パブコメでここが変わった…学校の「教育情報セキュリティポリシーに関するガイドライン」

 平成29年10月18日に策定された「教育情報セキュリティポリシーに関するガイドライン」。パスワードの扱いやICT支援員活用に関する内容など、注目箇所を中心に、ガイドラインと案を比較し、パブリックコメントによる修正、追加が反映されたポイントを調査した。

教育ICT 先生
平成29年10月18日、文部科学省は「教育情報セキュリティポリシーに関するガイドライン」策定、公表した(画像はイメージ)
  • 平成29年10月18日、文部科学省は「教育情報セキュリティポリシーに関するガイドライン」策定、公表した(画像はイメージ)
  • 図表2 地方公共団体における教育情報セキュリティポリシーに関する体系図 出展:文部科学省「教育情報セキュリティポリシーに関するガイドライン」p13
  • 図表4 情報セキュリティ推進の組織体制例 出展:文部科学省「教育情報セキュリティポリシーに関するガイドライン」p14
  • 文部科学省「教育情報セキュリティポリシーに関するガイドライン」公表について(2017/10/18)
 平成29年10月18日に策定された「教育情報セキュリティポリシーに関するガイドライン」。7月4日付けで実施したガイドライン案に係るパブリックコメント(意見公募手続)には192件の意見が寄せられ、文部科学省Webサイトでその結果が公表された。案と策定された「教育情報セキュリティポリシーに関するガイドライン」を比較し、パブリックコメントによる修正、追加が反映されたポイントを調査した。

「教育情報セキュリティポリシーに関するガイドライン」とは



 「教育情報セキュリティポリシーに関するガイドライン」は、地方公共団体が設置する学校を対象とする情報セキュリティポリシー(教育情報セキュリティポリシー)の策定や見直しを行う際の参考として、教育情報セキュリティポリシーの考え方および内容について解説したもの。

 文部科学省はこれまで、平成28年9月から「教育情報セキュリティ対策推進チーム」を設置し、今後の学校(小学校、中学校、義務教育学校、高等学校、中等教育学校および特別支援学校)における情報セキュリティの考え方について検討を行ってきた。10月18日には、同チームの検討とパブコメを踏まえ策定したガイドラインを公開した。

 なお、ガイドライン内の記載は原則、公立小学校および中学校の設置者である市を想定して記載してある。地方公共団体における情報セキュリティポリシーはすでに総務省による平成27年3月版「地方公共団体における情報セキュリティポリシーに関するガイドライン」で整備されていたが、学校における教育情報セキュリティポリシーに言及したガイドラインの策定はこれが初めて。

教育情報セキュリティの指針、パブコメでここが変わった



 「教育情報セキュリティポリシーに関するガイドライン(案)」に対するパブリックコメントにおける提出意見総数は192件。教育現場の現役教職員だけでなく、教育ICT関連企業や塾、保護者、学生など、多くの者が注目していたことがわかる。リセマムでは、検討内容が反映され、修正や追加が行われた箇所のうち、いくつかの例を紹介する。

組織体制:最高情報セキュリティ責任者(CISO)と最高情報統括責任者(CIO)


 副市長などが担当することが望ましいとされている最高情報セキュリティ責任者(Chief Information Security Officer)と、最高情報統括責任者(CIO: Chief Information Officer)などの組織体制例を示す「2.2 組織体制」の図表4内に、CIOの役割を示す箇所が追加された。

組織体制:教育情報システム担当者


 案では、教育情報システム担当者は校務分掌として「学校教育情報セキュリティ・システム担当」を職員から配置する、との記載があったが(案「2.2 組織体制」解説(6)教育情報システム担当者の「注9」)、ICT支援員のような外部人事への業務委託可能性の指摘を受け、ガイドラインでは「教育情報システムの導入・管理・運用等にあたり専門的な知識・技術を有する者が必要になる点や、情報システム担当課の業務負担軽減を目的として、外部委託先の運用員やICT支援員等の外部人材に業務を委託する方法もある。」という「注10」を加えた。

