文部科学省は、2025年3月改訂版「教育情報セキュリティポリシーに関するガイドライン」を公表した。5度目の改訂となる今回は、情報資産の分類・仕分け・管理方法および、次世代校務DX環境への移行を進めるうえで必要なセキュリティ対策に関する記載を見直した。
「教育情報セキュリティポリシーに関するガイドライン」は、各教育委員会が教育情報セキュリティポリシーの策定や見直しを行う際の参考として、基本理念や検討する際の考え方を解説したもの。2017年10月に策定後、教育現場で必要とされる情報セキュリティ対策の変化にあわせて、随時改訂している。
今回は、GIGAスクール構想の進展により教育現場のクラウド活用が進んでいることなどを踏まえ、おもに「情報資産の分類・仕分け・管理方法」と「次世代校務DX環境への移行を進めるうえで必要となるセキュリティ対策に関する記載」の見直しを目的に改訂。
情報資産については、各重要性分類の考え方の解説を拡充したほか、教育委員会等や学校でより客観的で適切に分類できるよう、「重要性分類に基づく情報資産の例示」の分類をアクセスする主体に基づく内容へと見直した。また、児童生徒や保護者が重要性分類II以上の情報資産にアクセスする際の安全管理措置について加筆するなど変更。情報資産の分類・仕分け・管理方法がそれぞれ見直された。
次世代校務DX環境への移行を進めるうえで必要となるセキュリティ対策については、多要素認証による本人認証が望ましいものの、教育現場の実態や特徴を踏まえ、端末の電子証明書等を用いた端末認証と知識認証・生体認証のいずれかを組み合わせた認証も考えられる旨を記載。最新の知見や教育現場の実態に基づき、強固なアクセス制御に基づく要素技術について一部見直した。
このほか、所属する組織の承認を得ずに職員等がクラウドサービスを利用する「シャドーIT」についても加筆。シャドーITは監視が不十分になりやすく、セキュリティリスクが高まると懸念されるため、職員等がクラウドサービスを利用する場合の対策として、必ず申請を行い自組織が承認を行う運用が考えられることなどを追記した。
2025年3月改訂版「教育情報セキュリティポリシーに関するガイドライン」および、基本的な考え方とポイントを解説した「教育情報セキュリティポリシーハンドブック」、改訂説明資料は、文部科学省のWebサイトで公開している。
