教育情報セキュリティポリシーと学校のICT【後編】

教育情報セキュリティポリシーガイドラインの概要

ガイドライン制定の背景について

2017年10月に公表された『教育情報セキュリティポリシーに関するガイドライン（以下、ガイドライン）』の内容をご説明するとともに、スマートスクール構想など文部科学省の実証事業などを踏まえた今後の見通しもお伝えしたいと思います。

2016年、文部科学省は「2020年代に向けた教育の情報化に関する懇談会」を立ち上げました。教育のICT化をどのように進めていくかを話し合い、報告書としてまとめていくなかで、「教育の情報化加速化プラン（以下、加速化プラン）」が作られました。主な施策は大きく分けて6項目ありますが、その中の一つに初めて「教育情報セキュリティ」という言葉が登場します。文部科学省は、それ以前も情報セキュリティには触れてきましたが、教育のICT化と併せた形で情報セキュリティに言及したという意味で、この加速化プランは非常に大きな意味を持っています。しかし、このとき「教育情報セキュリティの徹底」という項目は、主な施策6項目のうち「校務面でのICTの活用」の中に位置づけられていました。

なぜならこの時点では、教育情報セキュリティとは「先生たちが守るもの」と捉えられていたからです。校務支援システムが普及すると、子どもたちの成績や家庭状況に関する情報などを、システム上で取り扱うことになります。こうした機微な情報が外部に漏れないよう「先生方が適切に情報を扱えるようになる」ためのルールを作るという趣旨で、加速化プランには盛り込まれていました。つまり、当初はネットワーク分離などではなく、先生方のためのルールを作ろうとしていたということです。

ところが、この加速化プランが発表されたのとほぼ同時期に、先進的な取り組みを行っていたある自治体で事件が起きました。外部の未成年の犯人が校内ネットワークの中に侵入し、成績情報や家庭情報を盗み取り、インターネット上にばら撒いてしまったという事件です。この事件は、情報セキュリティといえば「先生方がルールを守っている限りは安全」だと考えていた文部科学省を驚かせました。学校の中には先生方以外にも利用者がいることを考慮したセキュリティポリシーでなければ、情報が流出しかねないと痛感したのです。文部科学省は、その年の夏には『教育情報セキュリティのための緊急提言（以下、緊急提言）』を取りまとめ、各教育委員会に周知しました。このとき私も文部科学省に呼ばれ、緊急提言の作成に参画しました。

さまざまな方の意見を汲み入れ8項目の緊急提言になったのですが、その中でも特に重要なのが、情報セキュリティを確保するために先生方が成績処理などをする「校務系」と、子どもたちが使う「授業・学習系」のシステムは、きちんと分離するとした点です。そして、この緊急提言を基にしてガイドラインが作られるわけですから、当初考えていたように「先生方のルールブック」という性質のものではなく、ネットワーク構成など技術寄りのガイドラインになりました。

このガイドラインに対して、パブリックコメントによる意見募集が行われたのは2017年の7月初旬でしたが、公表は同年10月中旬までずれ込みました。非常に関心が高く、192件もの意見が寄せられたからです。私もすべての意見を読み、文部科学省の担当者と一緒に頭を悩ませました。先生方からの意見だと思いますが「これから学校のICT化を進めようとしているのに、こんなに厳しいルールが作られると困る」といったものが半分ぐらい。一方で、情報セキュリティの専門家からは「学校が保有する子どもたちの成長記録は、いわば国家機密です。このような生ぬるいガイドラインで良いのでしょうか」というご意見もありました。

文部科学省よりも先に、総務省が『地方公共団体における情報セキュリティポリシーに関するガイドライン』を制定しています。

総務省は、日本年金機構やいくつかの自治体が標的型攻撃の被害に遭い、多くの個人情報を漏えいしてしまったという苦い経験がありましたので、マイナンバー制度を始めるにあたり、情報漏えいを防ぐためにインターネットを分離するという厳しいルールを作りました。つまり、マイナンバー系の情報とインターネットとは完全に分離しなさいというのが総務省のスタンスです。

文部科学省でも同様に厳しくやろうという意見も多数ありました。しかし、総務省と同じルールにしなかったのは、文部科学省には学校でICT活用教育を進めていきたいという思いがあるからです。学校をインターネットから完全に分離しろと言われてしまうと、「子どもたちは、どうやって調べ学習をするんですか？」ということになります。ICT活用教育を推進しながら情報を確実に守るという、非常に難しい課題に対する現時点の落としどころが今回のガイドラインなのです。

子どもたちの学びのために安心してICTを活用できるようにすることが目的

ガイドラインの目的とは

本ガイドラインをお読みになるときには、ぜひ第1章の総則に注目していただければと思います。第2章には技術的な内容が多く、ネットワークの分離はどうするのか、二要素認証はどのように行うのか、といったことが書かれています。しかし第1章には、文部科学省の思惑が反映されています。

その内容をかいつまんでご紹介しますと、まず各自治体で情報セキュリティポリシーを作りましょうということが書かれています。

これまでは、学校が中心になって情報セキュリティポリシーを作っていました。しかし、情報セキュリティポリシーの性質上、同じ自治体の公立学校で、同じICT環境が整備されている限りは、やはり同じルールで運用した方が良い。ですから、教育委員会が主体となってルールを作りましょうということにしています。

教育委員会といえども地方公共団体の一部ですので、万が一、何らかのセキュリティ事故が発生したとき、最後に責任を問われるのは首長です。ぜひ首長部局と一体となって、具体的には情報システム部門の力も借りて、情報セキュリティポリシーを作ってください。そして、私が最も注力したのは、学校における情報セキュリティは学校のICT活用を進めるものでなければならないという点です。その点で、首長部局の公務員が守るべき情報セキュリティとは少し異なります。

