はじめに・ICT環境の進化とそのリスク

近年、GIGAスクール構想により、1人1台端末と教育クラウドの利用が進み、学習環境が大きく変化しています。
ICT環境の進化は、授業の多様なアプローチや情報共有の促進といったメリットをもたらす一方で、情報セキュリティのリスクも拡大しています。
教職員による書類やUSBメモリの紛失、メールの誤送信、Webサイトでの秘匿情報の公開などは現在も多数発生しています。さらに、中学生によるネット通販への「なりすまし・不正ログイン」など、違法行為による検挙事案も発生しています。
こうした状況を改善し、GIGAの端末や情報通信ネットワークを安心・安全に活用するための基準や手順として「教育情報セキュリティポリシー」を策定・改定し、日常のICT活用に落とし込んでいくことが重要です。今回のコラムでは、その方法などを提案します。

なぜ「教育情報セキュリティポリシー」が必要なのか？

前段の通り、様々な情報リスクが発生しやすい環境に対応するために「教育情報セキュリティポリシー」が大切になることは、皆さんも共感されることでしょう。
一方で「手間が増える・業務がやりづらくなる」というマイナスのイメージから、距離を置きたくなる気持ちもあるかもしれません。
GIGAスクール時代だからこそ考え、共有しておきたいことの一つは
「児童生徒を情報セキュリティ事故や事件から守る」
という視点と大人の責任です。
文部科学省が出している「教育情報セキュリティポリシーに関するガイドライン」(1)は、実際に不正アクセス事件を起こした複数の高校生が検挙された事案などをきっかけにまとめられました。(2)
日頃からGIGAの端末や教育クラウドを活用する中で、情報セキュリティに関する意識を高め、適切な操作を当たり前のことにするためにも、「教育情報セキュリティポリシー」は必要不可欠だと考えられます。

機密情報の保護とリスク管理

学校現場では、教職員や児童生徒の個人情報、成績、指導記録など、守るべき機密情報が多数存在します。主なリスクや対策としては次のものが挙げられます。

• 情報漏洩リスク
  個人情報が外部に漏れることで、児童生徒の学校生活に深刻な影響を及ぼす場合があります。
• サイバー犯罪の脅威
  不用意な操作が重大な情報セキュリティ事故につながることがあります。データを暗号化され金銭を要求される事案が発生しています。
• 情報セキュリティ犯罪の低年齢化
  中学生が生成AIで不正なプログラムを作成し、Webサイトに不正アクセスするなどの事案が発生しています。

法令やガイドラインに基づく対策

• 文部科学省ガイドラインに準拠した対策基準の策定
  具体的な対策や運用方法が例示されており、各教育委員会や学校の実態に合わせた教育情報セキュリティポリシー策定が推奨されています。
• 情報セキュリティ関係法令の理解
  教職員だけではなく児童生徒も「情報セキュリティ関係法令」(3)を理解し、「知らなかった「興味があった」による事故や事件を防ぐ必要があります。

策定だけでは意味がない！「運用」してこそ価値がある。

苦労して策定や改定した「教育情報セキュリティポリシー」も、実際に現場で活用され
なければ、机上のルールに終わり形骸化してしまいます。
日常の業務に組み込み、定期的な見直しや改善を行うことが不可欠です。

運用のポイント

• 定期研修の実施
  教職員向けに、最新の脅威（フィッシング、マルウェア、ランサムウェアなど）を具体例とともに説明したり、業務上の判断や対応を考えたりする研修を実施。
  特に、新規採用や他地域から異動してきた教職員に対しては年度初期の段階で実施できると理想的です。
  研修の内容を内部向けのWebサイトや動画で用意し、任意の時間に受講できる環境の整備も有効です。
• 実践しやすいルール策定
  - USBメモリの使用を禁止
  - 校外への持ち出しは許可が必要
  - 不要なファイルはすぐ削除
  - 不明なことはマニュアル参照・または相談
  など、シンプルなルールを設定し、共有する。
• 運用状況のチェック
  立場別のチェックリストや、運用状況のWebアンケートを用い、現場の運用状況を確認。不備が見つかった場合には、速やかな改善策を講じる体制を整えます。
• インシデント対応フローの整備
  サイバー攻撃や情報漏洩が発生した際の連絡体制、報告手順、初動対応を明文化し、関係者で共有することで、緊急時の対応力を高めます。

