学校・教育機関の情報漏えい対策に必須の「教育情報セキュリティポリシーに関するガイドライン」とは?
index
2025/3/7
学校・教育機関で起こる個人情報の漏えい事故が問題になっています。
紙の書類やデータ記憶媒体の管理、学習用端末や校務用端末の扱い方、ネットワークシステムの設定管理など、さまざまな場面で情報を取り扱うため、インシデントも多く発生します。
この記事では、学校・教育機関で起こる情報漏えいの傾向や特徴、有効なセキュリティ対策と参考となる「教育情報セキュリティポリシーに関するガイドライン」について、詳しく解説します。
学校・教育機関で増加する個人情報漏えい事故
まず、学校での個人情報漏えい事故は、どのような形でどれだけ発生しているのでしょうか。
教育ネットワーク情報セキュリティ推進委員会(ISEN)では、「学校・教育機関における個人情報漏えい事故の発生状況- 調査報告書 -」を毎年公表しています。これは学校や公的な教育機関などで発生した個人情報の紛失・漏えい事故を調査し、年度ごとに集計されるものです。
令和5年度(2023年度)第2版では、令和5年4月から令和6年3月末までに発生した情報セキュリティ事故について、以下の項目の調査結果をまとめています。
(参照)教育ネットワーク情報セキュリティ推進委員会(ISEN)「学校・教育機関における個人情報漏えい事故の発生状況- 調査報告書 -第2版」PDF
なお、報告書の内容は教職員向けの研修などで利用できます。学校・教育機関の関係者の方は、ISENのコンテンツ利用条件をご確認の上、ぜひご活用ください。
(調査項目)
- 令和5年度 事故発生件数・個人情報漏えい人数
- 事故発生件数・個人情報漏えい人数 過去19カ年の推移
- 令和5年度 個人情報漏えい人数別 事故発生件数
- 令和5年度 漏えい人数別・学校種別 事故発生件数
- 令和5年度 月別 事故発生件数
- 月別 事故発生件数 過去14カ年の平均値
- 令和5年度 発生場所別 事故発生比率
- 令和5年度 種類別 事故発生比率/li>
- 令和5年度 「紛失・置き忘れ」「盗難」の発生場所別 事故発生比率
- 令和5年度 車上荒らしによる事故発生比率
- 令和5年度 漏えい経路・媒体別 事故発生比率
- 令和5年度 漏えい経路・媒体別 個人情報漏えい人数
- 令和5年度 漏えい経路・媒体別 事故1件あたりの個人情報漏えい人数(平均値)
- 令和5年度 規定違反を伴う事故の発生比率
- 令和5年度 規定違反を伴う「紛失・置き忘れ」事故の発生比率
- 令和5年度 意図しない行為(行為ミス)による事故の発生比率
- 令和5年度 第三者の悪意ある行為による事故の発生比率
- 令和5年度 成績情報が含まれていた事故の発生比率
- 補足:事故の種類 分類名の解説
- 【参考資料】個人情報の不適切な取り扱いに係る処分について
この報告書と以下の記事を参考にしながら、学校・教育機関で起こりがちな個人情報漏えい事故の傾向や特徴についてご紹介します。
参考:JMCニュースリリース「教育ネットワーク情報セキュリティ推進委員会(ISEN)が、「令和5年度 学校・教育機関における個人情報漏えい事故の発生状況」調査報告書(第2版)を公表」
参考:東洋経済education×ICT「先生が多忙な4・7月に多発、学校の個人情報漏洩「約半分が紙の書類」原因の背景」
情報漏えい事故の発生比率
近年、毎年200件前後の個人情報漏えい事故が発生しており、2023年度の事故発生件数は231件でした。平均すると事故1件あたりで約612人の個人情報が漏えいしています。
ただし、この調査はあくまで学校や自治体が発表・公開した情報をもとに集計したデータなので、学校の情報漏えい事故すべてを網羅しているわけではありません。そのため、実際にはもっと多くの事故が発生しているものと推測できます。
月別の事故発生の傾向では、年度始めの4月と行事が重なる10月が最も多く、次いで学期末の7月と3月に事故が多く発生しています。
