教育情報セキュリティポリシーに関するガイドラインのポイント

2023年11月28日 www.soliton.co.jp より移設

教育情報セキュリティポリシーに関するガイドラインとは、学校に必要なセキュリティ対策の考え方や具体策を整理した、地方公共団体向けの参照資料です。学校では、教職員だけでなく児童生徒も日常的に情報システムへアクセスし、端末も分散した場所で使われやすいため、一般的な行政事務の延長では整理しきれない論点が生じます。

ガイドラインを読むときは、「何のための文書か」「何を守るのか」「どの対策から整えるのか」の3点を先に押さえると全体像をつかみやすくなります。この記事では、その3点を軸に、位置づけ、策定の背景、押さえるべきポイントを順に整理します。

教育情報セキュリティポリシーに関するガイドラインの概要

この章では、ガイドラインが何を目的にし、どの文書とどう関係するのかを整理します。学校向けの情報セキュリティポリシーを策定・見直しする際に、どこを参照し、何を決めるべきかが明確になります。

教育情報セキュリティポリシーに関するガイドラインは、文部科学省が地方公共団体向けに、学校に必要なセキュリティ対策の考え方や具体策を整理したものです。学校（小中高等学校等）における情報セキュリティポリシーを策定・見直しする際の参照資料として活用されます。

情報セキュリティポリシーは、一般に「基本方針」「対策基準」「実施手順」で整理します。「基本方針」は情報セキュリティ対策における基本的な考え方を定めるもので、教育分野では地方公共団体が策定したものを準用します。「対策基準」は必要な情報セキュリティ対策の基準で、教育委員会がガイドラインに基づいて策定・見直しを行います。「実施手順」は、対策基準に基づいて具体的なシステムや手順、手続に展開する個別の実施事項です。

「基本方針」と「対策基準」を分けて考える理由

学校の情報セキュリティでは、「全庁共通で守るべき原則」と「学校の現場で運用できる具体手順」を分けないと、次のような問題が起こりやすくなります。

• 原則が抽象的すぎて、教職員が日々の判断に迷う（何をしてよい／いけないが曖昧）
• 現場に合わない厳しすぎる運用が定着せず、形骸化する
• 学校ごとに対応がばらつき、事故時の説明責任や再発防止が難しくなる

そのため、基本方針で方向性と責任を明確にしつつ、対策基準で必要な対策の基準を定め、実施手順で「誰が」「いつ」「何を」「どうやって」行うかを具体化することが重要です。

「何を」「何から」「どのように」守るかで整理する

ガイドラインでは、情報セキュリティ対策を考えるときに、「何を」「何から」「どのように」守るかを明確にすることが求められます。重要なのは、対策を並べることではなく、学校の実態に合わせて優先順位を付け、継続して運用できる形にすることです。

ガイドラインが対象とする「守るべき情報資産」の例

学校では、次のような情報資産が扱われます。学校の実態に合わせて優先順位を付け、守る範囲（どの情報を、どの場所で扱い、どこまで持ち出すか）を明確にすることが重要です。

• 児童生徒の個人情報（氏名、成績、出欠、健康情報など）
• 教職員の個人情報
• 校務に関する文書・データ（指導要録、報告資料、各種台帳など）
• ID・パスワード等の認証情報
• 端末、サーバー、ネットワーク機器、クラウドサービス上の設定情報

「情報資産」を定義する際の注意点

学校では「データそのもの」だけでなく、「設定」や「権限」も重要な情報資産です。例えば、クラウドの共有設定、学習系サービスのクラス招待設定、フィルタリングの例外設定、管理者権限の付与状況などは、誤設定がそのまま事故につながりやすいため、管理対象として明確化しておく必要があります。

なぜ学校向けに別のガイドラインが必要なのか

ここでは、学校が一般の行政事務と同じ発想だけでは運用しにくい理由を整理します。児童生徒の利用、端末の分散、授業と校務を止められないという前提を押さえると、なぜ学校向けの基準が必要なのかを理解しやすくなります。

学校では教室やPC教室など、児童生徒が利用できる端末が多数存在し、インターネットへアクセスする機会も日常的に発生します。この前提のもとで、端末への不正アクセスや、設定不備・誤操作による情報漏えいなどが起こり得るため、教育機関に適した情報セキュリティ対策が求められるようになりました。

また、学校現場は「安全に守ること」と同時に、「授業や校務を滞らせないこと」も強く求められます。過度に厳しい運用は現場の負担になり、結果的にルールが形骸化するリスクがあります。そのため、教育現場の実態を踏まえた基準を整備し、実行可能な形で運用へ落とし込む必要性が高まり、ガイドラインが策定されました。

学校で起こりやすい運用上の課題

学校の情報セキュリティは、教職員の意識だけでは解決しきれない課題が多く、仕組みと運用の設計が前提になります。学校では、次のような状況が起こりやすくなります。

• 校務と学習の境界が曖昧で、どの情報をどこに置いてよいか現場判断に依存する
• 年度替わり・転入出が集中し、アカウントや端末の棚卸しが追い付かない
• 「急ぎの共有」「一時的な例外」が積み上がり、設定が複雑化して管理不能になる
• 事故の兆候に気づいても、誰にどう報告すればよいか分からず初動が遅れる

このため、ルールの提示だけでなく、役割分担、報告経路、判断基準、定期点検の仕組みまで含めて整備することが重要になります。

ガイドラインで押さえるべき6つの考え方と対策の整理軸

ここでは、ガイドラインの全体像をつかむために、先に基本理念の要点を確認します。そのうえで、各対策を「物理」「人」「技術」の整理軸で見ると、どこに抜けがあるかを点検しやすくなります。

