学校の現場でICTを活用するにあたっては、児童・生徒や教職員の利便性はもちろん、情報セキュリティ対策を行うことが欠かせません。この記事では、学校が適切にICTを利活用するために策定される「教育情報セキュリティポリシー」について、文部科学省によるガイドラインの内容に沿って解説します。
教育情報セキュリティポリシーができた背景
文部科学省が定めた「教育情報セキュリティポリシーに関するガイドライン」は、地方自治体が設置する学校において情報セキュリティポリシーを策定する際の考え方や内容を示した方針です。児童生徒の個人情報をはじめ、学校運営に関わる情報の漏えい、消失、窃取・改ざんなどを防ぐために策定され、適宜改訂されています。
ガイドラインが策定・改訂された背景には、政府によるICTを使った教育への取り組みが関係しています。日本では、特に教育分野においてICTの活用に後れを取っています。OECD(経済協力開発機構)が2018年に実施した生徒の学習到達度調査(PISA)では、学校授業におけるデジタル機器の使用時間はOECD加盟国の中で日本が最下位でした。
そうした状況の中、文部科学省は2019年にICTを活用して児童生徒一人ひとりに適正化された教育を提供するための方針「GIGAスクール構想」を打ち出しました。GIGAスクール構想に対する文部科学大臣のメッセージでは、PC端末は鉛筆やノートのように学びに欠かせないアイテムであり、日本の学校が世界や時代に取り残されたままにはしておけないことが言及されています。
参照元:文部科学省|文部科学大臣からのメッセージ(GIGAスクール構想の実現について)
ただし、児童生徒が安全にICTを活用するためには、情報漏えいや、悪意ある第三者からの不正アクセスといったサイバー攻撃などへの対策は欠かせません。そのために、教育委員会や学校に教育情報セキュリティポリシーを策定・見直しを行うことが求められています。
関連記事:教育DXとは? 推進が求められる理由やメリット・課題・事例を紹介
教育情報セキュリティポリシーに関するガイドラインとは?
「教育情報セキュリティポリシーに関するガイドライン」(以下、ガイドラインと表記)は、児童生徒、教職員がより適切にICTを利活用するためのガイドラインです。
ガイドラインの目的
2017年、文部科学省がガイドラインを策定しました。これは各教育委員会や学校による情報セキュリティポリシーの作成・見直しを実施する際の指標となるものです。
ガイドラインの特徴
学校では児童生徒が日常的に校内のネットワークにアクセスするため、大人だけが扱うシステムよりも情報セキュリティ事故が起こりやすくなります。ガイドラインにおいても、システムの安全性を高める対策が求められていますが、ネットワークの利用を制限しすぎては自由な学習が妨げられてしまいます。そのため、児童生徒が使いやすく、かつ、安全にICTを活用できるような環境・仕組みづくりが欠かせません。このようなシステムを構築・運用することで、同時に教職員の業務効率化も期待されています。
6つの基本的な考え方
ガイドラインには、次に挙げる6項目の基本理念に基づいて対策基準例がまとめられています。
- 組織体制を確立すること
- 児童生徒による重要性が高い情報へのアクセスリスクへの対応を行うこと
- 標的型及び不特定多数を対象とした攻撃等による脅威への対応を行うこと
- 教育現場の実態を踏まえた情報セキュリティ対策を確立させること
- 教職員の情報セキュリティに関する意識の醸成を図ること
- 教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること
参照元:文部科学省|教育情報セキュリティポリシーに関するガイドライン (令和4年3月)
それぞれの項目ごとに詳しく解説します。
1. 組織体制を確立すること
情報セキュリティ対策には、組織全体として取り組まなければなりません。万が一事故が発生した場合、その対象者のみを罰しても再び新たな事故が起きうる可能性があるため、責任者を置くことが大切です。ガイドラインにおいても、情報セキュリティ対策の責任体制を明確にすることが定められています。最高情報セキュリティ責任者(CISO)は、自治体ガイドラインと同一の者(副市長など)が担当することとしています。また、教職員は教育にあたることが職務の中心であることから、情報システムの開発・運用、教育・訓練などは教育委員会が責任を持ちます。
