教育情報セキュリティポリシーガイドラインの改訂版が重要です

カテゴリー: 2020教育の情報化に関する手引き   パーマリンク

皆さんこんにちは

2019年12月に教育の情報化の手引きが発行されました。
GIGAスクール構想が立ち上がり、それに伴った内容に書き換えていたため公開が遅くなったとのことです。本編254ページ、付録も合わせると360ページという超大作なので、要所要所を確認しながら読んでいきましょう。
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/mext_00117.html

セキュリティのイメージ
 今回は、教育情報セキュリティについてご説明します。

 教育情報セキュリティと言えば切っても切れない「教育情報セキュリティポリシーガイドライン」ですね。平成29年10月に出されたものを現在文部科学省が改訂中だと手引きにはあります。
 特に

  • ・環境の硬直化を防ぐための、ガイドラインの位置付け・構成の見直し
  • ・ クラウドサービスの利用に関する記述の追加
  • ・ 事業者が配慮すべき個人情報の取扱いに関する事項の追記 等

 について、よく考えなおそう、と言っているわけですね。
 本来手引きが出るのが10月くらいの予定だったため、このような記載になっていますが、上記は2019年12月、この手引きが公開されるのと前後して改訂版教育情報セキュリティポリシーガイドラインが公開されています。
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1397369.htm
 GIGAスクール構想で、1人1台の端末が入ることになりましたね。新型コロナウイルスの蔓延で、それが前倒しになり、2020年度中に全員に端末を配布する、という方針になりました。

 今まで全く動かなかった山があっという間に動いた感じです。その状況を考えると、セキュリティポリシーガイドラインの改訂は必須だったと言えるでしょう。

 特に、クラウドサービスの利用に関しての記述が追加されたことは大きいです。

 それまでは、「クラウド? インターネット上に子どもの機密情報を掲載しておくだなんて誰かに漏洩したらどうするの!!」一辺倒といっても過言ではありませんでした。厳しい自治体は、インターネットに接続する機器に子どもの名前を載せてはいけない(例えば授業支援システムでも1年1組1番さんにするべき、というような)というルールもあります。
 ですが、国は、クラウドバイファーストを掲げています。サーバー群を自前で整備するお金をかけるより、クラウドサービスをうまく利用してセキュリティを高める対策を実施してやっていこう、という方針ですね。一時期は「総務省はクラウドクラウド言ってるけど文科省が全然許してくれない」という解釈が広まった時期もありました。
 ですが、全自治体全学校サーバーを自前で用意して……というのは非効率的であり、余計な費用も必要である、という認識に変わってきました。
 だからじゃあクラウドをガンガン使っていけば大丈夫か、と言えばそこで立ち止まって考える必要もあります。手引きにもある通り「セキュリティポリシーを策定したら終わり」ではなく運用状況を確認し、常に改善や見直しについて検討する必要もあります。
 「クラウドを使わないのはダメ」ではなく「クラウドを使う方がいいけど、そこに落とし穴はないかな?」というのを常々考えていく必要があるということですね。
 例えば、校務系と授業系が完全に物理的に分離されていたネットワークで運用していた自治体が、「毎月2回線分の使用料を払うのは財政負担が大きい」として方針を大転換し、1回線で論理的に分離されたネットワークでの運用を始めたとしましょう。長年の「物理的に分けられた=校務系の方である程度無茶をやっても大概情報漏洩になることはなかった」環境で慣れた先生方が、クラウドと閉じられた校務系のサーバーの違いを理解できず、重要なデータの取り扱いに関する慎重さが不足する、という可能性は考えられますね。
 リスクを取って恐れるばかりでは前に足が進みませんが、リスクを無視して急ぎすぎるのも問題です。改訂された教育情報セキュリティポリシーガイドラインをよく読み、ご自分の自治体で必要なことを行政職の皆様と先生方がよく話し合われるととてもいいな、と思います。

 次回はICT活用における健康面の配慮についてご説明します。
 何かご質問、ご意見等ございましたら是非お聞かせください。
よろしくお願い申し上げます。