学校で必要な「情報セキュリティ」とは？

「情報セキュリティ」という言葉が学校で聞かれるようになってずいぶん時間が経ちました。

「情報セキュリティ」とは、そもそも「情報を何かから守ること」です。学校で守るべき情報とは「児童生徒の個人情報」であり、児童生徒の個人情報とは名前、住所、生年月日など、「児童生徒が特定される情報」になります。

紙、ハードディスク、USBメモリ…多様な手段で保存される個人情報

学校に存在する個人情報は、指導要録、通知表、健康診断票、家庭状況調査票などその多くが「紙」に記載されています。それらが、どこに保管されているのか把握できているでしょうか。

また、近年は、情報のデジタル化が日常的に行われています。デジタル化された情報は、校務用端末のハードディスクの中に保管されているのでしょうか。それとも、USBメモリの中に保管されているのでしょうか。紙に書かれた情報は、その紙の保存期間が決まっているため、保存年限が過ぎれば廃棄することになっていますが、デジタルの情報は、どのように取り扱われているでしょうか。

ほかにも児童生徒が特定される情報として、例えば、昨年の音楽発表会の様子を記録したSDカード、5年前の運動会の様子を記録したDVテープなどがあります。これは、どこに保管されているでしょうか。今年、校外学習に行ったときに撮影した写真もどこに保管されているでしょうか。

学校には、紙やハードディスクに保存されているデジタルデータ以外にも、個人を特定できる情報が存在しているはずです。

情報セキュリティ事故の75％は人的要因

情報セキュリティ事故の原因は、いくつかあります。学校関連でよく伺うのが、「紛失・盗難」です。これには、USBメモリの紛失や、児童生徒のテストの紛失など、紙によるトラブルも含まれています。

次に伺うのが「過誤」です。多いのは、電子メールやFAXの誤送信です。そのほかには、授業料や給食費の滞納者リストの裏紙をメモ用紙代わりに利用していたという事例もあります。

情報セキュリティ事故の件数でみると全体の約75％が「人的要因」によるものです。例えば、自宅で成績処理を行おうと資料を鞄に入れ持ち帰ったところ、電車の網棚に置き忘れてしまった。各家庭に電子メールで不審者情報を発信しようとしたところ、不審者情報とは関係のない私的な内容を電子メールで送ってしまった、などです。

コンピュータウイルスやセキュリティホールによる情報の漏えいもあり、注意が必要ですが、利用者の「不注意」がもっとも大きな脅威であるといえます。

個人情報を扱えるのは誰？

学校が所有している個人情報を取り扱うのは、一体誰なのでしょうか。学校には、教諭、養護教諭や司書教諭や栄養士、調理員、技術職員、事務職員などさまざまな職種の方がいます。さらに、部活動の指導者や外国語を教えるためのALT、ICT支援員などもいます。

それらの方々が、学校に存在している個人情報に対して、どのように取り扱うことができるのかは、全教員、全職員の間で共通理解されていなければなりません。

例えば、ALTの方が校務システムを利用して、生徒の英語の成績情報を閲覧することは許されているのでしょうか。ICT支援員は、学校の機密情報が入ったサーバにログインし、ハードディスクの内容を閲覧できるのでしょうか。非常勤講師の方は、家庭状況調査票の情報を書き換えたり、削除したりしてもよいのでしょうか。

誰が、どの情報にどのようにアクセスできるのか。削除や変更など、情報をどのように扱うことができるのかが明確にルール化されていなければ、情報セキュリティ対策はできません。

NPO日本ネットワークセキュリティ協会（JNSA）の調査では、2012年度に起きた2,357件の事故のうち、1,391件、実に6割近い件数が、情報セキュリティ対策のルールがきちんと決まっていないことなどの「管理ミス」が原因であると報告されています。

個人情報の整理から始める

学校の情報セキュリティ対策の第一歩として、よくお伝えしているのが、「学校にある個人情報の整理」です。

学校は、職員室、校長室だけでなく、保健室、図書室、事務室、倉庫といった場所に、さまざまな形で、相当量の児童生徒の情報が保管されています。整理には相当の時間がかかると思われますが、どこに、どのような形で、どのような情報が、いつから、誰が保管していたのか。そして、その情報は、誰が扱うことが適切で、削除や変更は誰がしてもよいのか、といったルールを1つずつ用意していかなければなりません。そのための個人情報の整理から始めていただきたいと思います。

（山本 和人：Ｓｋｙ株式会社 ICTソリューション事業部）

（2014年9月掲載）