なぜ教育情報セキュリティポリシーの策定をするのか。それは「教員及び児童生徒が、安心して学校においてICTを活用できるようにするために不可欠な条件」だからです。つまり、学びが中心であり、それを妨げるようなルールではいけません。第2章だけを見ると、あれもこれもやらなければならない、新しいツールも導入しなければと、学びの妨げになるようなことも考えてしまうかもしれません。しかし大前提として、子どもたちの学びのために「安心してICTを活用できるようにする」ことが目的だということを、ぜひともお含みおきください。

教育情報セキュリティの考え方

教育情報セキュリティポリシーを策定するとき、首長部局で運用されている情報セキュリティポリシーを、そのまま使用するのが最も簡単ではあります。しかし、それでは「インターネットと接続してはいけない」などといった、さまざまな制約を受けます。ですから、教育委員会が主体となって策定していただきたいのです。その際は、まず皆さまの学校にどんな情報が存在するのかを棚卸していただきたいと思います。意外と情報資産が整理されないまま、あれもこれもやってはいけないというルールにしてしまうケースが多く見受けられます。

例えば、「ファイルをUSBメモリに保存してはいけない」というルールがあるとします。しかし学校にある情報は、USBメモリに保存して外部に持ち出してはならない情報ばかりではないはずです。

情報資産を棚卸して、学校の中にはこういう種類の情報が存在し、そのうち「USBメモリで持ち出して良いのはここまで」「校外で扱って良いのはここまで」といった基準を作り、全員が同じように理解していれば、きっと正しく運用できるはずです。

また、ご意見としてよく伺うのが「ガイドラインを示されても、実施する予算はありません」「文部科学省は、補助金も交付していないじゃないか」という話です。ガイドラインの第1章にも書かれているとおり、初めから最も高いセキュリティレベルを実現できるわけではありません。たとえ何千万円、何億円もの予算を使って機器をそろえたとしても、急に情報セキュリティのレベルが高くなるわけではありませんので、しっかりとPDCAサイクルを回して、少しずつ高めていただければと思います。その上で、最初の第一歩として何から取り組めばいいのかは、次の①から⑥を意識して考えてみてください。

【図1】のように、情報セキュリティポリシーの最上位になる「基本方針」は首長部局と同じにしてください。そして「対策基準」と言われる各論部分を教育委員会で策定します。この対策基準の内容は、首長部局と異なっていて構いません。加えて、それに準じた運用ルールを作る必要があります。それが「実施手順」で、対策基準に基づいた各学校のルールブック「実施手順書」を作っていくという構成になっています。

現状を踏まえた実効性あるポリシーを

ここまでお話ししたことをまとめると、下記の5点になります。

まずは、先生方にも、子どもたちにも1人に1つIDを付与することから

ここにも示したとおり、各教育委員会が学校のICT整備状況を確認して、自分たちの組織の現状を踏まえた実効性のある情報セキュリティポリシーを策定していただきたいと思います。

例えば、教員1人1台のコンピュータの整備が完了していない学校で、ほかの自治体と同じ情報セキュリティポリシーを運用するのは無理があります。そのときは、まず先生方に1人1台のコンピュータを整備して環境を整え、1人に対して1つのIDを付与することから始めてください。

実は、全員にIDを付与していないケースが多く、何人かの先生方で同じIDを使い回している事例も見聞きしますが、私はこれが一番危険な状態だと思っています。子どもたちに対しても同じです。

まだ、子どもたちに1人1台のコンピュータを整備することは難しいとは思いますが、少なくともIDは1人ひとりに付与すべきです。同じIDを共有すると、同じIDを使用するほかの子どもの情報も見ることができてしまいます。ぜひ、1人に対して1つの IDという環境を整えた上で、このガイドラインに沿った情報教育セキュリティポリシーを運用していただきたいと思います。

ガイドラインでは、ネットワークを分離して、調べ学習などを行う学習系システムや校外との連絡などに使用する校務外部接続系システムといったインターネットに接続しても良いものと、機微情報を扱う校務系システムなどインターネットに接続してはいけないものを、はっきりと分けることになっています。

このモデルになったのは、総務省が打ち出した「自治体情報システム強靱性向上モデル」です。

総務省では一斉に補助金をつけて、各都道府県にはセキュリティクラウドを作り、それらを活用して運用する形で実施しました。しかし今回、文部科学省はそれほどの予算は獲得できませんでした。ですから皆さまには、一歩ずつこの「あるべき姿」に向かっていってくださればいいと考えています。

ただ、まったく予算がないわけではありません。皆さまもご存じのとおり、「教育のICT化に向けた環境整備5か年計画」として、2018年から2022年まで毎年1,805億円の地方財政措置が講じられています。つまり、情報セキュリティにかかる経費も教育のICT整備の費用として、地方財政措置の対象になります。

文部科学省が、この5か年計画の策定とともに取りまとめた「2018年度以降の学校におけるICT環境の整備方針」でも「『教育セキュリティポリシーに関するガイドライン』を踏まえたセキュリティ対策を講じていること」と示されていますので、ぜひ、ご一読いただければと思います。

教育情報セキュリティポリシーと学校のICT【後編】

※学校とICTフォーラム（東京会場 2019年4月27日）講演より
※本原稿内で使用している図表は、発表資料より抜粋しております
（2019年10月掲載）