(教育情報の機密性・完全性・可用性の分類は、他より細かい)
情報セキュリティは、情報の機密性、完全性、可用性を確保すること・・・と以前にも記載したのですが、教育情報の分類に特徴的なこともありますので、改めて、少し詳しく見てみたいと思います。
まず、機密性、完全性、可用性の分類ですが、自治体や国の機関では、機密性1〜3、完全性1〜2、可用性1〜2で分類していると思います。民間企業の例は様々かと思いますが、中小企業向けのIPAのガイドラインでは、機密性、完全性、可用性とも1〜3で分類されています。
一方で、文科省の教育情報セキュリティポリシーに関するガイドラインでは、機密性は4段階、完全性と可用性は3段階で分類されています。2の分類をさらに2A、2Bと分けていて複雑な作りになっています。。
以下、ガイドラインの抜粋で、具体的に見てみます。
機密性による情報資産の分類
機密性 3:学校で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産
機密性 2B:学校で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産
機密性 2A:学校で取り扱う情報資産のうち、直ちに一般に公表することを前提としていないが、児童生徒がアクセスすることを想定している情報資産
機密性 1:機密性 2A、機密性 2B 又は機密性 3 の情報資産以外の情報資産
機密性については、児童生徒のアクセスの有無などで2A、2Bに分けられています。
完全性による情報資産の分類
完全性 2B:学校で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、学校関係者の権利が侵害される又は学校事務及び教育活動の的確な遂行に支障(軽微なものを除く)を及ぼすおそれがある情報資産
完全性 2A:学校で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、学校関係者の権利が侵害される又は学校事務及び教育活動の的確な遂行に軽微な支障を及ぼすおそれがある情報資産
完全性 1:完全性 2A 又は完全性 2B の情報資産以外の情報資産
完全性については、教育活動への支障が軽微か否かで、2Aと2Bに分けられています。
可用性による情報資産の分類
可用性 2B:学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産
可用性 2A:学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定的な遂行に軽微な支障を及ぼすおそれがある情報資産
可用性 1:可用性 2A 又は可用性 2B の情報資産以外の情報資産
可用性についても、教育活動への支障が軽微か否かで、2Aと2Bに分けられています。
(情報の重要性の分類)
教育情報の重要性の分類については、ガイドラインではⅠからⅣでの分類が例示されています。
また、この点については、「情報資産の分類は、機密性、完全性及び可用性に基づき、分類することが望ましいが、教職員の理解度等に応じ、以下のような重要性に基づき分類することもあり得る」との注記の下で、以下のような定義も示されています。
Ⅰ セキュリティ侵害が教職員又は児童生徒の生命、財産、プライバシー等へ重大な影響を及ぼす。
Ⅱ セキュリティ侵害が学校事務及び教育活動の実施に重大な影響を及ぼす。
Ⅲ セキュリティ侵害が学校事務及び教育活動の実施に軽微な影響を及ぼす。
Ⅳ 影響をほとんど及ぼさない。
これらを、よりわかりやすく整理しているものとして、ハンドブックで以下のような表が掲載されています。
この表では、
重要性Ⅰ=機密性3、完全性2B、可用性2Bの情報
重要性Ⅱ=機密性2B、完全性2B、可用性2Bの情報
重要性Ⅲ=機密性2A、完全性2A、可用性2Aの情報
重要性Ⅳ=機密性1、完全性1、可用性1の情報
のような形で記載されていて、機密性、完全性、可用性を踏まえて重要性を判断することがイメージできるようになっていると思います。(重要性=機密性+完全性+可用性のようなイメージ・・)
(ただ、機密性・完全性・可用性が、他の組み合わせの場合はどうなるのだろうという疑問が湧きそうですので、、「機密性・完全性・可用性評価値のうち最大値が「2B」の情報資産=重要性Ⅱ」のようにしたほうがわかりやすいのかな、と個人的には思いました。もし当方でなにか見落としていて、趣旨を誤解していたらすみません・・。)
以上、以前の「学校情報の重要度」の記事にコメントを頂いたこともあって、少し補足的に見てみました。。とりあえず、今回はこれで終わります。
