学校現場において学校情報や児童生徒の個人情報が流出する等の事故が発生するなど、学校における情報管理の重要性が高まっている。校務の情報化を含め、学校におけるICT の活用を推進する上で、情報セキュリティの確保は極めて重要である。このため、学校が保有する具体的な情報資産の取扱いを定め一人ひとりの教職員がその取扱いを確実に遵守するため、学校現場の状況に応じた情報セキュリティポリシーが策定されているので、すべての学校において適切に運用することが望まれる。
(1)情報セキュリティの基本
「情報資産」を守るためには、情報セキュリティの基本概念を理解しなければならない。
一般に、情報セキュリティとは、次の3要素を確保することと定義されている。
| 要素 | 内容説明 | 機能しないときの発生事例 |
| 機密性(Confidentiality)
|
情報へのアクセス権限が制御され、許可された者だけがその情報にアクセスし使用できる | 不正アクセスによる漏えい
ネットワークへの侵入 |
| 完全性(Integrity)
|
報資産管理方法に間違いがなく、情報そのものを改ざんする余地がない | 入力と出力の相違
信頼性の喪失 |
| 可用性(Availability) | 情報にアクセスしたいときにアクセスできる状態 | システムダウンが起きる |
頭文字をとって情報セキュリティの「CIA」といい、国際規格とそれに準拠した日本工業規格(JIS)にも取り入れられている。
「情報資産」を守るためための対策を講じるうえで、この情報セキュリティの3要素を確保しつつ、次の2点を勘案して管理を行う。
ア 情報に対するどのような脅威が存在しているのか
イ その脅威に対してどのようなぜい弱性があるのか
(2)情報管理手法の変遷
以前の情報管理は紙媒体である書類の管理が主で、機密書類はマル秘の印を押し、金庫等に厳重に保管すればこと足りた。
しかし現在は、ICTの発達により記録媒体が進化し、紙の管理からデータの管理へその方法が大きく変化している。
電子データの管理が、紙の管理と異なる点は次のとおり。
ア 目に見えない
イ 持ち運びが容易
ウ 複製の作成が容易
エ データの受け渡しが容易
このような特徴から、現在の情報管理は以前のような紙での管理の考え方から、電子データ管理を中心とした、ネットワーク・機器をも包括した管理手法となっている。
(3)情報セキュリティポリシーの構成
一般的に、情報セキュリティポリシーは、「基本方針」「対策基準」「実施手順」の3つから構成されている。飯田市立小・中学校における情報セキュリティポリシーについては、以下(4)項以降で具体的に記述するが概要は次のとおりである。
(4)飯田市立小中学校における情報セキュリティ対策
平成20年度に教育委員会が小中学校を対象とした情報セキュリティポリシーを定めている。
| 飯田市立小中学校情報セキュリティポリシー | 情報セキュリティ基本方針 | 特徴
①セキュリティポリシーは基本方針と対策基準をいう ②紙媒体の情報も含む |
| 情報セキュリティ対策基準 | ||
| ※情報セキュリティ対策手順については、個々に定める | ||
(5)情報セキュリティ各種手順書の体系
情報セキュリティポリシーに基づき、平成23年から各種手順書モデルが体系的作成され、以降、数度の改定を行っている。ICT環境は日々進展しているためリスクも変化し、対応する手順書も随時改定されている。
なお、「セキュリティ対策手順(教職員用)」が他の手順書の統括規程になっているので、一読することでセキュリティー対策の基本や概要が理解できる。
※内容現在 平成25年4月1日
| 対象 | 対策手順名称(飯田市立○○学校)
[略称 ○○手順] |
記述内容、対策範囲の概要 | ||
| 一般教職員 | 児童生徒 | 管理者・技術者 | ||
| ○ | (○) | (○) | 情報セキュリティ対策手順(教職員用) (別紙)情報資産分類表 情報セキュリティ7箇条[略称 セキュリティ対策手順(教職員用)] |
各種対策手順の統括手順 情報資産の分類・取扱い、個人情報保護、情報端末・公務用USBメモリ取扱い、児童生徒の情報処理・端末利用、パスワードの設定・管理、インターネット利用、電子メール使用、ウィルス対策、知的所有権遵守、トラブル処理、職員教育訓練、罰則 等 重要性レベル3以上の情報資産名称、管理者、形態、保存場所 等 (レベル2以下の情報資産は文書分類表による) |
