文部科学省「教育情報セキュリティポリシーに関するガイドライン」概要

2017年10月18日、文部科学省が設置した「教育情報セキュリティ対策推進チーム」が、「教育情報セキュリティポリシーに関するガイドライン」を公表しました。

文部科学省「教育情報セキュリティポリシーに関するガイドライン」

このガイドラインは、各自治体が自身で策定した教育情報セキュリティポリシーを見直す際の参考として位置付けられています。教育情報セキュリティポリシーの具体的例文もガイドラインに含まれているため、例文をベースとして、各自治体の事情に合わせて修正を加えれば、自団体の学校向け教育情報セキュリティポリシーが作成できる作りになっています。

自治体においては、平成28年度（2016年度）に一足先に自治体システムの強靭性向上に取り組み、マイナンバーの情報連携が開始される平成29年（2017年）7月までに、総務省のガイドラインに従い、情報を守るため高水準のセキュリティ対策を完了させました。

一方、今回の教育情報セキュリティポリシーに関するガイドラインにおいては、対策完了時期が明示されていません。現時点で目安とするならば、平成32年度（2020年度）の新学習指導要領の実施^※までには、ガイドラインに基づくセキュリティポリシーの運用開始が求められると考えられます。

教育情報セキュリティポリシーに関するガイドラインは以下の構成になっています。

教育委員会や学校が踏まえるべき教育情報セキュリティポリシーの基本的な考え方として以下の6点を挙げています。教育委員会や学校が踏まえるべき教育情報セキュリティポリシーの基本的な考え方として以下の6点を挙げています。

　①組織体制の確立
　②生徒による機微情報へのアクセス制御
　③標的型攻撃等への対策実施
　④教育現場の実体を踏まえた情報セキュリティ対策の確立
　⑤教職員の情報セキュリティ意識の醸成
　⑥教職員の業務負担軽減とICTを活用した多様な学習の実現

学校の学習活動と教務におけるICT^※への関わりと、行政事務のICTへの関わりは大きく異なるため、教育情報セキュリティポリシーを構成する「基本方針」は、各自治体が「地方公共団体における情報セキュリティポリシーに関するガイドライン」に沿って策定したものを用います。一方、具体的な教育情報システムの対策内容については、教育情報セキュリティポリシーに関するガイドラインに基づいて「学校を対象とした対策基準」を作成します。この「基本方針」と「学校を対象とした対策基準」を合わせたものを教育情報セキュリティポリシーとして位置付け、自治体及び教職員がポリシーを遵守することを求めています。

対象は、公立学校の運営に関わる執行機関（内部部局、教育委員会）、及び学校としています。
情報資産の範囲は、関連ネットワーク、システム、施設・設備、記録メディア、データ、データの印刷物、システム関連文書としています。

情報セキュリティ対策を確実に実施するための組織体制について、副市長、教育委員会、学校の、誰がどのような権限と責任を有するかを定義しています。

まず学校が保有する情報資産に対して、情報セキュリティのCIA^※を使って分類し、重要度を評価し、それに応じた責任者の設定と管理を行います。情報資産管理台帳の作成例も掲載されています。

サーバ等の設置や、保守・管理、配線や電源等の物理的セキュリティ対策を規定しています。

教職員、外部委託事業者が情報資産を適切に使用するために遵守すべき項目を規定しています。

インターネットからの標的型攻撃や、校務システムへの不正アクセス、ルール外の情報の取り扱いによる情報漏洩を、どのようなITセキュリティを構築して防止、調査、復旧するかをまとめています。

「教育情報セキュリティポリシーが求める技術的セキュリティ」の詳細はこちら

情報システムの監視、セキュリティポリシーの遵守状況の確認と違反発見時の対応、セキュリティインシデントへの対応計画、法令遵守と懲戒処分についてまとめています。

外部委託、クラウドサービス、SNS使用時に必要な情報セキュリティをまとめています。

情報セキュリティポリシーの有効性を担保するための監査、自己点検の実施と、新たな脅威や技術等の変化に応じたポリシーの見直しについてまとめています。

文部科学省「教育情報セキュリティポリシーに関するガイドライン」

教育情報セキュリティポリシーの技術的セキュリティ で推奨されている「インターネット分離 」の実現策について情報収集されている方向けに、関連資料を無料でご提供しています。お気軽にダウンロードください。