近年、教育の現場はGIGAスクール構想の進展などにより、デジタル化が進んでいます。児童生徒それぞれに端末が配られ、クラウドサービスやオンライン学習、校務のDX(デジタル・トランスフォーメーション)が日常化しています。
それに伴い、「誰が」「どのような情報を」「どこで」「どのように」扱うかが従来以上に複雑になり、情報漏洩や不正アクセス、端末管理の不備などのリスクも高まっています。特に学校では、児童生徒の個人情報や成績、学習履歴、教職員の校務データなどの機微な情報を多く扱うため、各学校に特化した情報セキュリティの枠組みが必要とされます。
こうした背景から、主に地方公共団体が設置する学校向けの情報セキュリティポリシーの策定や見直しの参考文書として、2017年10月に「教育情報セキュリティポリシーに関するガイドライン」(以下、ガイドライン)が文部科学省にて策定されています。直近では、2025年3月に改訂されており、教育現場でのクラウド活用の広がりを踏まえた見直しが行われています。
この記事では、当ガイドラインの内容をベースに、教育現場における情報セキュリティ対策のポイントをご紹介します。
1. ガイドライン策定の背景と目的
学校では、児童生徒とその保護者に関する個人情報や学習記録など、機微な情報が多く、学習活動や成績処理等の校務など多目的に活用されているため、情報の多様性・多目的性を考慮したセキュリティ対策が求められます。加えて、セキュリティリテラシーが十分でない児童生徒の存在も考慮する必要があります。そのため、学校内の方針・体制・対策等を包括する「教育情報セキュリティポリシー」を定め、情報セキュリティ対策を推進することが重要となっています。
こうした背景から、文部科学省は2017年10月に、地方公共団体が設置する学校を対象としたポリシーの策定・見直しの参考となるガイドラインを策定しました。ガイドラインは、児童生徒の存在を考慮した情報セキュリティ対策や、取り扱う情報資産の分類方法など、教育現場の実情に即した基準を示しています。
ガイドラインの主な対象は地方公共団体が設置する学校(小学校、中学校、義務教育学校、高等学校、中等教育学校、特別支援学校)ですが、国立・私立学校など、ほぼ全ての教育機関で活用できる内容となっています。
2. 教育情報セキュリティポリシーの策定について
教育情報セキュリティポリシーの構成
学校における情報セキュリティポリシーの体系は図1の構造となっており、情報セキュリティ対策における基本的な考え方となる「基本方針」と、基本方針に基づき情報セキュリティ対策の基準を示す「対策基準」を総称して「教育情報セキュリティポリシー」と言います。
図1:教育情報セキュリティポリシーに関する体系図
※出典:教育情報セキュリティポリシーに関するガイドライン(令和7年3月)
本ガイドラインでは、学校を対象とした「対策基準」の作成について規定されており、本稿でも対策基準策定におけるポイントにフォーカスしています。なお、対策基準の上位方針である「基本方針」については、総務省が定める「地方公共団体における情報セキュリティポリシーに関するガイドライン」に基づき、教育委員会及び各学校を管轄している自治体が別途策定する必要があります。
対策基準策定のポイント
教育委員会・学校が対策基準を策定するにあたり、より重要となるポイントについて解説します。
1. 情報資産の分類と管理
学校内で扱う情報資産を重要度に応じて分類し、それに合った管理体系を定めることが求められています。分類が不適切な場合、重要な情報が相応に管理されず、不正アクセスによる漏えいや改ざん等のリスクが高まります。
情報資産は、一般的に機密性・完全性・可用性の3つの観点で分類されますが、学校現場では取り扱う情報が多く、3次元での分類が難しいため、これらを1次元に単純化した「重要性分類」(図2)で管理することが推奨されています。
■分類の目安
【重要性分類Ⅰ・Ⅱ】
児童生徒や家庭に関する情報、健康・指導・成績・進路に関する機微な情報。アクセスは教職員や教育委員会のみに限定し、児童生徒や保護者に許可する場合も本人の情報のみとする。機密性を有さず不特定多数によるアクセスを前提とした情報資産であっても、完全性・可用性の観点を踏まえて分類・管理する必要がある。
図2:情報資産の分類基準の例
| 重要性 分類 |
各情報資産にアクセスする主体 | ||
|---|---|---|---|
| 教職員等・ 教育委員会 |
教職員等・教育委員会・ 児童生徒・保護者 |
不特定多数 | |
| I | 業務に係る特定の教職員等・教育委員会のみがアクセスすることが想定される情報 | 業務に係る特定の教職員等・教育委員会に加えて、児童生徒またはその保護者がアクセスする場合、児童生徒本人の情報のみにアクセスすることが想定される、要配慮個人情報等を含む情報 | |
