策で鍵になるのは、教育の回数よりも「迷いが起きる場面」を潰すことです。例えば、不審なメールを受け取ったとき、外部共有が必要になったとき、持ち帰りが発生したとき、委託先とデータをやり取りするときなど、現場が判断に迷う典型場面を想定し、短い手順と相談先を明確にしておくと事故の芽を減らしやすくなります。

技術的セキュリティ

技術的セキュリティは、システムやネットワーク、端末の設定・制御によって、情報漏えい・不正アクセス・マルウェア感染などのリスクを減らすための対策です。学校では「児童生徒が利用する環境」と「教職員が校務で扱う環境」の性格が異なるため、役割に応じたアクセス制御が重要になります。

主なリスク

• 児童生徒による校務系システムへの不正アクセス
• インターネット利用に伴うマルウェア感染や標的型攻撃
• 端末・記録媒体を介した情報資産の持ち出し

対策ポイント

• 教職員の個人認証の強化（アカウント共有の禁止、適切な権限付与）
• 重要データの保管場所・取り扱いルールの明確化（学習系システムに置くべき情報、置かない情報の整理）
• 学習系と校務系のネットワーク分離など、システム間のアクセス制御
• 校務系システムのインターネットからの分離や、通信・データの暗号化
• USBメモリ等の外部記録媒体の管理（利用ルール、暗号化、許可された媒体のみ使用、必要に応じた利用禁止）

技術対策を「運用の判断材料」に変える

技術的対策は、導入して終わりではなく、運用で迷わない形にすることが重要です。例えば、学習系と校務系の間でデータをどう移すか、誰が例外設定を承認するか、管理者権限を誰が持つか、年度替わりにアカウントをどう棚卸しするかといった運用論点を決めておかないと、現場の工夫が積み重なって想定外の抜け道が生まれやすくなります。

教育情報セキュリティポリシーに関するガイドラインは、学校向けの情報セキュリティポリシーを策定・見直しする際に役立つ基準です。対策を「物理」「人」「技術」の観点で整理し、学校の実態に合わせて運用可能な形に落とし込むことで、情報セキュリティ事故の予防と、ICT活用の両立を図りやすくなります。ガイドラインの意図を正しく理解し、継続的な見直しと改善につなげましょう。