文部科学省が策定した「教育情報セキュリティポリシーに関するガイドライン」というものを聞いたことがあるでしょうか?

実はこれ、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」を学校版としてほぼまんまコピーしたものになります。

そうです、学校版ネットワーク強靭化が始まったわけであります。



教育情報セキュリティポリシーに関するガイドライン」とは?


文部科学省の公式サイトの説明は以下のようにあります。
“学校においては,コンピュータを活用した学習活動の実施など,教職員はもとより,児童生徒が日常的に情報システムにアクセスする機会があるなど,地方公共団体の他の行政事務とは異なる点もあります。このため,本ガイドラインは,地方公共団体が,設置する学校を対象とする情報セキュリティポリシーの策定や見直しを行う際の参考となるよう,学校における情報セキュリティポリシーの考え方及び内容について解説したものです。"

流石です、概要すぎてなにもわかりません。

ざっくりは話、最近は電子黒板やデジタル教科書、タブレット端末の導入等で教育にもICT化の波が来ていると。

ICTを使うのはいいんだけど、まずはセキュリティポリシー作ったから守ってね、という話です。

具体的な話をすると、外部の業者やインターネットを利用する「校務外部接続系」と生徒の情報等を管理する公務支援システムがある「校務系」にネットワークを分離する必要があります。

加えて以下のような見覚えのある対応も必要になってきます。

  • 教育情報セキュリティポリシーの策定
  • 二要素認証
  • 自治体情報セキュリティクラウドのような堅牢な仕組み
  • 外部記憶媒体によるデータ持出し禁止設定
  • ファイルの無害化 …等

さらに、各学校にあるファイルサーバ等を集約、ドメインを統一するなどやることは山積みです。

詳細は、文部科学省の公式サイトをご覧になるのが良いかと思います。



期限はいつなのか?


決まっていません

以下が文科省の回答です。
“何らかの期限等を設けて対応義務を課すものではありませんが、各地方公共団体において、実態を踏まえながら優先順位をつけ、計画的に学校における情報セキュリティの確保に取り組んでいただきたいと思います。"

計画的にやってね、としか書いてないですね。

やらないと後で色々いってくるんだろうなー。



補助金は出るの?


出ません

以下が文科省の回答です。
”地方公共団体における情報セキュリティは、各地方公共団体が保有する情報資産に自ら責任を持って確保すべきものであり、情報セキュリティポリシーも各地方公共団体が組織の実態に応じて自主的に策定するものであることから、各地方公共団体において、実態を踏まえながら優先順位をつけ、計画的に学校における情報セキュリティの確保に取り組んでいただきたいと思います。”

つまり、自分たちのお金で、自分たちの責任で、計画的に対応してね、ということみたいです。

行政部門のときは総務省が補助金を出したのに、同じような規模の内容を今度は補助金なしって馬鹿げてるんでしょうか?

お金は出さないけどやることやってね、っていうのはどうも都合が良すぎるように思います。



やらないといけないの?


(恐らく)必須です

以下が文科省の回答です。
“義務を課すものではありませんが、各地方公共団体において標準的に対策することが望まれる事項と必要性が認められる時に選択的に実施することが望まれる「推奨事項」に区別して記載しています。”

回答がとても嫌らしい言い方ですが、「必須」にするとお金を出すハメになりそうなのでわざとこんな回りくどい言い方をしているのでしょう。

もし対応をせずに情報漏えい等の問題を起こしてしまったら、文科省からは「だから計画的にやれってあれほど…」的なことを言われるのは目に見えています。

しかし、です。

以下の理由から対策自体は必要だと小生は考えています

  • だいたい情報漏えいをしでかす公務員は教職員が多い
  • 学校の教員室に行くと生徒の成績や個人情報の紙資料が机に散乱している
  • パソコンはデジタルカメラやUSBメモリが刺さり放題

こういったことをしている教職員の方は、仕事のやり方を見直したほうがよいでしょう。

セキュリティを意識できていないのか、効率ばかり考えて情報漏えいとか紛失に全く配慮できていないように思います。



行政部門の情報担当は関係するの?


関係なくはないです、むしろ大いに関係します

策定された教育情報セキュリティポリシーの説明会に行くと、頻繁に「行政部門の情報担当と連携して」というような文言が出てきます。

小生の自治体のように学校を統べる課には情報担当が不在の場合があるため、そこを考えてのことでしょう。

学校にネットワークなどITのことを理解できる先生がいるのはあまり期待できませんしね。

しかし、こちらからすると正直迷惑です。

行政部門のネットワーク強靭化のときですら、同僚に散々文句を言われながらなんとかやり方を練って、説得して、やっと落ち着いてきたところなのです。

クラウドサービスの利用や外注も問題ないと記載がありますので、

是非そのようなサービスを使い、これ以上情報担当の仕事を増やさないで欲しいものです。



<関連サイト>
「教育情報セキュリティポリシーに関するガイドライン」公表について
教育情報セキュリティポリシーに関するガイドラインFAQ
パブリックコメントによって見直された箇所