| II | 業務に係る教職員等・教育委員会のみがアクセスすることが想定される情報 | 業務に係る教職員等・教育委員会に加えて、児童生徒またはその保護者がアクセスする場合、児童生徒本人の情報のみにアクセスすることが想定される、要配慮個人情報等を含まない情報 | |
| III | 教職員等全員・教育委員会がアクセスすることが想定される情報 | 教職員等全員・教育委員会に加えて、児童生徒及び保護者がアクセスすることが想定される情報 | |
| IV | 教職員等全員・教育委員会がアクセスすることが想定される、III以上を除く情報 | 教職員等全員・教育委員会に加えて、児童生徒及び保護者がアクセスすることが想定される情報 | 不特定多数に公開することが想定される情報 |
■実務上の運用
- 情報資産に重要性分類の明示(ラベリング)を実施し、ライフサイクル(作成・入手・利用・保管・外部持ち出し・廃棄)ごとに管理方法を定める。
(例)情報作成・入手時に分類を行い、その分類に応じて利用・保管・持ち出し・廃棄を行う - 外部から入手する情報のみでなく、授業の成果物(ワークシートや答案用紙など)も分類の対象とし、日常の授業・学校活動でどのような情報資産が作成されるか洗い出して分類・管理する必要がある。
2. アクセス制御・認証管理
情報資産への不正アクセス防止のため、教職員や児童生徒が利用する情報システムに対し、適切なアクセス制御と認証機能の実装・管理が必要になります。
■アクセス権限の管理
- 情報資産へのアクセスは「最小権限」を原則に、教職員は職務上必要な範囲のみ、児童生徒・保護者は児童生徒本人に関する情報のみアクセス可能とする。
- アクセス権限が適切な設定になっているか、定期的に棚卸(見直し)を実施する。
■認証の方針
- パスワードだけではなく、所有物認証・生体認証を組み合わせた多要素認証が推奨されている。
- 特にクラウドサービス上で【重要性分類Ⅱ以上】の情報資産を扱う場合は、多要素認証の実装が必須。
■児童生徒・保護者向けの対応
- 本人情報のみへのアクセスを想定とする場合はID・パスワードのみの認証も許容されるが、以下の対策を実施することが前提となる。
パスワードの秘匿管理の徹底、複数回のパスワード誤入力によるアカウントロック(ロックアウト機能)の有効化、パスワードの複雑性の確保
3. クラウドサービス利用における情報セキュリティ対策
近年、児童生徒の学習や校務におけるクラウド活用が広がり、パブリッククラウド上で重要情報を扱うケースが増えています。インターネット経由で教職員や児童生徒がアクセスするため、前述の多要素認証に加え、通信の暗号化や不正アクセスの検知・遮断技術の活用など、いわゆるゼロトラストの観点に基づく対策の実装が推奨されます。
図3:強固なアクセス制御に関わる要素技術の例
| ①アクセスの真正性に関する要素技術 | ||
|---|---|---|
| ①-1 | 多要素認証 | 知識認証(ID及びパスワード等)、生体認証(指紋、静脈、顔、声紋等)、物理認証(ICカード、USBトークン、トークン型ワンタイムパスワード等)のうち、異なる認証方式2要素以上を組み合わせる認証方法。なりすましや不正アクセスを防ぐ。
※強固なアクセス制御の基礎となるセキュリティ対策を講じるに当たっては、学校環境の実態や特徴を踏まえ、端末の電子証明書等を用いた端末認証と、知識認証・生体認証のいずれかを組み合わせて利用者認証を行うことが考えられる。 |
| ①-2 | リスクベース認証 | 端末のIPアドレスや位置情報、使用されているWebブラウザ、アクセス時間が通常と異なる等の際にリスクを判定し、追加の認証を求める認証方法。なりすましや不正アクセスを防ぐ。 |
| ①-3 | シングルサインオン(SSO) | 一度の認証で複数のシステムへのアクセスが可能となる仕組み。利便性を向上させるとともに、認証の煩雑化によるセキュリティリスクの低減を図る。 |
| ②端末・サーバ・通信の安全性に関する要素技術 | ||
| ②-1 | 通信の暗号化 | 通信又は通信経路を暗号化し保護すること。第三者から通信内容を盗み見られることを防ぐ。 |
| ②-2 | Webフィルタリング | インターネットの特定のコンテンツやWebサイトへのアクセスを制限する機能。セキュリティリスクの高いWebサイトへのアクセスを防ぐ。 |
| ②-3 | モバイル端末管理(MDM) | 端末を一元的に監視・管理する機能。端末のアップデートや各種セキュリティ設定を一元的に管理することで、端末毎のセキュリティに関する設定の違いによるセキュリティホールの発生を防ぐとともに、紛失・盗難等の際に遠隔でデータ消去を行い情報漏洩を防ぐ。 |
| ②-4 | アンチウイルス | コンピュータウイルスやマルウェア感染への対策。既知のパターンファイル(マルウェア情報)からのマルウェア検知・駆除や、不審な挙動をするプログラムの検知(ふるまい検知)・駆除等を行う。 |
