教育情報システム全体の強靭性向上が急務
教育現場で高まるセキュリティリスク
学校教育の現場では、児童生徒の成績、出欠席及びその理由、健康診断結果、指導要録、教員の人事情報など多くの個人情報を管理しています。そこで徹底した検討が求められるのが情報漏えい対策です。セキュリティが十分に整備されていないシステムでは、端末の盗難・紛失、インターネットを介したサイバー攻撃、学校内からの不正アクセスなど、さまざまな情報漏えいリスクが潜在します。
実際、ある教育委員会では、無線LANから校内LANに侵入、さらに教員から盗み出したパスワードを用いて学習系システムを経由して校務用サーバに不正アクセスされ、1万人を超える成績を含めた個人情報が窃取されるという事件も発生しています。
「教育情報セキュリティポリシーに関するガイドライン」とは
今日の学校教育では、コンピュータを活用した学習活動など、教職員はもとより児童生徒が日常的に情報システムにアクセスする機会が増えているだけに、厳重なセキュリティ対策がますます必須となっています。
そうした中で文部科学省は2017年10月、「教育情報セキュリティポリシーに関するガイドライン」を公表しました。地方公共団体が設置している学校(小学校、中学校、義務教育学校、高等学校、中等教育学校及び特別支援学校)を対象とし、情報セキュリティポリシーの策定や見直しを行う際の参考となる考え方を示したものです。
教育情報セキュリティポリシーガイドラインの基本的考えの項目
ガイドラインには下記の項目が記されています。また、ガイドラインでは言及されていませんが、各項目で求められる具体的な対策例をあわせて示しておきます。
- 組織体制の確立⇒ 責任体制の明確化・CSIRTの設置など
- 児童生徒による機微情報へのアクセスリスクへの対応⇒ 校務系と学習系の分離
- インターネット経由による標的型攻撃等のリスクへの対応⇒ インターネット分離
- 教育現場の実態を踏まえた情報セキュリティ対策の確立⇒ 機密データ種類の定義
- 教職員の情報セキュリティに関する意識の醸成⇒ 定期的な教育・勉強会の実施
- 教職員の業務負担軽減及びICTを活用した多様な学習の実現⇒ ルールの整備による負担の軽減