1―1

佐呂間町教育委員会では、文部科学省の「情報教育セキュリティポリシーに関するガイドライン(令和7年3月)」に基づき、町立学校における情報セキュリティの確保を図るため、実施手順を作成する。

本町は人口4,600人の小規模自治体であり、小学校2校、中学校1校を設置している。北海道最大の湖であるサロマ湖を有する農漁業地域という地域特性を活かしながら、GIGAスクール構想の推進により児童生徒1人1台端末環境が整備され、ICTを利活用した教育活動が展開されている。

学校が取り扱う情報には、児童生徒の個人情報、成績情報、指導要録等の機微な情報が多数含まれており、これらの情報資産を適切に保護し、安全・安心な教育環境を実現することが不可欠である。

1―2　適用範囲

本実施手順は、以下を適用範囲とする。

(1)　対象範囲

①佐呂間町教育委員会

②佐呂間小学校

③若佐小学校

④佐呂間中学校

(2)　対象者

①教育委員会職員

②各学校の教職員(校長、教頭、教諭、養護教諭、事務職員等)

③非常勤職員、臨時職員

④外部委託事業者

⑤児童生徒(セキュリティルール遵守に関して)

(3)　対象情報資産

①校務系情報(成績、出欠、指導要録、教職員の個人情報等)

②校務外部接続系情報(保護者メール等)

③学習系情報(児童生徒の作品、学習履歴等)

④関連文書(システム仕様書、ネットワーク図等)

1―3　基本理念

佐呂間町の教育情報セキュリティ対策は、以下の基本理念に基づいて実施する。

(1)　機密性の確保

権限の無い者による情報への不正なアクセスを防止し、情報の機密性を確保する。

(2)　完全性の維持

情報の改ざん、破壊、消去を防止し、情報の正確性と信頼性を維持する。

(3)　可用性の保証

必要な時に情報にアクセスできる環境を維持し、教育活動の継続性を保証する。

(4)　教育活動の促進

セキュリティ対策により教育活動を阻害することなく、ICTを活用した効果的な教育の実現を支援する。

方針策定体制の決定

1―1　組織体制の構築

教育情報セキュリティポリシーの策定・運用において、以下の組織体制を構築する。

(1)　佐呂間町情報セキュリティ委員会

町全体の情報セキュリティ対策を統括する組織として、教育分野を含む情報セキュリティ施策の方針決定を行う。

(2)　教育情報セキュリティ策定委員会

教育分野に特化した情報セキュリティポリシーの策定・見直しを行う。

2―2　役割と責任

(1)　最高情報セキュリティ責任者(CISO)

