Published
- 16 min read
文科省の教育情報セキュリティポリシーに関するガイドライン改訂の歴史を追ってみた
省庁まわりの IT 化が遅れているという声はよく聞きますが、文科省の教育情報セキュリティポリシーに関するガイドライン改訂の歴史を追っていくと、
世の中に合わせて徐々にではありますがちゃんと追随していっているように見えました。とはいえ、ガイドライン自体のページ分量がかなり多いので、各改訂時の要点を絞って個人的な備忘録として残しておこうと思います。
1. 教育情報セキュリティポリシーに関するガイドライン初版(2017.10)
2017 年 10 月 、文科省から教育情報セキュリティポリシーに関するガイドラインの初版が公表されました。1
文部科学省では、2016 年 9 月から「教育情報セキュリティ対策推進チーム」を設置し、今後の学校(小学校、中学校、義務教育学校、高等学校、中等教育学校及び特別支援学校)における情報セキュリティの考え方について検討を行ってきた。
2016 年の時代背景といえば、佐賀県の教育情報システムへ不正アクセスがあった時期です。2
当時に結成された教育情報セキュリティ対策推進チームの資料を見ても、いくつかのセキュリティインシデントが紹介されていました。3
1-1. 初版の考え方
教育情報セキュリティポリシーに関するガイドライン初版 https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdf (PDF)
1-1-1. ガイドラインの位置づけ
学校の設置者である地方公共団体は、「基本方針」については、地方公共団体が策定したものに従いつつ、「対策基準」については、学校を想定したものを策定することが望ましい。地方公共団体及び教育委員会の長をはじめ、全ての職員、教員、事務職員及び外部委託事業者は、学校関係の業務の遂行に当たっては、当該「対策基準」を遵守する義務を負う。
ガイドラインの適用範囲としては下記の体系図で表され、このガイドラインだけで全てを担保するのではなく、総務省の「地方公共団体における 情報セキュリティポリシーに関するガイドライン」と組み合わせて、実施手順を検討することを想定している模様です。
1-1-2. ネットワークにおける対策方針
初版の技術的なセキュリティ対策の考え方としては、教職員と児童生徒が使うシステムのネットワークを分離させたいといった意図が見受けられます。このあたりは自治体のネットワークを三層分離の考え方で構築するという思想が根底にあったと考えられます。
1-1-3. 情報資産分類の整理
情報資産の分類は、セキュリティの 3 要素である「機密性」「完全性」「可用性」に分けようとしていて、例示では教職員のみが管理する指導要録や健康診断の情報などは重要度が高く設定されていました。
なお、下記のような注意書きも書かれているので、技術観点だけではなく、実際の学校現場での運用もちゃんと考慮されています。
(注1)情報資産の分類は、機密性、完全性及び可用性に基づき、分類することが望ましいが、教職員の理解度等に応じ、以下のような重要性に基づき分類することもあり得る。
Ⅰ セキュリティ侵害が教職員又は児童生徒の生命、財産、プライバシー等へ重大な影響を及ぼす。
Ⅱ セキュリティ侵害が学校事務及び教育活動の実施に重大な影響を及ぼす。
Ⅲ セキュリティ侵害が学校事務及び教育活動の実施に軽微な影響を及ぼす。
Ⅳ 影響をほとんど及ぼさない
2. 教育情報セキュリティポリシーに関するガイドライン第 1 回改訂(2019.12)
2019 年 12 月 、文科省から教育情報セキュリティポリシーに関するガイドラインの第 1 回改訂版が公表されました。
こちらの内容は第 2 回の改訂ほどは話題になってはいなかったと感じています。
とはいえ、2017 年から 2018 年あたりの時代背景としては、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の初版において、クラウドサービスの採用がデフォルトになったため、文科省の教育情報セキュリティポリシーに関するガイドラインにもクラウド利用の注意点が記載されたという流れがありました。
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を公表(2018.06)
政府情報システムのシステム方式について、コスト削減や柔軟なリソースの増減等の観点から、クラウドサービスの採用をデフォルトとし、府省 CIO 補佐官の関与の下、事実に基づく客観的な比較を行いその利用を判断するための考え方等を示した標準ガイドライン附属文書です。
このクラウドバイデフォルトの考え方のもとで、各自治体におけるクラウドサービスの活用を促進する狙いがあっての改訂でした。
2-1. 第 1 回改訂版の考え方
教育情報セキュリティポリシーに関するガイドライン(令和元年 12 月版)[PDF]
このように、 1-9 の項目にクラウドサービスに関する記載がされたのが大きな変更点です。
クラウドサービスのセキュリティレベルは、インフラ基盤を提供する IaaS 事業者のセキュリティレベルに加えて、SaaS 事業者についても適切なセキュリティレベルを確保していることを確認する必要がある。
このような文言の例示から教育系クラウドサービス事業者側に、第 3 者による認証制度取得が重要であることが記載されました。
第 1 回改訂版で例示されていた認証制度としては以下の内容でした。
ア ISO/IEC 27017 による認証取得 https://isms.jp/isms-cls/lst/ind/index.html