| ○ | ○ | 職員用情報端末及び公務用USBメモリ貸与に関する手順
[略称 貸与手順] |
パソコン・公務用USBメモリ等貸与手続、管理・使用、セキュリティ保持義務、データ保存、設定変更禁止、返却手続、盗難・紛失対策、情報持ち出し手続 等 情報管理者・担当者の職務 等 |
|
| ○ | (○) | 機密情報の取扱い手順 (別紙)個人情報の取扱いについて 個人情報取扱事務委託基準[略称 機密情報手順] |
機密情報=重要性レベル4(個人情報)の日常的な取扱い、持ち出し、個人情報管理、職員転退任時取扱い、漏えい時対応、個々の機密情報取扱い明示 等 | |
| (○) | ○ | 電子データ取扱い手順
[略称 電子データ手順] |
電子的・磁気的情報の特有の取扱い 記録媒体の種類、電子データの分類・管理・廃棄、ネットワーク構成、サーバ等の設定、外部記憶媒体(USBメモリ等)設定・配置・管理、電子メールの保存・廃棄 等 |
|
| ○ | (○) | インターネット利用手順
[略称 インターネット手順] |
インターネットの取扱い、私的利用禁止、セキュリティー対策、電子メール設定、代表アドレスでの処理、個人情報の送信禁止、フリーメール使用禁止、ホームページ作成・公開の手順 等 | |
| ○ | ○ | (○) | 児童・生徒が扱う情報の管理に関する手順 付.小中学校別パソコン教室使用マニュアル[略称 児童生徒手順] |
児童・生徒自身が利用する情報資産・情報機器の取扱い 個人情報保護、端末使用注意、ネチケット理解、インターネット安全な利用、電子メール利用注意、ダウンロード禁止、知的所有権・不正アクセス禁止、その他啓発 等 |
| ○ | ※技術的対策手順(ネットワークセンターの支援・指示により帳票等を作成する。モデル規程はない。) | ①サーバー管理…管理者、入退室記録、RAID設定、アクセス権設定、アクセスログ記録、データバックアップ、トラブル時の対策、UPS設定
②ネットワーク管理…セグメントの分離、IP等設定表、パスワード管理表、電子署名暗号化設定、無線LAN対策 ③ノード管理…IP等の設定、ウィルス対策、パッチの一斉更新、リカバリー対策手順 ④機器管理…盗難防止対策 ⑤ソフトウェア管理…ライセンス管理、更新経過、インストール設定 ⑥システム維持…システム改変記録 ⑦教育訓練…研修実施要項、テキスト 等 |
||
(6)各学校における各種手順書の整備
ア 当手引に登載されている各手順書は標準的なモデル規程であり、各学校においては当該校のセキュリティ対策を加えて作成することになっている。(対策基準2-(2)、(3))
イ 各学校で作成した各種手順書は、指示された期日までに教育委員会へ提出する。
ウ モデル規程となっている手順書は随時改定されるので、最新の手順書を用いて改定し、学校のセキュリティ対策を常に見直す。
(7)職員への研修
ア 情報セキュリティポリシー並びに各種手順書は、学校運営計画や学校規程集等に登載し、職員が常に研修できるようにする。
イ 「飯田市立小・中学校教職員のための個人情報保護情報セキュリティ対策ハンドブック」(平成26年10月発行)も活用する。
ウ 職員への研修は次の例を参考に効果的に行う。
情報セキュリティに関する研修の年間計画(一例)
| 4月(年度当初) | 情報セキュリティに関する基本的事項周知、「セキュリティ対策手順(教職員用)」の読み合わせ、USBメモリ等を持ち出しする際の手続き確認 |
| 8月(夏季休業等) | セキュリティポリシー、各手順書の読み合わせ(年度当初でもよい) |
| 2~3月(年度末) | 職員が異動、退職する際の情報資産の取扱いについて |
| その他(必要に応じて) | チェックリスト等を用い、決められた手順通りに処理されているかの確認、情報セキュリティに対する意識啓発 |
エ 情報管理者(校長)・情報化担当者等各校で情報セキュリティーの運用・管理に携わる職員は、様々な機会を捉えICT、情報セキュリティに関する研修会や講習会に参加する。
参考文献