早急な対応が求められる「教育情報セキュリティポリシーの改訂（策定）」

9月上旬、東京都某市の小学校に通っていた児童が、イジメを苦に自ら命を絶つという悲痛な事案が報道されました。その背景に、1人1台端末を使用したチャットへの不適切な書き込みがあったことや、児童の個人認証で「単純かつ共通のパスワード」が利用され、他人への成りすまし行為が発生していたことなども報じられました。
教育ICTに関わってきた一人として、このような出来事が二度と起きないように、善処策を考え実行する重要性を痛感しています。

学校のPC利用における個人認証「ID/パスワード」の過去から考える「問題点」

インターネットが社会インフラとなった現代の常識から考えると、ICTネットワークの利用者間で「単純かつ共通のパスワード」が使用されている状況は信じられないと思いますが、学校のPC利用の過去を知る者としては、特異なことではなく他にも存在するだろうと推察しています。
GIGAスクール構想による1人1台環境が実現する前は、児童生徒が学校で利用できるICT環境の中心はPC室でした。
複数の子どもたちが一台のPCを共用して校内LANにログインし、インターネットや学習コンテンツなどを利用していました。
そこでの個人認証は「単純かつ共通のID/パスワード」が利用されていました。
理由は、「パスワードを忘れてしまう、入力ができない」「授業をスムーズに進めたい」「管理負担を軽減したい」というものです。
これらを助けるために「学級と番号を選び、簡単にログインできる機能」を実装した授業支援システムも導入されていました。
活用頻度が高くなく、インターネットやPC利用の制限が強い運用が多く、個人認証の重要性に関する意識が希薄な状況が長く続いていました。
GIGAスクール構想以降、1人1台端末の時代になっても、児童生徒の個人認証に関する意識が醸成されないままであったことが、「単純かつ共通のパスワード」という非常識な運用の背景に存在しています。
チャットへの書き込みを確認したり、適切な利用を指導することに注意が払われなかったことも、これまでの認識がもたらした問題点かもしれません。
1人1台のPCが整備され、チャットの他にもクラウド上の様々な学習用ツールを活用しながら新たな学習活動を行う「GIGAスクール構想」が実現した以上、PC室時代の感覚を切り替えることが求められています。

急がれる「個人認証」を含む「教育情報セキュリティポリシー」の改訂と課題解決策

児童生徒が学習用コンピュータを日常的に利用し学習するためには、教育委員会や教員だけではなく、委託先事業者や保護者など、関わる全ての大人が「子どもたちがICTを安心安全に活用するために」という意識を共有し、個人認証を含む具体的な内容について「教育情報セキュリティポリシー」に則した運用を継続していくことが重要です。
そのためには「教育情報セキュリティポリシー」を、GIGAスクール構想に対応した内容に改訂することが必要となりますが、GIGAスクール構想が短期間に推進されたこともあり、整備以外の内容にまで手が回らなかったケースや、未策定というケースも存在しています。
とにかく急いで改訂（策定）したいところですが、教育委員会の中に「教育情報セキュリティに詳しい人材がいない」「改訂（策定）の方法がわからない」という課題が存在しています。
そうした課題を解決する方法の一つとして「GIGAスクールサポーター配置支援事業」（※1）があります。
GIGAスクールサポーターは、端末配備後の運用に必要なセキュリティポリシーの策定や持ち帰りのガイドラインの策定、教員へ研修などの対応としても活用できます。
GIGAスクールサポーターの配置業務を担う事業者に「教育情報セキュリティポリシーの改訂（策定）」を含む形で委託することで、教育委員会で対応が難しい部分について補完することが可能です。
委託する場合は「教育情報化コーディネータ2級（以上）」（※2）の取得者が在籍している事業者であると、確かな対応が期待できます。
その他、情報セキュリティ関連の資格を有する人材や、自治体の情報担当部署の助言や協力を得ることもお勧めします。

「教育情報セキュリティポリシー」の改訂（策定）を進めるためのポイント

教育情報セキュリティポリシーの改訂（策定）を進める上で、共通認識しておく必要がある「ポイント」を紹介しておきます。
総務省が公表している「情報セキュリティポリシー」（※3）の策定に関する情報には、次のような手順が示されています。

実際に「教育情報セキュリティポリシー」を運用していくためには、この他にも

などが必要となります。
学校では「児童生徒に向けたルールの作成と周知」が求められると思いますが、その内容は、根本となる「教育情報セキュリティポリシー」に沿ったものでなければなりません。
同じシステムや端末が整備されている同じ地域の学校では、特別な事情がなければ、ルールの内容は同じになるはずです。
それぞれの学校で時間をかけて独自のルールを作成するのではなく、自治体の「教育情報セキュリティポリシー」を基に、教育委員会が主導して、児童生徒に必要なルールブックを作成し、各学校へ配布することが望ましいでしょう。


次年度以降は、「教育情報セキュリティーポリシー」の運用状況に関する「監査」を行い、問題点を確認し、是正措置や改善を行いましょう。
このような「教育情報セキュリティマネジメント」を持続させていくことで「子どもたちがICTを安心安全に活用する」という状況が守られていきます。
令和3年5月に改訂された文部科学省の「教育情報セキュリティポリシーに関するガイドライン」※４では、1人１台の整備に対応するための留意点や検討すべき事項が追加されています。
これらの内容についても整理をし、対策基準や運用手順に盛り込むことが求められています。　


イジメの被害だけではなく、インターネット犯罪の被害者や加害者となり、傷を負う児童生徒が出てくることも危惧されます。
何度も繰り返しになりますが、「子どもたちがICTを安心安全に利用するために」関わる全ての大人が「教育情報セキュリティ」に関する意識を高め、子どもたちを見守り、支え続けるための基盤を整え、着実に運用していきましょう。


※1 文部科学省「GIGAスクールサポーターについて」
　　https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/mext_01007.html

※2 教育情報化コーディネータ検定試験公式サイト「能力認定・検定試験について」
　　https://jnk4.info/itce/aboutTEST.html
　　1級（指導者レベル）：国や都道府県レベルの長期的な計画を設計・助言できる。
　　2級（専門家レベル）：市町村単位での数年単位の情報化を設計・助言できる。

※3 総務省「情報セキュリティポリシーの策定」
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-4.html

※4 文部科学省「教育情報セキュリティポリシーに関するガイドライン」
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1397369.htm

※本資料に掲載のその他の会社名および製品名、ロゴマークは各社の商号、商標または登録商標です。