教員育成のためのモジュール型コア教材 「ICT活用編」

学校の情報危機管理

危機にさらされている学校と情報

1.
評価データの多角利用

情報セキュリティポリシーの目的 (4分54秒)

ポイント

  • 何の為に情報セキュリティを講じるか

【解説】

情報を扱うことの目的は、組織内に置かれている情報システムや情報システムを使って作成・蓄積された情報を、健全かつ正確に運用することです。そのため、情報セキュリティの目的は、機密性・完全性・可用性の三つで構成されると考えられます。

  • 機密性(Confidentiality):
    アクセス権を持つ者だけが情報にアクセスできることを確実にすること
  • 完全性(Integrity):
    情報および処理方法が正確であること、及び完全であることを保証すること
  • 可用性(Availability):
    認可された利用者が、必要なときに情報及び関連する資源にアクセスできることを確実にすること

ゴール

  • 情報セキュリティの目的とすることを理解する


2.
セキュリティ確保の学校組織体制と情報資産分類

セキュリティ確保の学校組織体制と学校の情報資産 (2分07秒)

ポイント

  • 学校におけるセキュリティ確保の体制

【解説】

学校を挙げて個人情報の安全管理に取り組むには、全ての教職員が個人情報を保護しつつ活用するための組織的な仕組みが必要になります。

「誰がどのような役割と責任・権限を持つか」、「どのような方法・手順で個人情報を保護しつつ情報を運用していくか」を明確にしなければなりません。そのためには、「情報セキュリティ委員会」を作り、組織体制を明確にするとともに、委員会で行なうべき内容についても決めておかなくてはなりません。

「情報資産目録」とは、学校において守らなければならない情報資産の目録のことです。学校にある個人情報の取り扱いについては、学校で統一的な方針を定めることが必要です。そこに記載されている内容や保存形態、誰が管理するか、公開するか、公開するとしたらどの範囲で公開するか、等々についても学校単位で決定しなければなりません。それらの事柄を一瞥できるような目録の作成が、情報セキュリティの第一歩です。

  • 守るべき情報資産に損害をもたらす原因を「脅威」
  • 脅威を呼び込むセキュリティ上の弱点を「脆弱性」
  • 脅威が脆弱性につけこんで、情報資産に損害をもたらす可能性を「リスク」

リスクを最小にするための対応策が必要になります。

標準的な学校における脅威・脆弱性・対応策を考えましょう。

ゴール

  • セキュリティ確保のために学校で行うべきことを理解する


3.
学校での人的セキュリティ対策

学校での人的セキュリティ対策 (1分10秒)

ポイント

  • 情報システムに携わるすべての人が心得る事柄

【解説】

職員は、定められた業務の範囲内で情報システムを使用します。また、個人データの取扱いは、その権限を与えられた者のみが校務の遂行上、必要な限りにおいて行なうようにします。

職員は職務上知りえた個人情報をみだりに第三者に知らせたり、または不正な目的に使用したりしてなりません。その業務にかかる職から退いた後も同様です。

外部の人が個人情報にアクセスすることは原則的に禁止です。どうしても必要、という場合には校長の許可を求めるようにしましょう。情報システムの追加・変更・保守等を外部事業者に委託する場合は、情報セキュリティポリシーのうち外部委託事業者が守るべき内容の遵守及びその守秘義務を明記した契約を締結し、その遵守を管理しなければなりません。

また、情報セキュリティポリシーを全職員に徹底するために、役割に応じた啓発や研修を行なう事が必要です。

ゴール

  • 情報システムにアクセスする人の制限と心構えを理解する


4.
学校での物理的セキュリティ対策

学校での物理的セキュリティ対策 (1分13秒)

ポイント

  • 情報の保管場所などの管理

【解説】

物理的セキュリティとは、情報システム(コンピュータ)の設置場所と電源・配線の確保、搬入・搬出、設置、記録媒体の保管場所と処分に関するセキュリティです。

情報システムの設置及び保管場所について、学校は、情報処理設備を含む領域を保護するためにいくつかの「セキュリティ境界」(例:外壁、カードで制御した入口、有人の受付、等)を設置することが必要です。そこには認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によってセキュリティの保たれた領域を保護しましょう。

ゴール

  • 様々な可能性を想像して対策を立てられるようになる


5.
学校での運用管理的セキュリティ対策

学校での運用管理的セキュリティ対策 (1分05秒)

ポイント

  • 運用面での対策

【解説】

情報システムの運用に関する取り決めです。情報セキュリティ委員会は、情報システムの運用にあたって、情報システムの仕様書やセキュリティ確保のための操作手順書、システム変更に関する記述などの文章を作成し保管します。また、それらの書類は業務上必要とする者のみが閲覧できる場所に保管します。

情報システムにおいて行ったシステムの変更作業を記録し、その際の設定・構成等の履歴を記録・保存するなど適切に管理し、必要な場合には復旧できるようにしなければなりません。情報システムのソフトウェアを追加・変更する場合は、ソフトウェアの仕様書等を整備しなければなりません。こうして、情報システムの仕様書等は常に最新の状態にしなければなりません。システムの仕様変更等の処理を行った場合も、速やかにその記録を作成しなければなりません。

ゴール

  • 運用面での取り決めの重要性を理解する


6.
学校での技術的セキュリティ対策

学校での技術的セキュリティ対策 (3分37秒)

ポイント

  • 技術面での対策

【解説】

情報システムのセキュリティに関する技術的対応です。

情報システムにソフトウェアを追加・変更する場合は、既に稼動している情報システムに接続する前に十分な試験を行う必要があります。

情報システムで扱われる校務情報に関しては、取り出し可能な記録媒体へバックアップを取り、施錠等のできる安全な場所へ保管しなければなりません。

インターネット等の外部ネットワークとの接続に際しては、ネットワーク構成、機器構成及び情報セキュリティレベル等を詳細に検討し、学校の情報資産に影響が生じないことを確認したうえで、情報管理者の許可に基づき接続しなければなりません。また、外部ネットワークとの接続を行うことでネットワークの安全性が脅かされることの無いようにセキュリティ対策に努める必要があります。接続した外部のネットワークの情報セキュリティに問題が認められた場合には、速やかに当該ネットワークを物理的に遮断しなければなりません。

ゴール

  • 技術的対策の考え方を理解できる