インターネットの普及によって教育機関がネットワークを活用する機会も一般的になってきた。そこで問題になるのがネットワークのセキュリティーだが、先ごろ「学校セキュリティ検討会」（代表＝滝沢誠・東京電機大学理工学部教授）から「学校向けセキュリティポリシー」の素案が三月二十七日、発表されたのでその主な部分を紹介する。発表された「学校向けセキュリティポリシー」は「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の三部で構成されているが、今回は実務の核心部分である「情報セキュリティ対策基準」九項目のうち一から四までを収録した。（その他の部分については末尾の問い合わせ先を参照）

生徒、教師が作成した情報
秘匿性の高さで分類

【1.情報セキュリティ管理体制】

情報セキュリティ対策に関して、以下の体制をとる。
・情報システム責任者（通常、校長または教頭とする）
・ネットワーク管理者
・情報セキュリティ管理者
・ネットワーク担当者
・情報セキュリティ担当者


【2.情報の分類と管理】

　２―１　情報の管理責任
　情報システムにおける情報に関しては、情報システム責任者が管理責任を有する。
　２―２　情報の分類と管理方法
　（１）情報の分類
　対象となる情報システムにおいて、生徒または教師が作成した情報を、秘匿性の高さにより以下のように分類する。
　［Ａ］生徒の個人情報が含まれているもの
　［Ｂ］教育機関など特定の対象において公開可能なもの
　［Ｃ］一般的に公開しても問題のないもの
　（２）情報の管理方法
　（ａ）情報の管理および取り扱い
・情報については、それぞれの分類にしたがって、別途実施手順に定めた保管方法によって管理する。
・それぞれの分類における情報について、アクセス権の設定、バックアップ方法、および、保管の際の暗号化などを、それぞれの実施手順にしたがって管理する。
　（ｂ）記憶媒体の管理
・取り出しが可能な記憶媒体（フロッピーディスク、ＭＯ、ＣＤなど）については、適切な管理を行わなければならない。
・重要な情報を記憶した記憶媒体は、耐火、耐震、耐水、耐熱および耐湿対策を講じた施錠可能な場所に保管しなければならない。
　（ｃ）記憶媒体の処分
・重要な情報（分類〔Ａ〕〔Ｂ〕）に関して、記憶媒体の処分を行う場合は、情報セキュリティ担当者の許可を受けなければならない。
・記憶媒体が不要になった場合は、その媒体に記憶されている情報が重要な情報であれば、初期化などして情報の復元ができない状態に消去した上で、破棄しなければならない。
・重要な情報（分類〔Ａ〕〔Ｂ〕）に関して、記憶媒体の処分を行った場合は、その日時、担当者、および処分内容を記録しなければならない。
・重要な情報（分類〔Ａ〕〔Ｂ〕）に関しての処分に関しては、担当の教師がその責務を負う。

耐震、耐水など対策場所に固定
接続は定められた方法で

【3.物理的セキュリティ】

　３―１　サーバ
　〈サーバの設置場所、環境によって区分〉
・サーバは、耐震、耐水、耐熱、耐湿対策を講じた場所に設置し、容易に移動できないように固定しなければならない。
　３―２　コンピュータルーム
　〈コンピュータルームの環境によって区分〉
・コンピュータルームへの入退出は別途実施手順に定めた方法により管理する。
　３―３　普通教室、特別教室
　〈普通教室、特別教室に設置されている場合のみ記述〉
・普通教室、特別教室に設置する端末に関しては、容易に移動できないように固定しなければならない。
　３―４　ネットワーク
・外部へのネットワーク接続は、学校で定めた方法のみとする。
　３―５　生徒用端末
・生徒が使用する端末は、盗難防止のための対策を講じなければならない。

情報資産は責任者が管理
管理者は最新技術を維持

【3.人的セキュリティ】

　４―１　役割・責任
　（１）情報システム責任者
　学内のネットワーク、情報システムおよび情報資産のすべてを統括管理する。またセキュリティに関する全責任を負う。
　（２）ネットワーク管理者
　情報システム責任者を補佐し、ネットワーク全般の管理を行う。
　（３）情報セキュリティ管理者
　情報システム責任者を補佐し、すべてのセキュリティに関する管理を行う。
　（４）ネットワーク担当者
　ネットワーク管理者の指示の下で、ネットワーク全般に関する作業を行う。
　（５）情報セキュリティ担当者
　情報セキュリティ管理者の指示の下で、セキュリティ全般に関する作業を行う。
　（６）教職員
　すべての教職員は、情報セキュリティポリシーに定められている事項を遵守しなければならない。
　また、すべての生徒に対し、情報セキュリティポリシーを遵守するように指導しなければならない。
　４―２　教育・訓練
　情報システム責任者は、セキュリティポリシーの啓発を行う。
　また、セキュリティポリシーに関する研修会なども設けなければいけない。ネットワーク管理者、情報セキュリティ管理者は、最新の技術を維持するために研修会を受講しなければならない。
　４―３　事故、欠陥に対する報告
・情報セキュリティに関する事故、システム上の欠陥などを発見した場合は、速やかにネットワーク管理者に報告し、指示によって適切な処置をとること。
・ネットワーク管理者は、報告内容の分析を行い、再発防止のための記録を保存すること。

パスワードは定期的に変更

　４―４　パスワードの管理
　教師は、自己のパスワードに関して、以下の事項を遵守すること。
・パスワードを秘密にすること。
・パスワードのメモをとったり、コンピュータ内に記録させないこと。
・パスワードは、内容が判別しにくいものとすること。
・パスワードは定期的に変更すること。
・複数人でパスワードを共有しないこと。
　〈生徒にパスワードを付与している場合のみ記述〉
　生徒用のパスワードに関して、教師は以下の事項を指導すること。
・パスワードを他人に教えないこと。
・パスワードのメモをとったり、コンピュータ内に記録させないこと。
・パスワードは定期的に変更させること。
・複数人でパスワードを共有しないこと。
　なお、生徒が自分でパスワードを管理できない場合は、生体認証など別の認証手段を講じること。