学校の実情に配慮したルールが必要

平成28年7月に公表した「教育の情報化加速化プラン」では、校務のICT活用に関する施策の一つに「教育情報セキュリティの徹底」を挙げ、教育版の情報セキュリティポリシーのガイドラインを策定するとしています。

文部科学省では同年9月、セキュリティの技術的専門家、個人情報保護の専門家、学校現場の情報システムに詳しい学校関係者、自治体の情報システムに詳しい行政関係者等を構成員とする「教育情報セキュリティ対策推進チーム」を設置し、学校における情報セキュリティの考え方について検討してきました。チームにおける議論も踏まえて取りまとめたのが、平成29年10月に公表した、「教育情報セキュリティポリシーに関するガイドライン」です。

学校現場のICT環境の整備と活用が進む一方で、外部からの不正アクセスによる個人情報の流出や、教員が成績情報の入った端末やUSBメモリを紛失してしまうといった事案も起きています。

こうしたトラブルを防ぎ、安心してICTを利用できる環境をつくるためには、学校特有の課題に対応した情報セキュリティ対策の構築と、その基盤となるセキュリティポリシーの策定が必要です。具体的なポリシーは各自治体が定めるべきものですが、よりどころとなるガイドラインを国が示すことにより、自治体も取り組みやすくなると考えました。

本ガイドラインは、自治体や教育委員会のセキュリティポリシー策定担当者、情報セキュリティ上の職責を担う者等を主な読者と想定しています。

導入では、「組織体制の確立」「児童生徒による機微情報へのアクセスリスクへの対応」「インターネット経由による標的型攻撃等のリスクへの対応」「教育現場の実態を踏まえた情報セキュリティ対策の確立」など6点の基本的な考え方を示し、それらに基づく具体的な対策基準をまとめています。組織づくりの在り方から、物理的・人的・技術的セキュリティの対策基準、運用や評価・見直しまでを網羅するもので、項目ごとの趣旨説明、ポリシーの例文と補足解説で構成しています。

「組織体制の確立」では、自治体が定める最高情報セキュリティ責任者（CISO）のもと、教育委員会は情報政策担当部局と密に連携して、学校向けの情報セキュリティ対策を講じる必要があるとしています。

教育委員会・首長部局の連携体制構築を

「外部からの標的型攻撃への対応」は、学校で安全にインターネットを使うために必要な対策です。

学校現場では、事務職員が使用する行政系、教員が成績処理などで利用する校務系、子どもたちが授業で使う学習系という3つのネットワークが使われています。このうち学習系ネットワークはインターネット接続が不可欠ですから、この領域には機微な個人情報は保管しないことが大原則になります。

授業以外にも、教職員のメールや学校ホームページなどでインターネットを使う場面は多いので、機密性の高い情報を扱う校務系ネットワークとインターネットとの境界にはファイアウォールを構成し、標的型ウイルスから情報を保護する必要があります。また、サーバーの監査やログの取得と保存などの対策も求められます。

「教育現場の実態を踏まえた情報セキュリティ対策」とは、例えば教員が自宅に仕事を持ち帰る場合への対応などです。成績処理などを自宅で行いたいというニーズに対しては、データ持ち出しのルールを定め、セキュリティ対策を施したデバイスを支給するといった対応が現実的です。

情報セキュリティ推進の組織体制例

学校における情報セキュリティ対策例

今回取りまとめたガイドラインは、各自治体での取り組みの状況や技術的な進展も加味しながら、随時見直していく予定です。

今後の課題になりそうな点としては、例えば学習系ネットワーク上で子どもが作ったプレゼン資料が、成果物として成績評価の対象になる場合など、学習記録データと校務情報の連携・活用の際における、学習系システムと校務系システムのセキュアな連携の在り方です。また、今後、学習活動において利用が拡大しそうな、インターネット経由でサービスを提供する仕組みの学習アプリ等の活用に備え、子どもの学習記録等が保存されるクラウドサーバーに求められるセキュリティ要件なども検討しておく必要があります。