イ 米国 FedRAMP https://marketplace.fedramp.gov/#/products?status=Compliant
ウ AICPA SOC2(日本公認会計士協会 IT7 号)
エ AICPA SOC3(SysTrust/WebTrsuts)(日本公認会計士協会 IT2 号)
オ JASA クラウドセキュリティ推進協議会 CS ゴールドマーク http://jcispa.jasa.jp/cs_mark_co/cs_gold_mark_co/
カ ISO/IEC 27018 による認証取得(クラウドサービスにおける個人情報の取扱い)
また、クラウドサービスの活用を促進する文言として、地方自治体のセキュリティポリシーに 「データセンターを(目視で)確認すること」などが入っているのは、クラウドサービスの利用としてはなじまない内容である という誘導もされていました。
さらに、情報資産分類の見直しも行われ、児童生徒の学習記録の情報資産分類が、 通知表や調査書などと同じぐらいのセキュリティ水準の管理が必要だった 2B から 2A 扱いになったため、 児童生徒がインターネットを活用して学習がしやすい環境へと誘導を行っていったようです。
3. 教育情報セキュリティポリシーに関するガイドライン第 2 回改訂(2021.05) ← 最新版イマココ
2021 年 5 月 、文科省から教育情報セキュリティポリシーに関するガイドラインの第 2 回改訂版が公表されました。
時代背景としては、
- コロナによる一斉休校による家庭学習の機会増加
- 文科省の GIGA スクール構想による 1 人 1 台端末支給
- 教育現場における Google/MS のアカウント急増
といった動きがあり、学校内でのみ使うシステムではなく、インターネット上のシステム利用をより促進する内容に改訂が行われました。
3-1. 第 2 回改訂版の考え方
「教育情報セキュリティポリシーに関するガイドライン」公表について(文科省)
教育情報セキュリティポリシーに関するガイドライン(令和 3 年 5 月版)[PDF]
第 2 回の改訂では、これまでの記載内容から大きく変更があったので、他のサイトでもブログがたくさん書かれています。
3-1-1. 参考文献
- 文科省「教育情報セキュリティポリシーガイドライン」の”攻め”の改訂を、クラウドのレンズで読み解く
AWS のパブリックセクター(公共部門)の方の記事。本ガイドラインを AWS で実現する方針案にまで踏み込んで書かれています。 - 【最速解説】2021.5 改訂版 教育情報セキュリティポリシーに関するガイドライン
NTT コミュの稲田さんの記事。ガイドライン改訂にも関与されている方なので、ポイントがわかりやすいです。 - 文部科学省、教育情報セキュリティポリシーに関するガイドライン改訂版を公開(JAPANSecuritySummit Update)
- 文科省発行 教育情報セキュリティポリシーに関するガイドラインとは?解説と対策
上記の方々のブログが参考になるとは思いつつ、いくつかの要素を以下にピックアップして紹介しようと思います。
3-1-2. ネットワーク構成およびシステム配置の変更ポイント
ガイドラインおよび改訂説明資料で記載されているように、校務系システムと学習系システムがネットワーク分離を必要とせず、インターネット上にシステム構築するのが望ましいという構想が記載されています。初版と第 1 回改訂ではインターネットにあるシステムと連携させるには難しい要件がありましたが、今回の改訂で事業者がシステム間連携が実現しやすくなる可能性が上がりました。
3-1-3. クラウドサービスの位置づけ
第 2 回の改訂が行われるまで、クラウドサービスへのファイルアップロードは組織外への持ち出しということで禁止している自治体がありましたが、
今回の改訂でクラウドサービスを組織内部として取り扱ってよいという解釈が明記されたのは、SaaS 事業者側にとって大きな進展だと思われます。
また、クラウドサービスは定期アップデートだけでなく、自動アップデートされるということも自治体側へのハンドブックに掲載されているのは、SaaS 事業者的には嬉しい内容です。インターネット上でのシステムは常にセキュリティ対策が変動しますし、負荷対策などのソフトウェアアップデートも迅速に行っていく必要があるので、こうした見解を自治体側と事業者側双方で意識を合わせることができるという点でもよい記載内容かなと感じます。
3-1-4. 昨今のサイバーセキュリティのトレンド記載
パスワードの定期変更や添付ファイルを送るときに 2 通に分割するポリシーは見直しましょうという、最近のセキュリティトレンドも記載されていました。
こうしたガイドラインに記載することで、自治体と接点のある事業者側もだんだん変わっていくのではないかと思われます。
3-1-5. 出席簿などの情報資産分類見直し
児童生徒の個人情報は 2B に残しつつ、氏名や出席簿が 2A に緩和されていました。この項目の緩和は、オンライン授業などでの日常的な出欠確認などを考慮して、インターネット上でシステム管理しやすい配慮がされていると思われました。
4. まとめ
2017 年の教育情報セキュリティポリシーに関するガイドラインの初版から現在の第 2 版までの流れを追ってみました。
これからも社会情勢に合わせて本ガイドラインは見直されていくと思いますが、個人的には世の中の技術進化に合わせてガイドラインもちゃんと追随しているように見えるので、引き続き民間サービスの利用状況を見ながら、ガイドラインをブラッシュアップしていってもらえるといいなと思います。