教育情報セキュリティポリシーに関するガイドライン(令和6年1月)38

2025年3月17日 2025年3月12日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

９. SaaS 型パブリッククラウドサービスの利用

学校の先生方は、教職課程でクラウドについて学ぶ機会がほぼありませんでした。いつの間にか世の中にクラウドというものが出てきた、という認識の方がほとんどだと考えられます。

９.３. SaaS 型パブリッククラウドサービス利用における教職員等の留意点

ガイドラインのこの部分は全面的に追記されました。

先生方にとって、「SaaS型パブリッククラウドサービスは、インターネットに接続できれば、どこからでもアクセス可能な点で、利用者は利用場所の制約から解放される点が大きなメリットである。」とあります。

インストール型のアプリとは違って、どの端末からも、どこからでもネットワークさえ接続できれば利用できるので先生方にとっては大助かりです。

ただ、便利になったのとトレードオフでセキュリティに関して気を配らなければならないことが増えます。

ガイドラインには５項目が挙げられています。

ID・パスワード等の秘匿
モバイル端末持ち歩きリスク
重要性分類に基づく情報管理
学校外からのパブリッククラウド利用
SaaS型パブリッククラウドサービスの学習用途、校務用途混在リスクへの対応

IDとパスワードさえあれば、SaaSサービスを利用できる可能性が飛躍的に高まりますので、それらの管理をきちんとする必要があります。パスワードを付箋に書いて貼ってはいけない、を本格的に理解していただく必要があります。

先生方のアカウントは教職員権限、あるいは管理者権限等が付与されているはずです。子どもたちがそれを盗み見て管理者画面にログインしてしまったら、子どもを犯罪者にしてしまうのです。HBI通信でも何度か取り上げたこの事件は記憶に残っています。
https://www.niikei.jp/27666

改ざんしなければいい、という問題ではありません。不正アクセス行為を禁止する法律https://laws.e-gov.go.jp/law/411AC0000000128/20250601_504AC0000000068#Mp-At_2　では第二条の４で

アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為

とあります。つまり、許可を得ない他人のID・パスワードを使って管理者画面にログインするだけで不法行為になる可能性が非常に高いわけです。

先生方には、このリスクがあることをよく理解していただく必要があります。

また、５であげられている「学習系と校務系の混在」については、先生方の利便性を高めようとすると、人力で守らなければならない部分が増える形になります。「共有先やダウンロード方法等の運用ルール」を確認し、適切に運用する、とあります。が、ダウンロードしたものを人力でダウンロードフォルダから必ず削除しておかなければならない、というようなルールはほぼ守られないでしょう。

現場のことを考えると便利な方がいいに決まっていますが、その結果リスクが高まることを、関係者全員が理解したうえで、どこに線を引くか、ということをきちんと議論して決めたいものです。

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。