学校で情報漏えい事故が多く発生する月
| 月 | 主な学校行事 |
|---|---|
| 4月 | 年度始め |
| 5月 | |
| 6月 | |
| 7月 | 学期末・成績処理 |
| 8月 | 夏休み |
| 9月 | 学期末(二学期制) |
| 10月 | 運動会・文化祭 |
| 11月 | |
| 12月 | 学期末・成績処理 |
| 1月 | 入学試験 |
| 2月 | 入学試験 |
| 3月 | 学期末・成績処理 |
情報漏えいの原因
個人情報漏えい事故の原因は、その約半分が「紛失・置き忘れ」です。書類やUSBメモリ、パソコンなどを紛失したりどこかに置き忘れたりして、インシデントが発生しています。
次いで、個人情報の「誤公開」「誤送信」なども多く、これらのうっかりミスが全体のおよそ8割を占めています。
情報漏えいの経路
情報漏えいの経路・媒体としては、「書類」と「インターネットサービス・アプリ」が全体の約7割を占めています。以降は「電子メール」「USBメモリ」「パソコン」「システム・サーバ」などが続きます。
圧倒的に多いのが「書類」で、情報漏えい事故の約半分が紙の書類の管理が行き届かなかったことによります。そのため、DX化は必須です。ペーパーレス化で書類自体をなくし、デジタルデータでファイルをやり取りするように公務の在り方を見直す必要があるでしょう。
懲戒処分の推移
学校で情報漏えい事故があった場合、その責任は誰がどのように問われるのでしょうか。
文部科学省「公立学校教職員の人事行政状況調査」によると、個人情報の不適切な取り扱いにより、懲戒処分となる教職員の数が近年増加していることがわかります。
個人情報の不適切な取り扱いによる懲戒処分の推移
出典: 文部科学省「公立学校教職員の人事行政状況調査について」令和2年度〜5年度「その他の服務違反等に係る懲戒処分等の状況一覧(教育職員)」をもとに作成
学校でのセキュリティインシデントが増えていることを反映してか、この調査では令和2年度(2020年度)より「個人情報の不適切な取り扱いに係る処分について」という項目が新設されています。そして「免職」「停職」「減給」「戒告」「訓告等」の処分となった教員数とともに、「監督責任による訓告・戒告等」の実数も分かります。
ご覧のように、学校での個人情報の取り扱い問題で懲戒処分となる教職員数は増加している傾向にあります。令和5年度(2023年度)では懲戒処分は計630人、そのうち「監督責任による訓告・戒告等」は204人に上ります。
文部科学省「教育情報セキュリティポリシーに関するガイドライン」とは
さて、学校における情報漏えいのもっとも多い経路・媒体は紙の「書類」でしたが、次いで多いのは「インターネットサービス・アプリ」です。
近年は学校教育の現場で、パソコンや情報通信ネットワークなどを用いた学習活動が盛んに行われています。また、教職員の校務を支援するシステムの導入も推進されています。
すでにデジタル化・DX化がなされ、教育データの利活用が進む一方で、個人情報データの漏えいやシステムのセキュリティについてのあらたな課題が出てきています。こうした状況を受けて、文部科学省の指導により学校のICT化に向けた環境整備が進められています。その基本となるのが「教育情報セキュリティポリシーに関するガイドライン」です。
ここからは、このガイドラインについて、詳しく解説します。
参考:文部科学省「教育情報セキュリティポリシーに関するガイドライン」公表について」
学校のICT環境のセキュリティ整備
文部科学省「教育情報セキュリティポリシーに関するガイドライン」は、主に地方自治体が設置している小・中・高校でのICT環境におけるセキュリティの考え方をまとめています。
不正アクセスや情報流出、ITリテラシーの不足から起こるトラブルなど、セキュリティインシデントから教育現場を守ることを目的に策定されています。
具体的な内容は、以下の通りです。
文部科学省「教育情報セキュリティポリシーに関するガイドライン」の主な内容
