教育情報セキュリティポリシーに関するガイドライン(令和7年3月改訂)を読む

2025年11月20日 最終更新日時 : 2025年11月20日 大江 香織大江 香織

2025年3月、「教育情報セキュリティポリシーに関するガイドライン」が改訂されました。今回の改定で6回目です。
本改訂は、学校における1人1台端末・クラウドサービス・校務DXの進展を受け、「実際に使ってみてここを盛り込んだ方が良い」という内容が細かく追加されています。特に、教員が足りない学校現場の実情を踏まえ、「教職員等とは、臨時的任用教職員、非常勤講師を含めた教職員全員を指す。」という説明が加えられていることが象徴的だと思いました。
ただ、203ページある専門文書は自治体・教育委員会の現場にとって読み解きが容易ではありません。
本稿では、改訂版の主なポイントを自治体目線で整理し、今すぐ自治体・教育委員会が取り組むべき「3つの見直しポイント」を提示します。

目次

なぜ今改訂されたか:背景と課題

今回の改定は6回目だと申し上げました。

  1. 平成 29 年 10 月 18 日 策定(分離型ネットワーク・オンプレミス推奨)
  2. 令和元年12月改訂(クラウド・バイ・デフォルトの文言登場)
  3. 令和3年5月 改訂(GIGAスクール構想対応)
  4. 令和4年3月 一部改訂(アクセス制御)
  5. 令和6年1月 改訂(パブリッククラウドの対応強化・法令対応)
  6. 令和7年3月 改訂(情報資産の分類・管理状況対応)

こんな感じで様々な改訂がなされてきましたが、今回は、クラウドの活用が進み、実際の現場で出た課題を解決するための追加事項が盛り込まれたと考えらえます。サイバー攻撃やアカウント漏えいなどのリスクが増加し、「教育現場も狙われている」という認識と、「セキュリティは邪魔ではなく基盤・自分の身を守るために必要」という認識が浸透しつつあることは重要な背景です。

「守るためのルール」の明示も大切ですが、「活かすための仕組み」への転換がはかられようとしているように感じます。

改訂の主なポイント

クラウドを活用し始めたら、子どもたちや保護者が「自分の」機密情報を知りたい等のニーズが出てきた、というのは言われてみればそれはその通り、ということです。ただ、重要性Ⅱ以上の機密情報は「多要素認証を含む強固なアクセス制御による対策を講じなければならない」と記載があります。

どうやって? ということになりますので、その続きに「児童生徒またはその保護者が重要性分類Ⅱ以上の情報資産にアクセスする場合は、児童生徒本人またはその保護者が、当該児童生徒に関するもののみにアクセスすることを想定していることから、多要素認証を設定することが望ましいものの、パスワードの秘匿管理の徹底、複数回誤ったパスワードを入力した際のロック機能の有効化、パスワードの複雑性の確保等により本人確認を厳格に行う前提で、ID及びパスワードでの認証を許容する。」という記載があります。

つまり、ロック機能やパスワードの複雑性を確保しなければならないということですね。「アクセス制御(特に「強固なアクセス制御」)の強化」もうたわれています。これは「クラウド・インターネット経由利用を前提とした設計」について改めて言及されていることを考えると、「便利になるのだから、情報を漏えいしないためのアクセス制御についてはきちんと考えないといけないよ、そのためにはこういうことを注意してね」ということを中心に読むのがいいということだと考えます。もちろん、インシデントが発生してしまった後の「インシデント対応(CSIRT体制・初動対応・再発防止)に関する制度化」も大切ですね。

他にも「シャドーIT(無承認私物端末/クラウドサービス利用)への明文化された対策」が明記されたのは大きな前進です。学校現場で私物を使うことに対して「仕方ないよね……」という空気が払しょくされるよう、特にネットワークの改善には我々ハイパーブレインもご支援を尽くします。