2. 児童生徒による重要性が高い情報へのアクセスリスクへの対応を行うこと
学校では、児童生徒が日常的に学校内のネットワークにアクセスします。近年の子どもは、インターネットやデジタル機器に慣れ親しんでいるデジタルネイティブ世代です。その一方でまだネットリテラシーを習得していないことが多いため、学校が保有する重要度の高い情報に興味本位でアクセスしてしまうなどの事案が発生しています。学校が保有する情報には各児童・生徒の個人情報をはじめ、指導要録、答案用紙、生徒指導の記録など機密性の高いものが多いため、児童・生徒がアクセスしないよう具体的な対応を取らなくてはなりません。ただしその際も、「とりあえず制限・禁止」としないよう十分に注意することが求められています。
3. 標的型及び不特定多数を対象とした攻撃等による脅威への対応を行うこと
ガイドラインでは、クラウドを活用したシステムの構築を前提としています。クラウドサービスではベンダー側が定期的にアップデートを行いますが、それに頼りきっていてはいけません。システムの脆弱性を狙って侵入するランサムウェアやフィッシングなどの被害も増えているため、注意が必要です。そのため、学校側でも標的型や不特定多数を対象としたサイバー攻撃への対策を行うことが求められています。
4. 教育現場の実態を踏まえた情報セキュリティ対策を確立させること
児童生徒の個人情報が記載されたデータを紛失したことで、教員が懲戒処分などを受ける事件が多く発生しています。一度流出した個人情報は転用される危険もあるため、重要性分類ごとの情報資産の外部への持ち出しや送信などのルールを明確にしています。また、児童生徒のワークシートや進路調査票などはそれ自体が個人情報となるため、暗号化などの対策が必要です。くわえて、データとデータ格納先の暗号化も行わなければなりません。
5. 教職員の情報セキュリティに関する意識の醸成を図ること
サイバー攻撃の手口は近年ますます巧妙化しています。児童生徒が安心してICTを活用するためには、教員の情報セキュリティに関する意識向上は欠かせません。そのため、現場の教職員は最低でも毎年度1回はeラーニングなどによる研修を受けることが推奨されています。また、情報セキュリティポリシーが遵守されているかを調査し、必要に応じて改善を繰り返すことも求められています。万が一情報セキュリティ事故が起こった場合に備え、保護者なども含めた迅速な報告体制の構築が必要です。
6. 教職員の業務負担軽減及びICTを活用した多様な学習の実現を図ること
ICTの活用は、児童生徒の自由な学びだけでなく、教職員による校務の最適化・効率化にもつながります。ガイドラインでも、安全性の高いICTを活用し、教員の業務負担軽減につなげることが重要視されています。例えばテストの採点システムの導入、書類のクラウド配布・保管、保護者会や面談のオンライン化などによって校務を減らすことで、残業時間が削減できるほか、児童生徒と向き合える時間の増加にも寄与します。
教育情報セキュリティポリシーの改訂の理由とポイント
平成29(2017)年にガイドラインが策定された後、令和元(2019)年12月と令和3(2021)年5月に改訂が、令和4(2022)年3月に一部改訂がなされています。その理由と改訂のポイントについて解説します。
策定から過去の改訂について
令和元年の改訂では、ガイドラインを改訂する理由として初版に記載されていた対策例を遵守することが目的化し、本来の目的であるICT活用が柔軟に行われなかったことへの懸念が挙げられています。そのため、クラウド環境を活用する内容の追記と、教育委員会をはじめとする関係者が遵守するべき理念や、ICTに知見のない者が参考例とするべき内容を明記した上で、クラウド化の推奨とそのセキュリティ対策に関して追記されました。
令和3年の改訂ではGIGAスクール構想の推進に触れ、ICTの利活用の必要性が追記されました。具体的には、児童・生徒一人ひとりに学習用タブレットなどの端末を用意し、高速・大容量の通信ネットワークを整備することで、ICTを活用した自由な学びの土台とすることが定められます。