| 対策基準 | 内容 |
|---|---|
| 1. 対象範囲及び用語説明 | |
| 2. 組織体制 | |
| 3. 情報資産の分類と管理方法 | 分類、管理 |
| 4. 物理的セキュリティ | サーバ、管理区域、通信回線・装置、教職員端末や記録媒体 |
| 5. 人的セキュリテイ | 管理者の措置事項、教職員・教育委員会の遵守事項、研修・訓練、インシデント連絡体制の整備 |
| 6. 技術的セキュリティ | コンピュータ及びネットワークの設定管理、アクセス制御、システム開発・導入・保守、不正プログラム対策、不正アクセス対策、セキュリティ情報の収集 |
| 7. 運用 | 情報システムの監視、ドキュメントの管理、ID・パスワードの管理、ポリシー遵守状況の確認・管理、専門家の支援体制、侵害時の対応、懲戒処分等 |
| 8. 外部委託 | |
| 9. SaaS型パブリッククラウドサービスの利用 | サービス利用における情報セキュリティ対策、ソーシャルメディアサービスの利用等 |
| 10. 評価・見直し | 監査、自己点検、ポリシー・規定の見直し |
出典: 文部科学省「教育情報セキュリティポリシーに関するガイドライン(令和6年1月)」PDFより抜粋
教育情報(デジタルデータ)の漏えいや紛失、不正アクセスによるサイバー攻撃などを防ぐためのさまざまな取り組みだけでなく、教育情報セキュリティポリシーの策定・見直しの実施を行うための例文も紹介されています。また、教職員だけではなく、児童・生徒が学習用端末を使用することも考慮した対策が盛り込まれています。
GIGAスクール構想が背景
文部科学省がガイドラインを策定した背景には、GIGAスクール構想をはじめとした教育機関のDX化があります。GIGAスクール構想は、全国の児童・生徒が1人1台の学習用端末をもち、個人にあった学びが得られるようにすることを目標としています。
コロナ禍によりクラウドサービスやオンライン授業が急速に普及し、学校教育の現場でICTの活用が進みました。一方で、情報漏えいなどのトラブルも起きており、個人情報への不正アクセスや、データ記録媒体の紛失、システムの運用ミスなども報告されています。教職員だけでなく、児童・生徒が使用している学習用端末により、インターネット上でのトラブルに巻き込まれる可能性もあります。
そのため、文部科学省の「教育情報セキュリティポリシーに関するガイドライン」では、児童・生徒が学習用端末を使用する際の注意点を示しています。児童・生徒が学校内外で端末を使用する際や、クラウドサービスを活用する際のID管理、児童・生徒が転出や卒業、退学などで移動する際のセキュリティ対策についても記述されています。
校務のクラウド化
以前であれば、校務のデジタル化はオンプレミス型のシステム環境を構築するのが一般的でしたが、昨今は学校向けの様々なクラウドサービスがあり利活用が進んでいます。デジタル化に当たっては多くのメリットがある一方で、セキュリティ上の懸念もあります。
多くの場合、リモート環境からデータにアクセスするには、VPN(Virtual Private Network:仮想私設網)に接続してインターネット経由でアクセスすることになります。しかし、このVPNの脆弱性を突いたサイバー攻撃が年々増加している傾向にあります。
ランサムウェア被害の感染経路
出典: 警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」p36ランサムウェアの被害に係る統計②「ランサムウェア被害にあった企業・団体等へのアンケート調査の回答結果(感染経路)」
警察庁が発表しているサイバー犯罪レポートによると、VPNの脆弱性を狙ったランサムウェアの感染路となる事例がもっとも多いと報告されています。