ランサムウェア対策の具体策

• 定期バックアップの実施
  重要データはオフラインまたはクラウド上で定期的にバックアップを行い、感染時の迅速な復旧を目指します。
• アクセス制限と多要素認証
  システムやデータへのアクセスは、役割に応じた権限管理を徹底。特に、重要システムには多要素認証を導入し、セキュリティレベルを向上させます。
• セキュリティ環境の維持
  マルウェア対策、ファイアウォール、不正侵入検知システム（IDS）など、関連する機器のファームウェアやソフトウェアを常時アップデートし、適用します。
• 定期的な脆弱性診断とシミュレーション訓練
  システムの脆弱性を定期的に診断し、先手の対応を継続します。

教育情報セキュリティポリシー策定（改定）の流れ　筆者作

教育情報セキュリティポリシー策定（改定）の流れ

策定（改定）前段階

• 現状把握（アセスメント）
  アンケート調査、現地視察、過去のインシデント分析を通じて、現状と課題を明確化します。
• 方向性の整理
  文部科学省ガイドラインや他地域の例を参考に、実際の環境に適したポリシーの方向性を定めることが重要です。
• ICT環境の確認
  校内の機器状況、ネットワーク環境、保守体制、外部委託先との契約内容を精査し、現実に即した運用基盤を整えます。

基本方針、対策基準、実施手順の作成

• セキュリティレベルと運用負担の評価
  高すぎるセキュリティレベルの維持により、運用の負担が増加し業務へ支障が出ることがないか？
  運用の負担は、日常の業務において許容できるものか？
  という視点から、求めるセキュリティレベルに応じた現実的な運用方法を検討します。
• 対策基準→分かりやすく実行しやすい「実施手順」の作成
  対策基準にはしばしば専門用語が用いられ、理解が難しいと感じる関係者も存在します。「運用手順」を作成する段階で、平易な内容で表現をしたり、担当者が「何を、どう実行すればよいのか」を把握し、チェックしやすい体裁を用いるなどの工夫が大切です。

 定期的な改訂とフィードバック

• 環境変化への対応
  新たなデバイスの導入やクラウドサービスの活用、サイバー攻撃手法の変化に合わせ、ポリシーを適宜アップデートします。
• 年次評価の実施
  現場からのフィードバックをもとに、少なくとも年に一度はポリシー全体の見直しを実施し、実効性を維持します。早期の改善は、利用者からの信頼度を高めます。

「教育情報セキュリティポリシー」の共有・運用・日常化のイメージ　筆者作

まとめ・全員参加で築く安全な教育環境

教育情報セキュリティポリシーは、単なる文書として策定するだけでは不十分です。実際に現場で運用し、定期研修やルールの見直しを通じて、リスク管理と安全対策を日常業務に根付かせることが重要です。
「安全な教育現場は、一人ひとりの意識と行動から。」
全員が主体的に参加し、リスクと対策を共有しながら、安心・安全なICT環境を共に築き、有効活用していきましょう。

参考情報
(1)文部科学省．「『教育情報セキュリティポリシーに関するガイドライン』公表について」．（参照日　2025-03-18）
(2)文部科学省．「教育情報セキュリティ対策推進会議（第1回）」（参照日　2025-03-18）
(3)総務省．「国民のためのサイバーセキュリティサイト_サイバーセキュリティ関連の法律・ガイドライン」（参照日：2025-03-18）