物理的セキュリティ:二要素認証の利用


 案では、二要素認証の例として指紋認証があげられていたが(案「2.4.4 教職員等の利用する端末や電磁的記録媒体等の管理」解説の4)、特定の認証方式に限定しないよう、ガイドラインでは「取り扱う情報の重要度等に応じて前述したパスワード等の知識認証、生体認証(指紋、静脈、顔、声紋等)、物理認証(ICカード、USBトークン、トークン型ワンタイムパスワード等)のうち、異なる認証方式2種類を組み合わせた二要素認証を利用する」との表記に変更された。

人的セキュリティ:教職員等の遵守事項


 「2.5.1 教職員等の遵守事項」のうち、解説(1)教職員の遵守事項として掲げられる「児童生徒への指導事項」に「学校では、承認されていない個人のUSBメモリ等をパソコン、モバイル端末等に接続してはいけないこと」が追加された。同時に、案では「学校では、承認されていない個人のモバイル端末やUSBメモリ等を使用して学校の情報システムにアクセスしてはいけないこと」と表記されていた箇所が、「承認されていない個人のパソコン、モバイル端末等を学校の情報システムに接続してはいけないこと」との表現に変更されている。

 同解説(1)内の「支給以外のパソコンやモバイル端末等の業務利用」にも変更がある。案に盛り込まれていた「支給以外の端末のコンピュータウイルスチェックが実施されていることやファイル共有ソフトウェアの導入がされていないことを教育情報セキュリティ管理者が確認する」との箇所は、ガイドラインではすべてカットされている。

人的セキュリティ:パスワードの取扱い


 案の段階で「パスワードを定期的に変更することで、むしろセキュリティが低下するという懸念もある」という意見が寄せられたことから、ガイドライン「2.5.4 ID及びパスワード等の管理」のうち、(3)の「パスワードの取扱い」については大幅な文言追加が行われた。

 追加文言は「(注2)固定パスワードによるアクセス制限では、時間の経過に伴い、悪意のある第三者による不正侵入、不正操作等のセキュリティリスクが高まるため、定期的にパスワードを変更することが必要である。なお、一度限り有効な使い捨てのワンタイムパスワードを利用することで、こうしたリスクを低減する方法もある。パスワードの定期的変更の是非については専門家の中でも見解が異なっていることから、引き続き、自治体におけるパスワードの運用実態及び技術的動向等も勘案しながら、必要に応じて見直しを行うこととする。」の部分。

 なお、(3)の「パスワードの取扱い」についてはこのほか、教職員が遵守する事項として「パスワードは定期的に又はアクセス回数に基いて変更し、古いパスワードを再利用してはならない」「複数の教育情報システムを扱う教職員等は、同一のパスワードを複数のシステム間で用いてはならない」「パソコン等の端末にパスワードを記憶させてはならない」などの事項が掲げられており、案とガイドラインで変化はなかった。

技術的セキュリティ:情報システムにおける入出力データの正確性の確保


 案「2.6.3 システム開発、導入、保守等」の解説(5)情報システムにおける入出力データの正確性の確保内「注12」の一部に大幅な削除がある。該当箇所は、学校とまったく関係のないWebサイトであるのに、あたかも学校公式サイトであるかのように構築されたWebサイトを発見した、もしくは報告を受けた場合の対処について。

 外部者による誤解されかねないWebサイトを確認した場合、案では「正規のウェブサイトが検索サイト上位に表示されるよう検索エンジン最適化の措置を実施する」「教育情報システム管理者は、外部に提供するウェブサイトに関連するキーワードで定期的にウェブサイトを検索し、不審なサイトが検索結果に表示された場合は、検索サイト事業者に報告する」などを例とする「対策を実施する必要がある」と記載していたところ、ガイドラインでは「このようなウェブサイトを発見した、又は報告を受けた場合は、速やかに教育情報セキュリティ責任者へ報告し、対策を検討しなければならない」という表現に留まっている。

 リセマムでは、案とガイドラインの比較を行い、今後も随時更新する予定だ。文部科学省は10月19日現在、Webサイト内に質問窓口へのリンクを掲げ、「教育情報セキュリティポリシーに関するガイドライン」への質問を受け付けている。質問は、NTTラーニングシステムズの問合せ窓口から送信すること。
《佐藤亜希》

【注目の記事】

特集

編集部おすすめの記事

特集

page top