情報漏洩対策は情報資産の把握・分類から

情報漏洩媒体のおよそ半分が書類で、事故の種類は約半分が紛失・置き忘れというヒューマンエラー。その背景に先生たちの忙しさがあるとなれば、学校における情報セキュリティはデジタル化、DX化による紙減らしや業務の効率化が重要になると考えられるが、実際にはなかなか進んでいない。その原因はどこにあるのか。 「電子データを含む情報資産は、それぞれ『これは管理職しか見られないようにする』『これはカギをかけて保管する』といった分類を規定しなければ、きちんとしたセキュリティ対策は立てられません。しかし、日本教育情報化振興会の『第14回 教育用コンピュータ等に関するアンケート調査』報告書によると、文科省のセキュリティガイドラインに準じた情報資産の分類を行うよう規定し、各学校で分類が完了しているところは24.8％にとどまる一方、規定していないとの回答は43.5％あり、とくに自治体規模の小さな町・村で遅れが目立っています。 そもそも情報漏洩のセキュリティ対策をするには、まず使用している帳票を洗い出すことから始めなければいけませんが、自校がどれだけの帳票を持っているかを明確に把握している学校はそれほど多くないと思います。情報を守るためには、どんな情報がどこにあるのかを把握するところから始める必要があります」（井上氏） また、この「教育用コンピュータ等に関するアンケート調査」では、セキュリティ事故に備え教育委員会事務局内に統一的な窓口を設置し、報告ルールや対応手続きを定めているかを問う質問もあるが、定めているのは全体の39.1％にとどまる。つまり、事故発生時の体制もあまり整備されていないのが学校の現状で、こうした体制づくりもセキュリティの改善には重要になるだろう。 一方、デジタル化を進めるとサイバー攻撃やランサムウェア被害等、サイバーセキュリティは大丈夫かという懸念も生じる。確かにそうした事故を100％防げるかといえば難しく、一カ所に大量のデータを置いておけば事故が発生した際の被害も大きくなる。 しかし、デジタル化のメリット、デメリットを勘案すれば推進しない判断はあり得ない。デジタル化のメリットは利便性や業務効率の向上だけではなく、AI活用に見られるように蓄積したデータから有用な情報や知識が生み出されるようになっているからで、セキュリティは専門家の手を借りながら対策を行っていくことになろう。 「セキュリティはどれだけ費用をかけて、ガードレベルをどれだけ強くするかの問題が大きく、しっかりしたクラウドサービスを活用して管理を行い、二要素認証の導入など基本的な対策を徹底すれば、事故の危険性は大きく下げられます。何より、現状のセキュリティレベルよりはずっと改善されるでしょう。 今、紙でやり取りしているものはデジタル化を進め、従来なら自前のサーバーに置いて管理していたものはクラウドサービスに切り替える。システムのセキュリティはクラウド業者に一定の担保をしてもらい、個々の端末にはデータを一切置かない環境を作っていくことが、情報セキュリティの方向性として望ましいと思います」 （文:宮内健、注記のない写真:jat306 / PIXTA）