副町長を最高情報セキュリティ責任者とし、教育分野を含む町全体の情報セキュリティに関する最終責任を負う。

(2)　統括教育情報セキュリティ責任者

教育長を統括教育情報セキュリティ責任者とし、教育分野の情報セキュリティ対策全般を統括する。

①教育情報セキュリティポリシーの策定・見直しの統括

②各学校への指導・助言

③緊急時対応の統括

④年次評価の実施

(3)　教育情報セキュリティ責任者

管理課長を教育情報セキュリティ責任者とし、実務レベルでの統括管理を行う。

(4)　学校情報セキュリティ管理者

各学校の校長を学校情報セキュリティ管理者とし、当該学校における情報セキュリティ対策の責任を負う。

①学校実施手順の策定

②教職員への指導・教育

③日常的な管理・監督

④インシデント発生時の初期対応

2―3　策定プロセス

教育情報セキュリティポリシーの策定は、以下のプロセスに従って実施する。

(1)　現状調査・分析

既存の情報資産、システム構成、運用状況の把握

(2)　リスクアセスメント

脅威と脆弱性の特定、リスクレベルの評価

(3)　対策方針の検討

リスクに応じた対策の検討と優先順位の決定

(4)　ドラフト作成

基本方針と対策基準のドラフト作成

(5)　関係者協議

学校現場。外部専門家との協議・調整

(6)　パブリックコメント

必要に応じて町民からの意見聴取

(7)　最終案決定

策定委員会での最終審議と決定

(8)　正式策定

教育委員会での正式決定と公表

情報資産の洗い出しとリスク分析

3―1　情報資産の分類

佐呂間町の教育機関が保有する情報資産を以下のとおり分類し、それぞれの重要度と取扱いレベルを定める。

(1)　校務系情報

(2)　校務外部接続系情報

(3)　学習系情報

3―2　リスク分析の実施

情報資産に対する脅威を特定し、発生可能性と影響度を評価してリスクレベルを決定する。

(1)　脅威の特定

①外部からの脅威

サイバー攻撃、不正アクセス、マルウェア感染

②内部からの脅威

内部不正、操作ミス、管理不備

③物理的脅威

機器の盗難・紛失、自然災害、停電

④技術的脅威

システム障害、ソフトウェアの脆弱性

(2)　脆弱性の評価

①技術的脆弱性

システムの設定不備、セキュリティパック未適用

②物理的脆弱性

入退室管理の不備、機器の無施錠管理

③人的脆弱性

セキュリティ意識の不足、教育訓練の不備

④運用的脆弱性

手順の不備、チェック体制の不備

(3)　リスクレベルの評価

3―3　脅威と脆弱性の評価

佐呂間町の地域特性を考慮した脅威と脆弱性の評価を行う

(1)　地域特性を踏まえた脅威

①財政的制約もあり、施設の有人警備、監視カメラ設置や入退室管理は困難

②小規模自治体のため、情報セキュリティ専門人材が限定的

③冬季停電のリスク、通信回線の障害リスク

④人口減少に伴う外部委託依存度の高まり

(2)　対応する脆弱性対策

①外部専門機関との連携体制の構築

②機器の適切な保守管理と更新計画

③BCP(事業継続計画)の策定と訓練

④委託事業者の適切な選定と管理

対策基準の策定

4―1　対策基準の構成

リスク分析の結果を踏まえ、以下の領域において対策基準を策定する。

(1)　組織的対策

①組織体制と責任分担の明確化

②規程・手順の整備

③教育・研修体制の確立

④委託管理の強化

(2)　人的対策

①職員等の遵守事項

②アクセス権限の管理

③研修・啓発活動

④違反時の対応

(3)　物理的対策

①サーバ・ネットワーク機器の物理的保護

②端末・記録媒体の管理

③機器の廃棄・リース返却時の対応

(4)　技術的対策

①アクセス制御

②ネットワークセキュリティ

③マルウェア対策

④ログ管理・監視

4―2　技術的セキュリティ対策

(1)　ネットワークセキュリティ

①ネットワーク分離：校務系、校務外部接続系、学習系の適切な分離

②ファイアウォール：不正アクセスの遮断

③無線LAN：WPA3による暗号化、不正アクセス防止

④通信の暗号化：重要なデータ通信の暗号化

(2)　端末セキュリティ

①ウイルス対策：リアルタイム検索、定期スキャン

②OS・ソフトウェア更新：セキュリティパッチの適用

③USBメモリ制御：不正な外部記録媒体の接続防止

④画面ロック：離席時の自動ロック設定

(3)　認証・アクセス制御

①アカウント管理：不要アカウントの削除、権限の定期見直し

②パスワード管理：強固なパスワードポリシーの運用

③特権アカウント：管理者権限の適切な運用

4―3　物理的・人的セキュリティ対策

(1)　物理的セキュリティ

①サーバ室管理：施錠管理

②端末管理：盗難防止対策、持出し管理

③文書管理：機密文書の適切な保管・廃棄

(2)　人的セキュリティ

①教育・研修：年1回以上のセキュリティ研修実施

②意識啓発：セキュリティ対応事例研修

③児童生徒教育：情報モラル・セキュリティ教育

④委託管理：委託事業者への適切な管理

(3)　運用管理

①監査・点検：年1回の内部監査実施

②インシデント対応：迅速な報告・対応体制

③バックアップ：定期的なデータバックアップ

④BCP：災害時の業務継続計画

実施・点検・改善のPDCAサイクル

5―1　実施体制の確立

(1)　Plan(計画)

①年度計画の策定：年度始めにセキュリティ対策の実施計画を策定

②予算確保：必要な予算の確保と効果的な配分

③実施スケジュール：各対策の実施時期とマイルストーンの設定

④責任分担：各対策の実施責任者と協力者の明確化

(2)　Do(実行)

①技術的対策の実施：システム設定、ソフトウェア導入

②物理的対策の実施：設備改善、管理体制の強化

③教育・研修の実施：職員研修、児童生徒教育の実施

④手順の運用：策定した手順の確実な実行

5―2　点検・監査の実施

(1)　Check(評価・点検)

日常点検

①各学校における自己点検の実施

②システムログの定期確認

③インシデント発生状況の把握

④研修受講状況の確認

定期監査

①内部監査：年1回、教育委員会による各学校の監査

②外部監査：3年に1回、外部専門機関による監査

③システム監査：技術的対策の有効性確認

④運用監査：手順の遵守状況確認

評価指標

5―3　継続的改善

(1)　Action(改善)

①課題の特定：点検・監査結果から課題を抽出

②改善計画：課題解決のための改善計画策定

③対策の実施：改善計画に基づく対策の実施

④効果確認：改善効果の測定と評価

(2)　年次見直しサイクル

(3)　ポリシーの見直し基準

①法令・ガイドライン等の改正

②重大なセキュリティインシデントの発生

③システム構成の大幅な変更

④監査での重大な指摘事項

⑤新たな脅威・脆弱性の発見

附則