IT用語集 2021/08/08

教育情報セキュリティポリシーに関するガイドラインのポイント

2023年11月28日 www.soliton.co.jp より移設

学校では、教職員だけでなく児童生徒も日常的に情報システムへアクセスします。そのため、一般的な行政事務とは異なる前提で情報資産を守る必要があり、学校向けの考え方を整理した指針として「教育情報セキュリティポリシーに関するガイドライン」が示されています。この記事では、ガイドラインの位置づけ、策定の背景、押さえるべきポイントを分かりやすく整理します。

教育情報セキュリティポリシーに関するガイドラインの概要

教育情報セキュリティポリシーに関するガイドラインは、文部科学省が地方公共団体向けに、学校に必要なセキュリティ対策の考え方や具体策を整理したものです。学校向けの情報セキュリティポリシーを策定・見直しする際の参照資料として活用されます。

情報セキュリティポリシーは、一般に「基本方針」と「対策基準」の2つから構成されます。「基本方針」は地方公共団体として統一して示す必要があるため、「地方公共団体の情報セキュリティポリシーに関するガイドライン」に沿って整備します。一方、「対策基準」は学校の利用実態（児童生徒の利用、教室等の物理環境、学習活動の特性など）を踏まえた設計が必要となるため、「教育情報セキュリティポリシーに関するガイドライン」に沿って具体化します。

またガイドラインでは、情報セキュリティ対策の基本となる「何を」「何から」「どのように」守るかを明確にしたうえで、運用に落とし込める具体的な対策までを整理することが求められます。

ガイドラインが対象とする「守るべき情報資産」の例

学校では、次のような情報資産が扱われます。学校の実態に合わせて優先順位をつけ、守る範囲を明確にすることが重要です。

児童生徒の個人情報（氏名、成績、出欠、健康情報など）
教職員の個人情報
校務に関する文書・データ（指導要録、報告資料、各種台帳など）
ID・パスワード等の認証情報
端末、サーバー、ネットワーク機器、クラウドサービス上の設定情報

教育情報セキュリティポリシーに関するガイドライン策定の背景

学校では教室やPC教室など、児童生徒が利用できる端末が多数存在し、インターネットへアクセスする機会も日常的に発生します。この前提のもとで、端末への不正アクセスや、設定不備・誤操作による情報漏えいなどが起こり得るため、教育機関に適した情報セキュリティ対策が求められるようになりました。

また、学校現場は「安全に守ること」と同時に、「授業や校務を滞らせないこと」も強く求められます。過度に厳しい運用は現場の負担になり、結果的にルールが形骸化するリスクがあります。そのため、教育現場の実態を踏まえた基準を整備し、実行可能な形で運用へ落とし込む必要性が高まり、ガイドラインが策定されました。

教育情報セキュリティポリシーに関するガイドラインのポイント

教育情報セキュリティポリシーに関するガイドラインでは、学校における情報セキュリティ対策を進めるうえでの基本的な考え方が整理されています。基本理念の例は次のとおりです。

組織体制を確立すること
児童生徒が機密情報へアクセスするリスクへの対策を行うこと
インターネットを介した標的型攻撃等のリスクへの対策を行うこと
教育現場の実態を踏まえたうえで、情報セキュリティ対策を確立させること
教職員の情報セキュリティに関する意識づくりを図ること
教職員の業務負担軽減とICT活用を両立し、多様な学習方法の実現を図ること

これらを実現するために、対策は「物理的セキュリティ」「人的セキュリティ」「技術的セキュリティ」の3つの観点で整理し、抜け漏れが起きないように整備します。どこか一部に弱い点があると、そこが入口となって事故につながる可能性が高まります。ここでは、それぞれのリスクと対策ポイントを整理します。

物理的セキュリティ

物理的セキュリティは、端末やサーバー、記録媒体などの情報資産を「盗難・紛失・破損」から守るための対策です。学校は多くの人が出入りし、端末も分散配置されやすいため、管理の抜けが起きやすい点に注意が必要です。

主なリスク

端末や記録媒体の盗難・紛失（持ち出し、置き忘れ、管理外保管など）
第三者による不正な持ち込み・持ち出し
災害（地震・水害等）による情報資産の滅失・破損

対策ポイント

校務系サーバー等の一元管理（教育委員会等での管理を含む）
通信回線および通信回線装置の管理と、機器設置場所のアクセス制御
端末・記録媒体の管理ルール（保管場所、施錠、持ち出し手続き、棚卸し）
災害を想定したバックアップと復旧手順の整備

人的セキュリティ

人的セキュリティは、教職員の行動や判断に起因する事故（誤送信、誤設定、置き忘れ、ルール逸脱など）を減らし、事故発生時に迅速に対処できるようにするための対策です。学校では多忙さや繁忙期の集中もあり、「分かっていても手順が守れない」状態が起こり得るため、教育・体制・手順をセットで整備することが重要です。

主なリスク

誤送信、誤操作、誤設定などのヒューマンエラー
ルールの未理解・形骸化（現場の負担が大きく運用が崩れる）
事故発生時の報告遅れ、初動の遅れ

対策ポイント

推進体制の整備（責任者、連絡系統、校内の役割分担の明確化）
教職員向けの教育・研修（eラーニング、集合研修、説明会など）の継続実施
事故の疑いがある場合や、事故発生時の報告ルール・初動手順の整備
「守るための手順」を現場で実行可能な形に簡素化し、定着させる工夫

技術的セキュリティ

技術的セキュリティは、システムやネットワーク、端末の設定・制御によって、情報漏えい・不正アクセス・マルウェア感染などのリスクを減らすための対策です。学校では「児童生徒が利用する環境」と「教職員が校務で扱う環境」の性格が異なるため、役割に応じたアクセス制御が重要になります。

主なリスク

児童生徒による校務系システムへの不正アクセス
インターネット利用に伴うマルウェア感染や標的型攻撃
端末・記録媒体を介した情報資産の持ち出し

対策ポイント

教職員の個人認証の強化（アカウント共有の禁止、適切な権限付与）
重要データの保管場所・取り扱いルールの明確化（学習系システムに置くべき情報、置かない情報の整理）
学習系と校務系のネットワーク分離など、システム間のアクセス制御
校務系システムのインターネットからの分離や、通信・データの暗号化
USBメモリ等の外部記録媒体の管理（利用ルール、暗号化、許可された媒体のみ使用、必要に応じた利用禁止）

教育情報セキュリティポリシーに関するガイドラインは、学校向けの情報セキュリティポリシーを策定・見直しする際に役立つ基準です。対策を「物理」「人」「技術」の観点で整理し、学校の実態に合わせて運用可能な形に落とし込むことで、情報セキュリティ事故の予防と、ICT活用の両立を図りやすくなります。ガイドラインの意図を正しく理解し、継続的な見直しと改善につなげましょう。