近年はクラウドサービスを活用し、授業や校務の効率化を図る取り組みが増えつつあり、文部科学省の「教育情報セキュリティポリシーに関するガイドライン」でも、SaasS型パブリッククラウドサービスの利用について詳しく解説しています。特にセキュリティに関しては「情報の通信経路のセキュリティ確保」について「暗号化等の保護措置は必須」とされていますが、これまで安全とされていたVPNだけではセキュリティが確保されなくなってきているのが現状です。
(参考)ゼロトラストネットワークアクセス(ZTNA)とVPNの違いとは? ―進む 脱VPN の背景、メリットも解説
校務用端末のセキュリティ対策
教職員が用いる校務用端末のセキュリティ対策も重要です。校務用端末を適切に管理し、盗難や紛失、情報漏えい、不正利用に対する防止策についてもガイドラインでは記述しています。
校務用端末の持ち出しや情報資産の不正使用に関する記述も「教職員等の遵守事項」として示されています。一方で、情報セキュリティ管理者の許可のもと必要最小限の範囲で持ち出しが可能とし、現場で柔軟に対応するよう改訂もなされています。
ガイドラインには基本方針や対策基準が策定されていますが、具体的な手順や運用ルールは各組織・各学校が定めたうえで実施することになっています。ICTによる生徒の向学心と教職員の働きやすさ、情報漏えいのセキュリティ対策を同時に進められるよう工夫し、努力していくことが大切です。
ゼロトラストによる次世代校務DX
前述した文部科学省のGIGAスクール構想では、次世代校務DXの解説書をまとめています。その中で、ゼロトラストの考え方に基づいたネットワークへの移行が提案されています。
「ゼロトラスト」は、ネットワークからアクセスするものを基本的に信用しないものとして、アクセスのたびに安全性を検証し、厳密に制御するという概念です。ゼロトラストネットワークアクセス(Zero Trust Network Access)とも呼ばれ、ZTNAもしくはZTAと略される場合もあります。
(参考)ゼロトラストネットワークアクセス(ZTNA)とは?背景やゼロトラストを実現する機能を解説
従来型のVPNでは、ネットワークへのアクセスする認証(ID・パスワードなど)があれば安全なものとして扱っています。しかし、VPNやソフトウェアの脆弱性が発見されても、専門人材がいないためアップデートできずにいるという場合も多いのが実情です。VPNの脆弱性から認証情報が漏えいすると、不正アクセスやサイバー攻撃に利用されるリスクがあります。
ZTNAは、アクセスがあるごとにユーザを評価し制御するため、VPNに比べて情報漏えいなどのリスクを抑制できるメリットがあります。
ゼロトラストセキュリティに関する要素技術
出典: 文部科学省「GIGAスクール構想の下での校務DXについて~教職員の働きやすさと教育活動の一層の高度化を目指して」(2023年3月公開)p17「いわゆるゼロトラストセキュリティに関する要素技術」PDF
学校・教育機関の情報漏えい対策は喫緊の課題です
学校や教育機関における情報セキュリティは、デジタル化やDX化によって、紙類の削減や公務を効率化することにつながります。また、学習用端末や校務端末の活用によって、学びの質の向上や教職員の働きやすさも得られます。
その一方で、集約されたデータへのアクセス手段としてのVPNの脆弱性を突いたサイバー攻撃による情報漏えいのリスクもあります。そのため、脱VPN化してゼロトラストセキュリティへの移行が望まれます。
IIJがご提供する「IIJ Safous(セーファス)ZTA」は、脱VPN化によりセキュリティリスクを解決するゼロトラストセキュリティを統合的に実現するサービスです。
- VPNからゼロトラストに移行することで、リモートアクセスのセキュリティを大幅に強化
- 高度なユーザー認証と権限管理機能を提供し、情報資産への安全なアクセスを実現
- PCにエージェントは不要、迅速な展開と利用開始を実現
学校や教育機関における校務のDX化をご検討なら、ぜひ参考にしてみてください。
サービスについてより詳しくは、下記からご参照ください。
IIJ Safous ZTA - ゼロトラスト・セキュリティに基づいたセキュアアクセスサービス