| ②-5 | データ暗号化 | 元データを変換し、第三者が簡単にデータの内容を解読できない状態にすること。アクセス権限が無い者の情報へのアクセスを制限する。 |
| ②-6 | 不正なアクセスを検知・遮断する技術 | 不正な通信を検知し、アクセスを遮断する等の制御を行う。
※不正なアクセスの検知(IDS)または遮断(IPS)による対策、エンドポイント対策(EDR等)、インターネットと繋がっているサーバ(Webサーバ)への外部からの攻撃を検知・防御する対策(WAF)、ネットワークセキュリティを統合したクラウドサービスであるSASE等の活用が考えられる。 |
図4:強固なアクセス制御による対策(イメージ図)
 |
(※1)
学習系システムにおいて、児童生徒の情報がまとまったデータを扱う領域(学級/学年/学校に属する児童生徒全員の名簿や、学級/学年/学校に属する児童生徒全員の学習プリント等)。
(※2)
児童生徒本人またはその保護者が、当該児童生徒に関する重要性分類Ⅱ以上の情報資産のみにアクセスすることを想定したデータを扱う領域(健康診断票、通知表、定期考査・テスト等の採点結果等)。
多要素認証を設定することが望ましいものの、パスワードの秘密管理の徹底、複数回誤ったパスワードを入力した際のロック機能の有効化、パスワードの複雑性の確保等により本人確認を厳格に行う前提で、ID及びパスワードでの認証を許容する。
(※3)
特に重要性の高い情報については閲覧可能な場所を学校内等に限定することも考えられる。
※出典:教育情報セキュリティポリシーハンドブック(令和7年3月)
SaaS型クラウドサービスは、利用者側が契約内容を柔軟に変更できない点に注意が必要です。サービス選定にあたっては、次の観点で「サービス提供事業者の情報セキュリティ対策が自組織の要求レベルを満たしているか」を十分に確認・検討してください。
- システムへのアクセス制御やデータの暗号化などの対策実施状況(図5を参照)
- サービス提供者のセキュリティポリシーや運用体制(図6を参照)
図5:クラウド事業者のセキュリティ対策状況に関する確認事項の例
| 教育委員会等がクラウド事業者に対して適切な対応が行われているかを確認すべき内容(例) |
|---|
|
(1)利用者認証(2)アクセス制御(3)クラウドに保管するデータの暗号化(4)マルチテナント環境におけるテナント間の安全な管理(5)クラウドサービスを提供する情報システムに対する外部からの悪意のある脅威の侵入を想定した技術的セキュリティ対策(6)情報の通信経路のセキュリティ確保(7)クラウドサービスを提供する情報システムの物理的セキュリティ対策(8)クラウドサービスを提供する情報システムの運用管理(9)クラウドサービスを提供する情報システムのマルウェア対策(10)クラウド利用者側のセキュリティ確保(11)クラウド事業者従業員の人的セキュリティ対策(12)データの廃棄等(13)クラウドサービス要件基準を満たす配慮を含めたネットワーク設計 |
図6:クラウド事業者のポリシー、体制に関する確認事項の例
| 教育委員会等がクラウド事業者に対して適切なポリシー、 体制等が講じられているかを確認すべき事項(例) |
|---|
|
(1)守秘義務、目的外利用及び第三者への提供の禁止(2)準拠する法令、情報セキュリティポリシー等の確認(3)クラウド事業者の管理体制(4)クラウド事業者従業員への教育(5)情報セキュリティに関する役割の範囲、責任分界点(6)監査(7)情報インシデント管理及び対応フローの合意(8)クラウドサービスの提供水準及び品質保証(9)クラウド事業者の再委託先等との合意事項(10)その他留意事項 ・企業存続リスク、一方的なサービス停止リスクについて、クラウド利用者の業務継続計画との整合性・サービス解約時のデータ返却方式や費用等、事業者を変更する際のデータ移行に関する条件・クラウドサービスにおいて扱う情報や情報システム等の準拠法・裁判管轄・個人情報の取扱いに関する事項 |
4. 人的セキュリティ対策
情報セキュリティを制度として継続運用できるよう、責任体制の明確化、定期的な自己点検・監査、インシデント対応手順の整備、教職員への研修や教育(リテラシー向上)の実施が求められます。情報セキュリティに関する権限・責任を持つ担当者を明確にし、組織体制を整備することが重要です。
図7:各責任者と役割
| 責任者等 | 役割 |
|---|---|
| 最高情報セキュリティ責任者 (CISO: Chief Information Security Officer) |
首長部局と共通して設置され、副市長等が担うことを想定。地方公共団体における全ての教育ネットワーク、情報システム等の情報資産の管理や情報セキュリティに関する権限及び責任を有する。 |