こうした課題に対し国としての指針を示すことで、自治体の対策を促し、子どもも教員も安心してICTを使える環境づくりにつながると考えています。

大切な情報を守りながら、
子どもも先生も安心してICTを使える環境を

ICT利活用を妨げない配慮が必要

私は豊島区の最高情報セキュリティ責任者として学校現場の情報セキュリティ対策を手がけ、本ガイドラインの内容を検討した「教育情報セキュリティ対策推進チーム」では副主査として議論に加わりました。

今回のガイドライン策定の背景には、校務でのICT活用の推進があります。「教育の情報化加速化プラン」では、校務の情報化施策として、校務支援システムの普及推進を掲げています。システムが入れば、先生方が成績情報などをネットワーク上で扱う機会が増えるため、包括的な情報セキュリティ対策が学校現場でも必要になります。

一方で、学校のネットワークは、先生だけでなく子どもたちも利用するという特性があります。先生向けのルールだけでなく、児童生徒や保護者など第三者の利用にも配慮したポリシーが求められており、今回のガイドラインはこの点を踏まえた内容になっています。

推進チームが共有してきた思いは、セキュリティポリシーの策定が、学校におけるICT利活用の妨げになってはいけないということです。学校では機密性の高い個人情報も扱いますが、そうした情報を守るために、「子どもにはインターネットを使わせない」といったルールを定めてしまっては本末転倒です。

大切な情報を守りながら、子どもも先生も安心してICTを使える環境をつくるためにこそセキュリティポリシーが必要であり、本ガイドラインはその参考であることを踏まえて読んでいただきたいと思います。

第1章では、ガイドライン策定の背景や教育情報セキュリティポリシーの基本的な考え方6点などを説明し、第２章で具体的な内容を解説しています。

今後各自治体で具体的な中身を検討する際には、ガイドラインの基本的な考え方を押さえておくことが何よりも大切です。

1つめのポイントは、「組織体制の確立」です。豊島区で教育情報セキュリティポリシーを策定した際も、首長部局と教委が連携する組織体制の整備から始めました。

教育情報のセキュリティポリシーの策定とは、首長部局が定めた基本方針に従いつつ、学校を想定した具体的な対策基準を検討するということ。その意味でも、行政の情報システムに精通した首長部局の担当者と、学校の実情を知る教委の連携は必須です。

第2、第3は、「児童生徒による機微情報へのアクセスリスクへの対応」と「インターネット経由による標的型攻撃等のリスクへの対応」です。

インターネットへの出口については、サーバーを分散させると守るのが大変なので、教育委員会で一元化したうえで、そこに手厚いリスク対策を施すのが理想です。ただし現状では学校から直接インターネットに出ているケースが非常に多いので、両方のパターンでの対応策について、システム図をまじえて解説しています。

第4は、「教育現場の実態を踏まえた情報セキュリティ対策の確立」です。ガイドラインではデータの持ち出しへの対応を取り上げていますが、他にも、ソフトウェアの導入希望の扱いなどもあるでしょう。使い慣れたソフトで仕事をしたいという先生方の要望に、安全性を確認できる範囲で応えながら、無許可ソフトはインストールできないように技術的な対策も施しておくことが、現場の実態に合わせた対応と言えるのではないでしょうか。

意識醸成の手立てもセットで運用を

5番目は、「教職員の情報セキュリティに関する意識の醸成」。策定だけで終わっては、セキュリティポリシーの意味がありません。教育委員会が定めたポリシーに、自身のICT活用がどの程度適合しているかを定期的に見直し、情報セキュリティへの意識を高め、実践してもらう工夫が大切です。

豊島区では毎年1回、学校の先生方も含めた全職員にセルフチェックの場を設けています。セキュリティポリシーの運用では首長部局が先行していますから、システム担当者がこうしたノウハウも含めて教委に情報提供するといった連携が求められます。

6つめのポイントは、「教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること」です。

先生方がセキュリティ上の不安を抱いたり、その都度判断を強いられたりする環境は、むしろ負担感が増加します。「このツールをこう使えば安全」といったわかりやすい形で安全性を示してあげることも必要だと思います。

まずは学校の情報セキュリティの現状を見直し、自分たちの環境に合ったルールをつくってみることが大切です。それをPDCAのサイクルに乗せて高めていくことで、学校向けのセキュリティポリシーが確立していきます。このガイドラインが、各自治体の取り組みを促すきっかけになることを期待しています。

（2018年2月掲載）