パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

教育とICTのいま #05/教育情報セキュリティポリシーと学校のICT(第1回)

f:id:sky-pca:20191020115429p:plain

KUコンサルティング 代表:高橋 邦夫

文部科学省 教育情報セキュリティ対策推進チーム 副主査。元 豊島区役所CISO(情報セキュリティ統括責任者)

 

教育情報セキュリティポリシーガイドラインの概要

ガイドライン制定の背景について

2017年10月に公表された『教育情報セキュリティポリシーに関するガイドライン(以下、ガイドライン)』の内容をご説明するとともに、スマートスクール構想など文部科学省の実証事業などを踏まえた今後の見通しもお伝えしたいと思います。

2016年、文部科学省は「2020年代に向けた教育の情報化に関する懇談会」を立ち上げました。教育のICT化をどのように進めていくかを話し合い、報告書としてまとめていくなかで、「教育の情報化加速化プラン(以下、加速化プラン)」が作られました。主な施策は大きく分けて6項目ありますが、その中の一つに初めて「教育情報セキュリティ」という言葉が登場します。文部科学省は、それ以前も情報セキュリティには触れてきましたが、教育のICT化と併せた形で情報セキュリティに言及したという意味で、この加速化プランは非常に大きな意味を持っています。しかし、このとき「教育情報セキュリティの徹底」という項目は、主な施策6項目のうち「校務面でのICTの活用」の中に位置づけられていました。

なぜならこの時点では、教育情報セキュリティとは「先生たちが守るもの」と捉えられていたからです。校務支援システムが普及すると、子どもたちの成績や家庭状況に関する情報などを、システム上で取り扱うことになります。こうした機微な情報が外部に漏れないよう「先生方が適切に情報を扱えるようになる」ためのルールを作るという趣旨で、加速化プランには盛り込まれていました。つまり、当初はネットワーク分離などではなく、先生方のためのルールを作ろうとしていたということです。

ところが、この加速化プランが発表されたのとほぼ同時期に、先進的な取り組みを行っていたある自治体で事件が起きました。外部の未成年の犯人が校内ネットワークの中に侵入し、成績情報や家庭情報を盗み取り、インターネット上にばら撒いてしまったという事件です。この事件は、情報セキュリティといえば「先生方がルールを守っている限りは安全」だと考えていた文部科学省を驚かせました。学校の中には先生方以外にも利用者がいることを考慮したセキュリティポリシーでなければ、情報が流出しかねないと痛感したのです。文部科学省は、その年の夏には『教育情報セキュリティのための緊急提言(以下、緊急提言)』を取りまとめ、各教育委員会に周知しました。このとき私も文部科学省に呼ばれ、緊急提言の作成に参画しました。

まざまな方の意見を汲み入れ8項目の緊急提言になったのですが、その中でも特に重要なのが、情報セキュリティを確保するために先生方が成績処理などをする「校務系」と、子どもたちが使う「授業・学習系」のシステムは、きちんと分離するとした点です。そして、この緊急提言を基にしてガイドラインが作られるわけですから、当初考えていたように「先生方のルールブック」という性質のものではなく、ネットワーク構成など技術寄りのガイドラインになりました。

このガイドラインに対して、パブリックコメントによる意見募集が行われたのは2017年の7月初旬でしたが、公表は同年10月中旬までずれ込みました。非常に関心が高く、192件もの意見が寄せられたからです。私もすべての意見を読み、文部科学省の担当者と一緒に頭を悩ませました。先生方からの意見だと思いますが「これから学校のICT化を進めようとしているのに、こんなに厳しいルールが作られると困る」といったものが半分ぐらい。一方で、情報セキュリティの専門家からは「学校が保有する子どもたちの成長記録は、いわば国家機密です。このような生ぬるいガイドラインで良いのでしょうか」というご意見もありました。

文部科学省よりも先に、総務省が『地方公共団体における情報セキュリティポリシーに関するガイドライン』を制定しています。

総務省は、日本年金機構やいくつかの自治体が標的型攻撃の被害に遭い、多くの個人情報を漏えいしてしまったという苦い経験がありましたので、マイナンバー制度を始めるにあたり、情報漏えいを防ぐためにインターネットを分離するという厳しいルールを作りました。つまり、マイナンバー系の情報とインターネットとは完全に分離しなさいというのが総務省のスタンスです。

文部科学省でも同様に厳しくやろうという意見も多数ありました。しかし、総務省と同じルールにしなかったのは、文部科学省には学校でICT活用教育を進めていきたいという思いがあるからです。学校をインターネットから完全に分離しろと言われてしまうと、「子どもたちは、どうやって調べ学習をするんですか?」ということになります。ICT活用教育を推進しながら情報を確実に守るという、非常に難しい課題に対する現時点の落としどころが今回のガイドラインなのです。

※学校とICTフォーラム(東京会場 2019年4月27日)講演より

第6回/教育情報セキュリティポリシーと学校のICT(第2回)