「遵守する」だけでは変わらない理由

「教育情報セキュリティポリシー」をもう制定している、という行政職の皆様は既にお気づきのことかと思いますし、文部科学省でもその課題を認識しているのが「文書化は進んでいても、現場の実運用と乖離している」という点です。

7年前に制定したポリシーではクラウドが想定されていなかったため、現在のクラウドの取り扱いについては実質現場判断になっている。

というようなことが起こっています。教育情報セキュリティポリシーに関するガイドラインは冒頭に申し上げた通り頻繁に改訂されています。それだけセキュリティについては日々様々な更新が行われているため、昔に制定された「やっちゃダメ。触っちゃダメ。見ちゃダメ。寝た子を起こさない」のポリシーを「守る」ことはとても困難です。

そして、ここにきて(もちろんわかっていらっしゃる先生はずっとわかっていらっしゃいました)先生方の間に、「セキュリティについて考えることは基礎基盤ではないか」という気づきが広まってきたように思います。セキュリティは面倒なもの、昔はそんなこと考えなくて良かったのに、というお話をされる先生はずいぶん減りました。だからこそ、行政職の皆様が、ご自身の自治体のセキュリティポリシーを改定する際にはガイドラインに沿って考える際に、「学校が安心して挑戦できる環境を守る」ための仕組みを作っていると捉えていただけるといいのではないかなと思います。

今すぐ取り組みたい3つのアクション

セキュリティポリシーの改定には行政職の皆様の労力がたくさんかかります。それはそうなのですが、重大なセキュリティインシデントが発生してからの対応の方がもっと大変です。以下の点をぜひご確認いただければと思います。

1️⃣ ポリシー文書を現行業務に即して点検
 ・ご自身の自治体で制定されている教育情報セキュリティポリシーがガイドライン令和7年改訂版を反映しているか?
 ・現在のクラウドや外部委託の運用が、ガイドライン令和7年改訂版の前提とズレていないか?

2️⃣ ID・アカウント管理の運用体制を整備
 ・教職員・児童生徒・委託先のアカウント一覧を把握しているか? 校務系、学習系関わらず最新のアカウント一覧がどこにあるか把握しているか?
 ・人事異動や委託終了時のセキュリティ手続きが制度化されているか? 委託先の人員交代の際のセキュリティ手続きも確認が必要

3️⃣ CSIRT体制・模擬訓練・ログ監査を機能させる
 ・初動対応プロトコルが整備され、訓練実施のスケジュールがあるか? 特に訓練について形骸化していないか、形式だけになっていないか?
 ・クラウド・校務システムのログを活用して、定期的に振り返りをしているか? 担当者が「ログはあるが見方がわからない」になっていないか?

おわりに ― セキュリティは学びを拓く基盤

セキュリティ対策は「制約」「面倒ごとを増やす」ではなく、子どもたちが安心して学び、先生が挑戦できる環境を守るための「基盤」です。
令和7年改訂のガイドラインを、「縛り」ではなく「安心の設計図」と捉えることで、教育の情報化は次のステージへ進めます。

その安心の設計図をもとに、ハイパーブレインは野本顧問監修による「セキュリティ避難訓練」の実施や、ポリシー改訂のご支援、点検実施やログ監査のご支援等承ります。
私たちは、現場での運用に即した形で自治体・学校を伴走し、教育DX推進を強力に支援してまいります。まずはお気軽にご相談なさってください。「セキュリティに関して心配だけど、何をどうしたらいいのかわからない」ご質問大歓迎です。

ご質問や資料請求などは、お気軽にお問い合わせください

お電話でのお問い合わせはこちら

052-252-8180

受付時間 9:00~18:00[土・日・祝日除く]

メールでのお問い合わせはこちら

お問い合わせフォームへ

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの常務取締役です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
カテゴリー
HBI通信ICT支援員
前の記事
ハンドボール選手が調べる生成AIの今
2025年11月13日
次の記事
校務DXは誰のためにあるのかNew!!
2025年12月4日