学校の情報資産分類について

前回は、令和3年5月の「情報セキュリティポリシー」の改定により、どこが重点的に改定されたか、という点について簡単にご説明させて頂きました。情報セキュリティでは「何を」「何から」「どのように」守るかが重要になります。今回は、「何を」守るかについて、ご説明させて頂きます。

情報セキュリティポリシーガイドラインでは守る対象は「情報資産」となっています。では、「情報資産」とは、何を指すのでしょうか?それは、「学校で取り扱う情報全て」になります。(学校紹介パンフレットなどの人の目につくことが前提となる資料から、教職員の人事情報といった厳重に守られるべき情報まで全てです。)

では、「学校で取り扱う情報全て」に、等しく完全な防御が必要になるのでしょうか?

全ての情報に完全な防御をしようとすると、日常的に必要な情報が使いづらくなったり、コストが必要以上に掛かります。そのため、情報の重要性に応じたセキュリティを実施することが必要です。

改定情報セキュリティポリシーガイドラインでは、以下のように、守る情報の重要性を分類し、例示しています。

図を見ていただくとわかるように、「機密性」「完全性」「可用性」「重要性分類」といった様々な分類に分かれています。まずは、それぞれの言葉についてご説明いたします。

機密性は、守秘性とも言い換えることができます。以下は守秘性のご説明となります。「情報セキュリティの目標事項のひとつ。「機密性」と訳されることが多い。

認可された人、主体に対してのみ開示され、認可されたやり方で認可された時間に処理されるデータと情報システムの特徴。 権限のない(認可されていない)ユーザが情報にアクセスできないことを確保する。」*1

つまり、権限をもつ人のみがその情報へアクセス可能で、権限のない人はアクセスできない状態を機密性がある、ということができます。

「完全性」は、「情報セキュリティの目標事項のひとつ。データが正確で完全であること、あるいは、データを格納する情報システムが正確で完全であることを確保する。」*2とされています。

つまり、今ある情報が、元のデータから改ざんされていないか、データが壊れていないか、データに誤りがないか、ということを表す言葉です。改定情報セキュリティポリシーによる詳しい分類は、以下のようになります。

「可用性」とは「情報セキュリティの目標事項のひとつであり、必要なときに適時にアクセス可能であり、利用可能であることを確保する。」*2ことです。情報へアクセスする権限のある人がいつでも情報を利用することのできる状態を「可用性がある」ということができます。改定情報セキュリティポリシーによる詳しい分類は、以下のようになります。

情報資産の「重要性分類」については、以下の図のように例示されています。

では、これらの分類を見て頂いたところで、実際にどのように情報を分類していけばよいのでしょうか?校務系情報と学習系情報の分類は、実際に情報を使おうとすると必要な情報が混ざってしまい、分類が難しいと考える先生方もいらっしゃるかと思います。

重要性分類に基づいて情報を扱う際に注意が必要な点は、「実態に即した形で運用する」という点です。

例えば改定情報セキュリティポリシーには、「児童生徒の氏名、学年といった情報を生活歴、心身の状態、電話番号等といった情報と紐づけたリストについては重要性分類Ⅱとして扱うことが望ましい一方で、児童生徒が学習活動を通して生み出す学習系情報の中にも氏名、性別、学年といった情報を置く事は自然な事であり、これらの情報について学習稀有システムの中において扱うことを一義的に禁止するものではない」*3という記載があります。

重要性分類の一字一句に縛られるのではなく、実際の運用に即した形で、ある程度柔軟に情報を運用することが大切です。

<参考文献>

*1 IPA 情報処理推進機構 ネットワークセキュリティ関連用語集 さ行 (最終閲覧日20201年7月6日)

*2 IPA 情報処理推進機構 ネットワークセキュリティ関連用語集 か行 (最終閲覧日20201年7月6日)

*3教育情報セキュリティポリシーに関するガイドライン(令和3年5月) P36 (最終閲覧日20201年7月6日)