今年度第1回(通算第49回)全国教育委員会セミナーが7月5日、東京で開催され、東京都内の教育委員会や学校が導入事例や予算確保などについて報告した
三鷹市教育委員会総務課・田島康義担当課長
三鷹市では「人材育成」「技術的な対応」「組織的な対応」の「心・技・体」で情報を守ることを目指し、平成15年から市民部や企画部情報推進課など11課でISO27001(ISMS)の認証を順次取得。国際規格に基づく運用を行っている。「情報セキュリティ8箇条」等をまとめた「情報セキュリティハンドブック」も作成。セキュリティ点検や研修、標的型攻撃メール訓練の実施などを進めている。ハンドブックは現在4刷目だ。
教育情報セキュリティについては平成28年6月、「学校情報セキュリティ基本方針」「学校情報セキュリティ策定基準」「学校情報セキュリティ対策実施手順」を策定。各学校はこれらを基に「情報セキュリティ対策実施手順」を作成して市教委に提出。学校にとって負担が特に大きい「情報資産の分類」のひな型も作成。それをもとに保管場所を各校が整理することとした。このほか次の様式も提供した。▼研修等実施記録表 ▼学校情報セキュリティ対策実施体制図 ▼学校情報セキュリティ文書・記録一覧表 ▼学校情報セキュリティ対策実施状況報告書 など
本指針等策定に向け、以下の取組を順次進めた。▼現在のICT技術動向、社会情勢及び教育ネットワークシステムの運用を踏まえ、三鷹市のISMSの運用を参考に「三鷹市立学校情報セキュリティ基本方針」として再構成 ▼学校における情報セキュリティに関する事項について、学校と教育委員会事務局の役割分担を明確化 ▼各学校の情報セキュリティに関する運用状況を定期的にチェックする仕組みを構築 ▼教職員の遵守事項の見直しと校長
これまで校長裁量としていた私物PC・端末利用は「他自治体から転入してきた教職員がそれまで使用していた教材等のファイルをファイルサーバに保存する」「外部講師が持ち込んだプレゼンテーション資料の使用」などの特例を除きすべて不可とした。
情報資産をS-1からS-4に分類(※)して、データ管理ルールを明確化。「Gmail」「Yahoo!メール」等webメールサービス利用や「Dropbox」、「Googleドライブ」「OneDrive」等ストレージサービスの利用も禁止している。
学校情報セキュリティ統括責任者は教育長、学校情報セキュリティ及び学校情報システム責任者は教育部長。
学校情報セキュリティ管理者である学校長には以下の実施を義務付けた。▼毎年4月中に教職員等向け研修実施(新規任用の教職員等に対しては着任時)▼年1回の手順見直しの検討 ▼前述2点の実施状況の記録と、教育部長への報告(年度毎)
平成30年9月のシステム更改では、教育情報セキュリティポリシーに関するガイドラインに沿って設計・構築。学習系ネットワークと校務系ネットワークは分離して情報漏えいリスクに対応。教員はそれぞれの仮想デスクトップ(VDI)にログインして利用する。学習系と校務系ネットワーク間のデータのやりとりは、ファイル転送システムを利用して安全性を図る。統合型校務支援システムは平成31年4月のシステム更改に向けて設計・構築作業中だ。
セキュリティに関する研修も指導課と連携して行う。
平成28年度に策定した基準は定期的な見直しが必要だ。この見直しのタイミングや方法が今後の課題。国から、学習系データ管理のあり方の指針や自治体規模によるリスク評価のひな型等などが今後示されることを期待している。
(※)S-1=法令に定めのある場合を除いて持出禁止 S-2=校長、副校長の承認を得た場合を除いて持出禁止 S-3=持出可。学園・学校・学年・学級だより学校行事のしおり、卒業アルバムなど(個人情報はS-2) S-4=持出可。授業用教材、教材研究資料など
【講師】三鷹市教育委員会総務課・田島康義担当課長
【第49回教育委員会対象セミナー・東京:2018年7月5日】
教育家庭新聞 教育マルチメディア号 2018年8月6日号掲載
