■理解まちまち「情報セキュリティポリシー」
■責任者「1人」で負担多く
■セキュリティ対策費 5割以上が不足
平成15年10月に経済産業省が策定した「情報セキュリティ総合戦略」では、国民のセキュリティリテラシーの向上施策として「義務教育段階からのセキュリティリテラシー教育の実践」が求められている。これを受け、CECでは「情報セキュリティに係る現状調査」を行った。全国の小中高及び教員センターを対象として、50項目の質問と情報セキュリティ教育の質問、政策への意見などのアンケートを実施した。同調査は教育現場におけるセキュリティ上の課題及び将来の定点観測を可能とするための実態調査のあり方を明らかにする目的。調査期間 H16年2月〜3月 調査対象 全国小中高無作為206校配布・回収率48%。都道府県ならび政令指定都市教育センター59箇所配布、回収率69%。
■私物PC持ち込みは9割
■自宅でHP更新作業
■負担多く新規導入拒む
調査によると、学校のセキュリティポリシーは「公式に策定されており、周知されている」はわずか21%。「公式に作成されているが、周知されていない」20%、「検討・策定中」32%、未策定17%だった。インタビュー結果によると、「システム運用要綱」「学校ネットワーク利用規定」と呼ぶものを情報セキュリティポリシーとしてとらえている回答もあり、情報セキュリティポリシーとされているものが、パソコンやネットワークを対象とした限定的なもので、必ずしも情報セキュリティレベルを組織的に向上させていくためのものとはなっていない可能性が高い。
情報セキュリティポリシーまたはその付随文書などに、責任者や担当者の権限と責任が明記されている必要があるが、調査によると、学校の情報セキュリティに対する権限と責任は、不明確な状態であることが伺える。また、学校のネットワーク及びシステム管理業務を担当する教職員からは、学校の情報セキュリティに関する責任者の不在、あるいは責任者の存在が不明確であるとする回答を得ている。担当の教職員では、技術的な取り組みは行えても、組織的な取り組みに関しては情報セキュリティに関わる事件・事故といった緊急時への混乱に対応することは困難であり、平時においても学校長等が責任を負う必要がある。
学校のシステム管理担当者は、1名が28%、2名が45%で、合計73%が2名以下で実施しているという調査結果が出たが、ネットワーク及びシステム管理業務を担任と兼務している者が2名体制で行っている場合が多い。多くは1名で行っており、かつ児童・生徒への授業や部活動も兼務している。中には、自宅で学校のHP上のコンテンツ作成作業を行ったり、教育用コンピュータを持ち帰り、オペレーティングシステムの修正パッチ適用を自宅で実施しているケースもあった。情報セキュリティに関する十分な知識があるわけではないために、技術的な対策も十分に行えないとの要望もあがっている。
1名で校内ネットワーク及びシステム管理業務をしている場合、病気などの長期休暇時に速やかなトラブル対応を行えないなどの事態も想定され、また、誤謬や不正の発見が困難になる場合もあり、作業の負担が大きく、コンピュータの新規導入やシステムの更新を拒むなどのケースが発生しているとの回答もあった。
学校の情報セキュリティ対策費に関しては、「かなり厳しい」が27%、「なし」26%、「判断できない」27%。「十分」はわずかに5%。ネットワーク作業などを行う場合、費用的に厳しく、十分な措置が講じられないとの回答や、業者への以来についても、費用が捻出できないために教員が手間と時間をかけて行っている場合もある。
学校への私物パソコンや電子媒体持込は既に常態化の傾向にあり、小・中・高とも9割以上の学校で持ち込みされている。
【2004年8月7日号】
