(セキュリティ対策)
学校の事務作業などでは、ネットワークで繋がれたシステムを使うことが年々多くなっていると思います。それに比例して、セキュリティにも気をつけなくてはならなくなってきていると、多くのみなさんが認識していると思いますが、実際には、そんなことを深く考える時間も機会もないのではないかと思います。。特に近年、フルクラウド化などといって、インターネット上にあるシステムにつなぐことなども多くなって、ますます不安だけが増えていく感じではないでしょうか。。
情報セキュリティというと、一般的には、情報の機密性、完全性、可用性を確保することと定義されることが多いと思いますが、そこからだとなかなか具体の対応が難しいので、、公立学校のセキュリティ対策では、以下の2つのルールがあることを、まず認識しておくとよいと思います。
(教育情報セキュリティポリシー)
各地方自治体では、それぞれの情報セキュリティポリシーが策定されています。
また、それとは別に、学校を対象に、組織体制の確立、学校が保有する重要度が高い情報への不正アクセスリスクへの対応などについて定めた「教育情報セキュリティポリシー」が策定されていることがあります。半数程度の自治体(教育委員会)では、学校向けのセキュリティポリシーが定められているように思いますので、学校を設置・管理する自治体の例を見てみてください。
ただし、具体的な内容は、一般には公開されていないこともあるようです。以下は、たまたま見つけた今治市教育委員会の例ですが、「対策基準については、本市及び本市が管理する小中学校のセキュリティ状況を基に策定しており、公にすることにより、本市及び本市が管理する小中学校の情報セキュリティに重大な影響を及ぼす恐れがあることから、非公開としております」との説明がされています。。
なお、各教育委員会では、文科省が策定している「教育情報セキュリティポリシーに関するガイドライン」を参考に、教育情報セキュリティポリシーの策定や見直しを行うこととなっていますので、文科省のガイドラインを見れば、何を注意しなければならないかなどのイメージは湧くと思います。(ガイドラインの主な項目は、次回以降適宜、見ていきたいと思います。)
(個人情報保護法に基づく安全管理措置)
個人情報については、過去の記事でも見てきたところですが、個人情報保護法に基づく安全管理措置については、公立学校でも(行政機関として)措置を講じなければなりません。
以下は、文科省の「教育データ利活用に係る留意事項のポイント」からの転記ですが、これらの措置を講じる必要があります。
ア.組織的安全管理措置(組織体制の整備、個人情報の取り扱いに係る規律に従った運用等)
イ.人的安全管理措置(従事者の教育)
ウ.物理的安全管理措置(個人情報を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止など)
エ.技術的安全管理措置(アクセス制御、アクセス者の識別と認証など)
オ.外的環境の把握(保有個人情報が取り扱われる外国の特定等)
カ.自己点検及び監査
詳しくは、個人情報保護委員会のホームページにあるガイドライン(行政機関等編)やQ&A(行政機関等編)をご参照ください。
(ポイント)
・ルールとして(自治体の)情報セキュリティポリシー、個人情報保護法をまず認識。
・学校向けのセキュリティポリシーが教育委員会で策定されている場合がある。
・公立学校も(行政機関として)、個人情報保護法に基づく安全管理措置が必要。
(参考)
