2010.12.17
「個人情報を持ち出さないこと」を徹底する
1.減らない学校個人情報の漏えい
ISEN(教育ネットワーク情報セキュリティ推進委員会)が提供している
「情報セキュリティ事故ニュース」には、相変わらず学校の個人情報の漏えい事故が報告されている。
当サイトでは、今年度4月から現時点(9/30)までの6ヶ月間に47件の事故が報告されている。
平均すると毎月約8件の情報漏えいが起きていることになる。
そして、その数はいっこうに減らない。
これは、学校の個人情報の大切さについての意識が変化していないことを意味している。
事故の種類でみると、以下のようになっている。
(1) 紛失・置き忘れ 33件
(2) 盗難 12件
(3) Webなどの設定ミス 2件
そして、誤操作・誤送信、バグ・セキュリティホール、不正アクセス、内部不正行為による
事故は1件も報告されていない。
ここで、盗難に遭ったとなるとその人に同情しがちである。
しかし、車に置いている間に盗難に遭ったケースが5件、自宅での盗難が5件、置き引き、
ひったくりが各1件で、これらの事故は個人情報を持ち出さなければ起きなかった事故である。
(1)の紛失・置き忘れも持ち出さなければ問題が起きなかったので、
実に80%(45件中36件)は学校から個人情報を持ち出したために起きた事故である。
2.難しい情報セキュリティポリシー
情報セキュリティは昔から重要であったが、個人情報がデジタル化されるようになり、
インターネットの普及によって今までとは異なった状況になっている。
そのため、学校を含む市町村として、情報セキュリティポリシーを制定している。
そして、組織の情報資産をどのように保護しなければならないかを定めた「情報セキュリティ基本方針」と、
情報セキュリティを確保するために守らなければならない行為や判断などの基準を定めた
「情報セキュリティ対策基準」が策定されている。
また、情報セキュリティポリシーには含まれていない「情報セキュリティ実施手順」が定められており、
具体的な情報システムまたは業務において、どのような手順で対策基準の内容を実行するかを示している。
これらを読まれた方は誰でも感じることは、非常に難しいということである。
法律的な見地から厳密に記述されているためか、素人の私にはすぐには理解できない。
確かに、何か事故が起きたときには、これらに違反していることを示して処分をするには役立つ内容である。
しかし、学校関係者自身が扱う学校情報の具体的な内容から、理解しやすい形で示し、
自分は何を厳守する必要があるかをきちんと理解して行動しないと、学校情報の漏えい事故は減らないと思う。
前編で記述したように、「児童生徒の成績など、個人情報は持ち出さないこと」を徹底すれば、
80%の個人情報漏えい事故はなくなることを示している。
昔から、学校の先生は自宅へ資料などを持ち帰って、サービス残業をしてこられたが、
これだけ多くの情報漏えい事故が起きる時代の在り方を再考する時期ではないかと思う次第である。
清水先生
東京工業大学 監事(常勤)・名誉教授、(社)日本教育工学振興会(JAPET) 理事、
日本教育工学協会(JAET) 常任理事。
教育工学の権威の一人として知られ、工学的なアプローチからの
教育工学を主とする。専門は、教育工学、電磁波工学、弾性表面波工学。