教育情報セキュリティ

校内の個人情報を整理し、ルールの明確化を

年に一度は情報セキュリティ対策の確認を

情報セキュリティの基本方針や対策基準、実施手順は、各地方自治体において策定されており、私立学校においては、それぞれの法人や学校内部の委員会で策定されていることと思います。これらは情報セキュリティ対策に対する根本的な考え方を表すものであり、どのような情報を、どのような脅威から、なぜ保護するのかを明らかにしたもので、取り組みの姿勢と具体的に何をすれば良いかを示しています。

これらの基準や手順を守るためには、内容を把握しなければなりません。そのため、1年に1度は、校内研修などの機会に全教職員で内容を確認することをお勧めします。情報技術の進展とともに、定められた情報セキュリティの基本方針や対策基準、実施手順に対応できなくなることがあります。それに向けた対策も確認する必要があります。

何をどう処理すれば「適切」なのか

情報セキュリティの対策基準や実施手順には、「適切に取り扱う」や「適切に処理する」という表現があります。「適切」とは、どのように取り扱いや処理が行われることなのでしょうか。

コンピュータを返却するときは…例えば、多くの学校では、コンピュータは賃貸借契約(リースやレンタル)で調達されていますが、このコンピュータが契約満了を迎えたときの処理をどのようにすることが「適切」なのでしょうか。「業者が引き取るので、引き渡せば良い」だけではないはずです。ハードディスクに残っているデータを消去するなど、具体的な手順に沿って作業する。さらに、決められた作業手順が完遂されていることを確認してから業者に返却して、初めて「適切」といえます。

作るだけではなく実行してこそのルール

個人情報が記録されている可能性のある校務用端末だけでなく、コンピュータ教室のコンピュータの処理にも、注意が必要です。各学校で適切に対処しているかどうかの確認は十分に行われているでしょうか。

教育委員会が示したルールが遵守されるには、定められたルールを全教職員が覚える必要があります。ほかの市から転勤してこられた先生方には、校内研修や自治体による集合研修などで情報セキュリティのルールをお伝えする機会が必要です。全教職員へのルールの周知が重要です。

ルールは、実行できてこそ価値があります。少し行き過ぎた感のあるルールを作ってしまうと、ルール違反が発生しやすくなります。ルールは、個人情報を守るために用意されるものではありますが、本業が立ちゆかなくなるようでは、本末転倒と言わざるを得ません。実態にそぐわない事例が出てくるようであれば、ルールの見直しが必要です。

学校には学校の情報セキュリティ対策が必要

学校は、民間企業や行政機関とは違います。民間企業や行政機関の情報セキュリティ対策をそのまま学校に当てはめても、まず、実践されることはありません。では、どう違うのでしょうか。

来訪者のチェックについて考えてみましょう。民間企業、病院、警察、自衛隊、文部科学省のいずれを訪問しても、入り口で「名前、所属組織名、来訪目的」を尋ねられます。県警本部では、来訪者のチェックを済ませた後、建物の中に入れますが、どこに事件関係の証拠品を保管している部屋があるのかは、わかりません。

学校の場合は、来訪者の名前や来訪目的を校門のインターホン越しに伝えると、校内に入ることがほぼ可能です。来訪者の名前や来訪目的を帳面に記録すれば、校内をほぼ自由に歩けます。しかも、玄関を入ると校内の案内図があり、職員室、校長室、音楽室がどこにあるかがわかります。

私たちの多くは、日本の学校を卒業しており、経験上、学校にとって大切なものは、職員室か校長室にあるということを知っています。そうした内部の事情をある程度知っている部外者が、比較的自由に建物の中を歩き回ることができるのは、ほかの行政機関とは異なるところでしょう。

職員室や校長室に行くと、たくさん並んでいる書棚やロッカーの中に、一つだけ鍵付きのロッカーや金庫があります。「この中に大事なものを入れています」ということが、ひと目見てわかることが多いのも、ほかと異なるところです。

学校は、児童生徒が通ってくるだけに、その保護者や地域の自治体との関係も密接であるため、警察や自衛隊、文部科学省と同じような体制を取ることは現実には困難です。また、職員室の書棚や校長室にある金庫を地下室に移動させることも難しいでしょう。学校でも、病院でも、警察でも、個人情報を扱わずに仕事をすることができない以上、それぞれにあった情報セキュリティ対策の検討と実践が必要です。

(山本 和人:Sky株式会社 ICTソリューション事業部)

(2014年11月掲載)