教育現場では、児童生徒や教職員が日常的にパソコンやタブレット、ネットワークを利用するため、情報漏えいや不正アクセスなどのセキュリティリスクが常に存在します。
こうした脅威から重要な教育情報を守るため、文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を策定し、教育委員会や学校が整備すべき方針や対策を体系的に示しています。
ここでは、「教育情報セキュリティポリシーに関するガイドライン」の概要と最新の改定ポイントについて紹介します。
教育情報セキュリティポリシーに関するガイドラインとは?
教育情報セキュリティポリシーに関するガイドラインは、教育委員会が情報セキュリティポリシーを策定・見直す際に活用できる参考文書で、基本理念や検討すべき方向性を体系的に示しています。
教育現場は児童生徒や保護者といった多様な関係者が関与するなど、自治体の他業務とは異なる特性を持ち、それらを考慮した独自の対策が求められます。この必要性から2017年10月に初版が策定されました。その後、GIGAスクール構想に伴う1人1台端末の整備やクラウドサービスの本格活用が急速に進展し、求められるセキュリティ対策は高度化しました。
時代の変化や改革の高まりを受け 、2025年3月には最新動向を反映した改訂版が公表されています。
教育情報セキュリティポリシーに関するガイドラインの主な改定点
ここでは2025年3月に改訂された「教育情報セキュリティポリシー」の主なポイントについて紹介します。
改訂点①:アクセス制御の見直し(認証・認可の厳格化)
今回の改訂では、情報資産の重要性や機密度に応じ、多要素認証や端末認証を組み合わせた強固なアクセス制御の導入が明確化されました。教職員による私的なクラウドサービス利用は禁止とし、新サービス導入時には必ずセキュリティ管理者の事前確認と承認を義務付けます。
また、保護者や児童生徒には、本人や保護者が関連情報のみアクセスする前提で条件付きのパスワード認証を許容し、安全性と信頼性の確保を図り、不正アクセスや情報漏えいを防ぎます。
改訂点②:教職員の端末持ち出し・校務クラウドへの留意
端末を校外へ持ち出す場合は、個別許可と記録管理を徹底し、外部へのデータ送信時には暗号化や送信制限を実施するよう明記されています。特に、在宅勤務やクラウド利用の拡大に伴い、校務用と学習用端末の統合や安全なアクセス制御を推奨しています。
また、DX移行期間中も環境に応じた適切な対策を講じ、ログ保存や定期点検を欠かさず実施することも記載されています。特にクラウド利用時は契約書に取得条件や管理方法を明記し、安全性と信頼性を確保することで情報漏えいを防ぐことが可能になります。
改訂点③:ゼロトラストの導入促進
校務系と学習系ネットワークを統合し、クラウド接続を合理化することで、安全で柔軟な環境を構築するゼロトラストの導入が求められています。教育情報セキュリティポリシーでは、教育委員会がセキュリティ設計や運用管理を一元的に担い、全体最適と迅速な対応を可能にする体制づくりが推進されています。
また、オンプレミスとクラウドが共存する移行期間中も、各環境に応じた適切な対策を講じ、信頼性とセキュリティを両立し、継続的な安全確保と運用改善を実現させることができます。
教育情報セキュリティポリシーに関するガイドラインの3つの体系
教育情報セキュリティポリシーは、組織の情報を守るために下図のような「基本方針」「対策基準」「実施手順」の三層体系で成り立っています。基本方針が全体の理念を示し、対策基準で具体的なルールを定め、実施手順で現場での運用方法を明確にしています。
ここでは、「基本方針」「対策基準」「実施手順」の三層構造について紹介します。
出典:情報セキュリティポリシーの体系 |教育情報セキュリティポリシーハンドブック(文部科学省)
①基本方針(Basic Policy)
基本方針は、地方公共団体(教育委員会を含む)のトップが、なぜ情報セキュリティに取り組むのか、誰が責任を持つのかを明確に宣言する文書です。総務省の自治体ガイドラインに基づき策定され、情報資産の保護対象や範囲、責任体制、遵守すべき事項を明示します。
情報セキュリティ対策の頂点に位置し、地方公共団体全体を包括する方針でなければならず、すべての対策や運用の基盤として継続的な改善を促す重要な役割を担います。
②対策基準(Countermeasure Standards)
対策基準は、基本方針に基づき、教育現場特有の環境(児童生徒の利用や端末・クラウド導入など)に即した情報セキュリティ対策のルールを定めるものです。GIGAスクール構想に対応し、校務系・外部接続系・学習系システムごとの基準を明記しています。
さらに、情報資産の分類や管理方法、組織体制、人的・技術的・物理的セキュリティの指針も含まれます。各自治体は予算やネットワーク環境に応じ、例文を参考にしながら内容を検討・決定します。
③実施手順(Implementation Procedures)