| 最高情報統括責任者 (CIO: Chief Information Officer) |
首長部局と共通して設置され、副市長等が担うことを想定。情報通信技術の活用による住民の利便性の向上及び行政運営改善等に関するものを統括する。 |
| 統括教育情報セキュリティ責任者 | 教育長、副教育長又は教育委員会に所属するCIO補佐官等が担うことを想定。CISOを補佐する役割であり、地方公共団体の全ての教育ネットワークにおける開発、設定の変更、運用、見直し等の権限及び責任を有するほか、情報セキュリティ対策に関する権限及び責任を有する。また、情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。 緊急時等の円滑な情報共有のために関係者の緊急連絡網を整備し、情報セキュリティインシデント発生時等には中心となって被害の拡大防止、事態の回復のための対策実施、再発防止策の検討を行う。 |
| 教育情報セキュリティ責任者 | 教育委員会の情報セキュリティ担当部局の課室長が担うことを想定。教育情報セキュリティ対策に関する権限及び責任を有し、地方公共団体が所有している教育情報システムの開発、設定の変更、運用、見直し等を行う際の情報セキュリティに関する統括的な権限及び責任を有する。 緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び教職員等に対する教育、訓練、助言及び指示を行う。 |
| 教育情報システム管理者 | 教育委員会の情報システム担当課の課室長が担うことを想定。個々の教育情報システムの開発、設定の変更、運用、見直し等を行う権限及び責任を有するほか、所管する教育情報システムに対する情報セキュリティに関する権限及び責任を有する。 個々の教育情報システムに関する情報セキュリティ実施手順の維持・管理を行う。 |
| 教育情報システム担当者 | 教育委員会の情報システム担当課の職員。教育情報システム管理者の指示等に従い、教育情報システムの開発、設定の変更、運用、見直し等の作業を行う。 |
| 教育委員会事務局職員 | 教育情報セキュリティ責任者の指導の下、情報セキュリティを遵守する。 |
| 教育情報セキュリティ管理者 | 校長が担うことを想定。学校の情報セキュリティ対策に関する権限及び責任を有し、学校でセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、教育情報セキュリティ責任者、統括教育情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰ぐ。 |
| 教職員等 | 教育情報セキュリティ管理者の指導の下、情報セキュリティを遵守する。 |
また、教職員の不注意やルール違反(機密情報を含むUSBメモリ紛失等)を防止するために、定期的な研修・訓練を通じた情報セキュリティのリテラシー向上が求められます。運用状況の確認と改善にあたっては、以下も重要なポイントです。
- 定期的な情報セキュリティ監査や教育委員会・教職員等による対策の自己点検を実施する
- インシデント対応手順やポリシー類を見直し、必要な改善を行う
- これにより、対策の有効性や見直しの必要性を確認する
最終的に、関係者全員が高いセキュリティ意識を持ってルールを遵守することが、セキュリティインシデントの抑制につながります。
3. まとめ
ここまで、「教育情報セキュリティポリシーに関するガイドライン」のポイントを説明してきました。一般企業の情報セキュリティ対策と共通する点も多い一方で、重要性分類の考え方や児童生徒・保護者のアクセス制御など、教育現場特有の配慮が示されており、一般的なセキュリティ対策だけでは対応しきれない側面があります。
学習・校務のIT化による利便性向上と同時に、児童生徒に関する情報保護の重要性が高まっています。本ガイドラインを参考に、教育委員会や各学校現場は自組織に適した対策基準を策定し、実運用に落とし込むことが求められます。
文部科学省の調査「GIGAスクール構想の下での校務DXチェックリスト ~学校・学校設置者の自己点検結果~〔確定値〕」によれば、2025年3月時点で情報セキュリティポリシーを定めている教育委員会は、調査対象の半数程度に留まっています。背景は明示されていないものの、現場職員の情報セキュリティに関する知見・経験不足が一因と推察されます。そうしたなかで、この記事がポリシー策定に向けた一助となれば幸いです。
ユービーセキュアでは、経験豊富なコンサルタントが本ガイドラインに基づく対策基準の策定や運用プロセスの整備を支援しています。情報セキュリティに関するお悩みなどをご相談いただける無料相談会も開催しているので、ぜひお気軽にご相談いただければと思います。