教育情報セキュリティポリシーに関するガイドラインでは、学校における情報セキュリティ対策を進めるうえでの基本的な考え方が整理されています。基本理念の例は次のとおりです。

• 組織体制を確立すること
• 児童生徒による重要性の高い情報へのアクセスリスクへの対応を行うこと
• 標的型および不特定多数を対象とした攻撃等のリスクへの対応を行うこと
• 教育現場の実態を踏まえたうえで、情報セキュリティ対策を確立させること
• 教職員の情報セキュリティに関する意識の醸成を図ること
• 教職員の業務負担軽減とICT活用を両立し、多様な学習方法の実現を図ること

これらを実現するために、対策は「物理的セキュリティ」「人的セキュリティ」「技術的セキュリティ」の3つの観点で整理し、抜け漏れが起きないように整備します。どこか一部に弱い点があると、そこが入口となって事故につながる可能性が高まります。ここでは、それぞれのリスクと対策ポイントを整理します。

物理的セキュリティ

物理的セキュリティは、端末やサーバー、記録媒体などの情報資産を「盗難・紛失・破損」から守るための対策です。学校は多くの人が出入りし、端末も分散配置されやすいため、管理の抜けが起きやすい点に注意が必要です。

主なリスク

• 端末や記録媒体の盗難・紛失（持ち出し、置き忘れ、管理外保管など）
• 第三者による不正な持ち込み・持ち出し
• 災害（地震・水害等）による情報資産の滅失・破損

対策ポイント

• 校務系サーバー等の一元管理（教育委員会等での管理を含む）
• 通信回線および通信回線装置の管理と、機器設置場所のアクセス制御
• 端末・記録媒体の管理ルール（保管場所、施錠、持ち出し手続き、棚卸し）
• 災害を想定したバックアップと復旧手順の整備

運用前に確認したい点

物理対策は「ルールがある」だけでは不十分で、現場で実際に守れる状態になっているかが重要です。例えば、棚卸しの頻度と責任者、持ち出しの承認手順、返却確認の方法、故障端末や廃棄端末の保管場所など、現場で迷いやすい点を先に決めておくと、運用がぶれにくくなります。

人的セキュリティ

人的セキュリティは、教職員の行動や判断に起因する事故（誤送信、誤設定、置き忘れ、ルール逸脱など）を減らし、事故発生時に迅速に対処できるようにするための対策です。学校では多忙さや繁忙期の集中もあり、「分かっていても手順が守れない」状態が起こり得るため、教育・体制・手順をセットで整備することが重要です。

主なリスク

• 誤送信、誤操作、誤設定などのヒューマンエラー
• ルールの未理解・形骸化（現場の負担が大きく運用が崩れる）
• 事故発生時の報告遅れ、初動の遅れ

対策ポイント

• 推進体制の整備（責任者、連絡系統、校内の役割分担の明確化）
• 教職員向けの教育・研修（eラーニング、集合研修、説明会など）の継続実施
• 事故の疑いがある場合や、事故発生時の報告ルール・初動手順の整備
• 「守るための手順」を現場で実行可能な形に簡素化し、定着させる工夫

「形骸化」を防ぐための考え方

人的対策で重要なのは、教育の回数を増やすことよりも、現場が迷う場面を減らすことです。例えば、不審なメールを受け取ったとき、外部共有が必要になったとき、持ち帰りが発生したとき、委託先とデータをやり取りするときなどを想定し、短い手順と相談先を明確にしておくと、事故の発生を抑えやすくなります。

技術的セキュリティ

技術的セキュリティは、システムやネットワーク、端末の設定・制御によって、情報漏えい・不正アクセス・マルウェア感染などのリスクを減らすための対策です。学校では「児童生徒が利用する環境」と「教職員が校務で扱う環境」の性格が異なるため、役割に応じたアクセス制御が重要になります。

主なリスク

• 児童生徒による校務系システムへの不正アクセス
• インターネット利用に伴うマルウェア感染や標的型攻撃
• 端末・記録媒体を介した情報資産の持ち出し

対策ポイント

• 教職員の個人認証の強化（アカウント共有の禁止、適切な権限付与）
• 重要データの保管場所・取り扱いルールの明確化（学習系システムに置くべき情報、置かない情報の整理）
• 学習系と校務系のネットワーク分離など、システム間のアクセス制御
• 校務系システムのインターネットからの分離や、通信・データの暗号化
• USBメモリ等の外部記録媒体の管理（利用ルール、暗号化、許可された媒体のみ使用、必要に応じた利用禁止）

技術対策を運用で生かすための考え方

技術的対策は、導入して終わりではなく、運用で迷わない形にすることが重要です。例えば、学習系と校務系の間でデータをどう移すか、誰が例外設定を承認するか、管理者権限を誰が持つか、年度替わりにアカウントをどう棚卸しするかといった運用論点を決めておかないと、現場の工夫が積み重なって想定外の抜け道が生まれやすくなります。

教育情報セキュリティポリシーに関するガイドラインは、学校向けの情報セキュリティポリシーを策定・見直しする際の基準です。実際に着手するときは、まず守る情報資産と持ち出し範囲を整理し、次に役割分担・報告経路・判断基準を決め、そのうえで物理・人・技術の対策を現場で運用できる手順にしていくと進めやすくなります。ガイドラインの意図を踏まえながら、定期的に見直して改善していきましょう。