教育情報セキュリティポリシーに関するガイドライン(令和6年1月)39

2025年3月24日 最終更新日時 : 2025年3月18日 大江 香織大江 香織

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

9. SaaS 型パブリッククラウドサービスの利用

「普通こうだろう」という「普通」が、業界によって全く異なる、ということはよくあります。この狭い日本の中ですらそうなのですから、海外のサービス、資源を利用していることも多いクラウドでは「え! そんなところまで気を配らなければならないの?」ということがよくあります。ガイドラインにまとめて掲載されているので、最低限網羅できると考えていいと思います。ご面倒でもご確認ください。

9.4.約款による外部サービスの利用

9.1や9.2で確認したものと何が違うんだ、と思われる方もいらっしゃるでしょう。私も最初はそう思いましたが、読み進めると、以下のようなサービスということでなるほどと思いました。

  • 電子メール
  • ファイルストレージ
  • グループウェア等のクラウドサービス
  • ファイル転送サービス 等

「原則、約款に提示された提供条件だけで利用を判断することになるため、リスクを十分踏まえて、利用に際して適切なセキュリティ対策を講じる必要がある。」とあります。例えば、大きなファイルを相手方に送信したい時に、ファイル転送サービスを利用することがあると思いますが、その際には必ず「約款」をよく読み、データが目的以外に利用されないかなどを確認する必要があるということです。ガイドラインでは2つ例文が掲載されています。

  1. 約款による外部サービスの利用に係る規定の整備
  2. 約款による外部サービスの利用における対策の実施

教育委員会は、実質約款だけで判断しなければならない外部サービスについて、どのように利用するか規定を定め、それを利用する時も対策することが必要と定める必要がある、ということです。

注釈には「教職員等が学校において、個人アカウントにより無断で約款による外部サービスを取り扱うことはセキュリティポリシー違反であり、学校の情報セキュリティ管理をすり抜ける行為である。情報資産の重要性によっては外部漏えい事案に相当する」とあります。

気軽に使う先生方も一部いらっしゃるので、「そのサービスを使わざるを得ないほど現在契約のサービスの使い勝手が悪いのか」という面での見直しと、「よさそうと聞いたから使ってみる、というセキュリティ意識の高くない教職員のセキュリティ意識の醸成」という面も考えていく必要がありますね。

9.5. ソーシャルメディアサービスの利用

ガイドラインには「インターネット上における、ブログ、ソーシャルネットワーキングサービス、動画共有サイト等のソーシャルメディアサービスは、積極的な広報活動等に利用することができるが、外部サービスを利用せざるを得ず、第三者によるなりすましやアカウントの乗っ取り、予告なしでサービスが停止するといった事態が発生する可能性がある。」とあります。

ソーシャルメディアサービスの活用は今後社会で生きていくうえで必要な能力になっていくと考えられます。発信をする、といった場合に、駅前に立って自説を演説する必要なく、手元の端末から発信できるというのは利便性が高いことです。

誰でも手軽に発信できる分、これらのサービスを利用する際に気をつけなければならないことは明確にしておくことが、リスク低減に役立ちます。

ガイドラインでは

  1. 教育情報システム管理者は、教育委員会又は学校が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。
  2. 重要性分類Ⅲ以上(機密性2A以上)の情報はソーシャルメディアサービスで発信してはならない。
  3. 利用するソーシャルメディアサービスごとの責任者を定めなければならない。

とあります。1はなりすまし対策と、不正アクセス対策を含みます。

まさか自分のところのアカウントを乗っ取る人は現れないだろう、と思っていても、現れます。世の中隙あらば公的なアカウントを乗っ取ろうとする人は数多くいます。

セキュリティは、「普通そんなことないよ」という考えではなく、「もしかしたらこれが起こるかも」というリスクを考え、それの軽重を判断し、どこまでリスクを許容するかという考え方が重要になります。ご面倒ですが、考え方がそうなのだ、ということをだんだんご理解いただけるといいと思います。

来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
カテゴリー
HBI通信教育情報セキュリティポリシーに関するガイドライン
前の記事
教育情報セキュリティポリシーに関するガイドライン(令和6年1月)38
2025年3月17日
次の記事
ICT支援員初心者、ICT関連の動画を解読
2025年3月27日