実施手順は、「対策基準」で定めた具体的な対策ルールを、現場でどのように実行するかを明確にする最も現場に近い行動指針です。教育委員会が作成するひな形を基に、各学校が自校の実情に合わせて策定します。
例えば、パスワード変更や再発行の手順、重要情報へのアクセス権限付与の申請・承認の流れなどを具体的に定め、日常運用や緊急時対応に確実に反映させます。これにより、現場の運用精度とセキュリティ水準を継続的に向上させます。
ポリシー策定における組織体制整備のポイント
教育情報セキュリティポリシーの策定には、教育委員会と学校の役割分担、責任者の設置、外部事業者との契約時の要件明示など、組織体制の整備が不可欠です。これにより、現場と管理部門が一体となり、安全性と信頼性の高い運営を実現できます。ここでは、その具体的なポイントを紹介します。
ポイント①:教育委員会と学校の役割分担
教育委員会は、全体の情報セキュリティポリシーを策定・管理し、統一的な方針を示す責任を担います。学校はその方針に基づき、自校の環境や状況に合わせた具体的な対策や運用を実施します。報告・連絡体制を明確に整備し、インシデント発生時には迅速かつ的確に連携できる仕組みが不可欠です。
また、情報資産や端末の整備状況を教育委員会へ定期的に報告し、組織全体でのセキュリティ水準の維持・向上を図ります。これにより、現場と管理部門が一体となった安全管理体制を実現できます。
ポイント②:責任者・実施者・情報セキュリティ担当の設置
教育委員会および学校には、それぞれ「統括管理者」「実施責任者」「実施担当者」を設置し、役割と責任を明確化します。学校単位でも、情報セキュリティに関する窓口や主担当を明確に定めることが求められます。
特に一人情シスや専任不在の学校では、複数人による役割分担が推奨され、負担分散と業務継続性の確保が重要です。実施担当者は、日常の運用や点検、教職員からの問い合わせ対応などを担い、安全な運営を支えます。
ポイント③:外部事業者活用時のセキュリティ要件提示
クラウドサービスや外部委託を活用する際は、契約時にセキュリティ要件を明示し、委託範囲や責任分担(データ保存先や障害対応など)を明確に記載することが不可欠です。委託先のセキュリティ体制を事前に確認し、必要に応じて監査や評価を実施します。
さらに、教育委員会は外部委託ガイドラインを策定し、学校がベンダーと契約する際の判断基準や参考資料として活用できる体制を整え、全体の安全性向上を図ります。
実務で求められるセキュリティ対策
教育情報セキュリティポリシーに関するガイドラインでは、「第2編 教育情報セキュリティ対策基準(例文・解説)」内で「4分類に分けた対策」が紹介されています。ここでは、そのひとつひとつを紹介します。
①物理的なセキュリティ対策
ガイドラインでは、情報資産を物理的脅威から守るための対策が示されています。
サーバーや機器は冗長化・定期保守を行い、廃棄時は物理破壊やデータ消去を徹底します。管理区域では鍵・監視・警報による入退室管理や災害対策を実施します。
また、通信機器や端末には暗号化、多要素認証、マルウェア対策、学習者端末にはWebフィルタリングやMDM管理を適用するよう明記されています。
②人的なセキュリティ対策
ガイドラインは、教職員・児童生徒の行動や組織の教育体制についても明確化しています。
教職員は施錠や離席時ロック、パスワード管理、私物端末利用禁止などを徹底するよう明文化しています。また、児童生徒にはID秘匿や端末の適切な取扱いを指導するよう記載されています。
さらに、CISO(最高情報セキュリティ責任者)主導で定期的な研修や演習を行い、全職員の対策実行力を高める体制を整備することも重要です。
③技術的なセキュリティ対策
安全なIT運用には多層的な技術対策が必要です。サーバー管理、アクセス制御、データ暗号化、バックアップ、ログ分析、不正侵入検知などのセキュリティツールの活用を徹底します。
また、ネットワーク分離や無線LAN暗号化、端末認証による不正接続防止も重要です。合わせて、不正プログラムやDDoS、改ざん防止のため、ゲートウェイチェックや不要サービスの無効化など多角的な防御を実施することも推奨されています。
④SaaS型クラウドサービスのセキュリティ対策
教育機関がSaaS型クラウドサービスを導入する際は、教育委員会が事前に利用者認証や多要素認証、暗号化、アクセス制御の有無を確認することが明記されています。さらに、物理的セキュリティやログ管理、事業者の体制・信頼性評価、サービス終了時のデータ廃棄方法も重要です。
そのため、教職員はID・パスワードの適切な管理や校務・学習データの混在リスクへの理解と対策が必要です。
まとめ
ここでは、「教育情報セキュリティポリシーに関するガイドライン」の概要と最新の改定ポイントについて紹介しました。
教育委員会や学校が情報セキュリティを確保するためには、基本方針・対策基準・実施手順の三層構造を理解し、物理的・人的・技術的な対策やクラウドサービスの安全利用を徹底することが不可欠です。最新動向を踏まえた運用改善と継続的な見直しにより、教育現場の安全性と信頼性を高めることができます。