教育情報セキュリティポリシーに関するガイドライン6

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

ガイドライン、と聞くと私は「やったー！　いろんな専門家のいろんな知見が集まって解説してくれているこんなラッキーなことはない、私一人で調べるよりよっぽど早い。本当にありがとうございます！！」と思って見に行きます。自分で一から調べるのも糧になりますが、既に知見が集まっているのならそれをもとに、批判的に読み、自分にあてはめて落とし込んでいくことができるとよりいいなと思っています。

ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

第３章 地方公共団体における教育情報セキュリティの考え方
基本理念２　児童生徒による重要性が高い情報へのアクセスリスクへの対応を行うこと　

ガイドラインの基本理念を確認していきましょう。2つ目に挙げられているのは、学校の大きな特徴、「児童生徒がいて、子どもたちも一人1台の機器を持っており、ネットワークに接続している」という点です。

子供たちが持っている端末をスタンドアロンで使うというのは現在において非常にもったいない使い方になります。ということは、ネットワークに接続させないといけないのですが、ネットワークに接続すると重要性が高い情報に対する不正アクセス事案のことを考えなければなりません。

必要以上に怖がることはないのですが、ただ、ちょっとした油断と偶然が重なると「中学生が成績を書き換える」というような事案につながってしまいます。

基本的なセキュリティ（パスワードは紙に書いて貼らない、パスワード入力中の手元を見られない等は必須ですね）を守ったうえで、実情に合わせたポリシーを策定することが大切です。

基本理念３　標的型及び不特定多数を対象とした攻撃等による脅威への対応を行うこと

学校は、学校のWEBサイトを運営していますし、学校のメールアドレスも持っています。ですから、地方公共団体のいわゆる行政部局と同様に、標的型及び不特定多数を対象とした攻撃等による脅威に対する対策
を講ずることが必要となる、と述べられています。

罠は年々巧妙になっていますから、油断せずセキュリティ意識を持っていなければならない、ということですね。先生方は基本的に性善説で動いているのですが、セキュリティに関しては「そこにスキがあれば人間誰でも手を出す可能性がある」ということをご理解いただく必要があります。

少し前まで、「生徒の成績を入れたUSBメモリが入ったカバンを車上荒らしで盗まれた」場合に、そのカバンを盗まれた先生はご自分のことを「被害者」だと信じて疑わない、という意識も見られましたが（盗まれたことに対しては全くその通りですが）生徒の成績を持ち出し、カバンにいれ、放置していた責任は先生にあります。

そのあたりの意識については、行政職の皆様は注意深くご確認いただく必要があるかな、と思います。

4 教育現場の実態を踏まえた情報セキュリティ対策を確立させること

3でも触れましたが、「個人情報が記載された電子データを紛失することにより懲戒処分等を受けた教員は平成27年度で62名」という数字をあげて、教員がデータを外部に持ち出す際のルールについて、ガイドラインで考え方を示した、と述べています。どうしたらいいかわからなかったものが、一定の考え方を聞くことでわかるようになった、という感じですね。

それまでは、「そんなんダメに決まってるやろ」「根拠を示せ」という不毛なやりとりが行われることもあったようですが、ガイドラインで示されたことは大きな前進だと言えます。

また、「児童生徒が活用する情報システムにおいては、児童生徒の扱う情報そのものが個人情報となる場合があり、これら情報を完全に匿名化することは困難であることから、児童生徒が活用する情報システムであっても重要性が高い情報を保持する場合、暗号化等の対策を講ずる」とあります。

これは学校の大きな特徴です。児童生徒自身が扱う情報が個人情報となる（端的に言えば、自己紹介スライドを作成すればそれは個人情報ですね）ということですね。授業の活動として作成する自己紹介が、モザイクをかけたり名前を書けなかったりする、というのは目的を果たすことが難しくなりそうです。

そのため「通信経路の暗号化を必須とし、データへの適切なアクセス制限を行った上で、データそのもの及びデータ格納先の暗号化については運用を考慮して対策を講ずる」とあります。この辺りをスムーズに解決するソリューションは、授業をやりやすくするものになりますね。

５ 教職員の情報セキュリティに関する意識の醸成を図ること

これは、ずっと言われています。教職課程でセキュリティに関する意識の授業を受けた先生はほぼいらっしゃらないでしょう。だからこそ、研修等でわかりやすく示すことが重要になってきますね。

6 教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること

セキュリティを高める、ということは大体利便性を損なう、ということと両立が難しくなってきます。簡単に手順を追加する、で対外的なセキュリティ対策はやってる感を出せますが、組織内の人員はとても大変なことになっている、というのでは本末転倒ですね。そのため、基本理念としては「情報セキュリティ対策を講じることによって校務事務等の安全性が高まるとともに、教員の業務負担軽減へとつながる運用となるよう配慮する必要がある」と述べています。

「授業においてICTを活用した様々な学習活動に支障が生じることのないよう、配慮する必要がある」ということが最後にもう一度述べられています。セキュリティを高めることは重要ですが、それで授業に支障が出てはいけない、ということですね。

来週は第３章 地方公共団体における教育情報セキュリティの考え方　（補足）技術的対策に関する考え方を読んでいきます。