令和4年(3回目)の改訂の理由
上記のような改訂を経て、令和4年には政府が提唱するクラウド・バイ・デフォルト(各省庁が取り扱う情報システムを構築する際は、第一候補としてクラウドを検討する方針)などを踏まえた一部改訂がなされました。この改訂に至った理由は、教育現場へのクラウド導入を加速させることにあります。ガイドライン上ではオンプレミスを否定するわけではないと明記されていますが、クラウド・バイ・デフォルト原則に基づいて学校でのICT環境の整備に前向きに取り組むことが求められています。詳しくは次項で説明しますが、従来のネットワーク分離によるシステム構成ではなく、アクセス制御による対策を講じたシステムの構成が推奨されています。
参照元:文部科学省|教育情報セキュリティポリシーに関するガイドライン (令和4年3月)
令和4年(3回目)の改訂ポイント
令和4年の一部改訂では、アクセス制御をはじめとするセキュリティ対策について示されています。
1. アクセス制御による技術対策
クラウドの活用を前提として、各システムへのアクセスをアカウントごとに認証するネットワーク構成を、「アクセス制御による対策を講じたシステム構成」として推奨することが追記されました。あわせて従来のデータセンターとクラウドを併用するシステム構成との明確な書き分けもなされています。また、アクセス制御による対策を講じたシステム構成への移行を図るための技術対策が追記され、従来の「ネットワーク分離による対策」と、今後の「アクセス制御による対策」について書き分ける改訂が行われました。
マルウェアなどの対策として、プログラム上の異常・不審な行動を検知する「ふるまい検知」などの仕組みを内蔵したセキュリティ対策や、端末に応じた適切なウイルス対策ソフトの導入が推奨されています。また、多要素認証や二段階認証、通信経路の暗号化に言及されています。他にも、シングルサインオン(SSO)による一度の認証で複数のシステムにまとめてログインできる仕組みによって、パスワード管理の労力を減らすための取り組みを推奨しています。
参照元:文部科学省|教育情報セキュリティポリシーに関するガイドライン (令和4年3月)
2. 文言の適正化
情報セキュリティ事故は、情報資産を扱う教職員の過失によるケースが少なくないことから、ICTを安全に利活用するために、校務用端末の持ち出しに関する記述が適正化されました。各情報資産の重要性に基づく分類が図表で示され、重要度に応じて校外への持ち出し・送信などに関する管理が定められています。保管方法についても、情報資産を格納するサーバーへのバックアップや通信経路の暗号化の実施などの対策を重要度に応じて行うよう明確化されました。
教育情報セキュリティポリシーの改訂で進む、校務のクラウド化
ICTを活用することで、教員は職員室に縛られずに校務を行えるようになります。従来の紙ベースの書類をクラウド化すれば、管理職の不在時に停滞していた稟議などをオンライン上で行うことも可能です。GIGAスクール構想の導入によって学校と保護者がオンライン上でやり取りが実現できるため、双方において保管・管理の負担を減らせます。ただし、デジタル環境への対応が難しい家庭に対しては、書面による手続きの余地を残すなどの配慮が求められています。
クラウド型のシステムはオンプレミス型よりも導入が容易で、サーバー構築費や運用費などがかかりません。日々巧妙化するサイバー攻撃への対策を自前で行う負担が減少します。また、サーバーが外部にあるため、BCP対策としても適しています。災害時に重要情報などが破損・破壊されるリスクが軽減され、校務・業務を再開しやすいことがメリットです。
まとめ
「教育情報セキュリティポリシーに関するガイドライン」は、文部科学省が提唱するGIGAスクール構想とも関連した、学校においてICTを安全に利活用するための基本方針です。クラウドを生かしたネットワーク構成が前提となっており、教職員はセキュリティに関する知識を常にアップデートしながら、慣習にとらわれない取り組みをすることが求められています。クラウドの活用が初めての場合は不安を感じるかもしれませんが、ICTの導入は児童生徒の学びがより主体的で豊かなものとなること、そして教職員の校務への負担を軽減することにつながります。