個人情報保護委員会は6月25日、学校における個人情報の漏えい等の事案を踏まえた個人情報の取扱いに関する留意点について発表した。
同会では、学校における個人情報の漏えい等事案について、2023年4月から2027年4月までの約2年度分の漏えい等報告の発生原因等を分析した上で、教育委員会等の学校設置者や教職員に向けて、留意点や事案例、発生原因、再発防止策例等をとりまとめている。
同会では、教育・研修等による個々の教職員の意識向上も大切だが人間の注意力には限界はあるとし、個人の意識向上に偏った対策ではなく、組織的な側面や技術的な側面から、漏えい等を防止できないかについて、同会が挙げる漏えい等事案の典型例を参照し、実施内容を検討するよう求めている。
また、ICTの活用が進んだ結果、情報共有ツール等のデジタルツールの使用による個人情報の漏えい等事案が多くあるが、一度の事象で多くの生徒の個人情報が漏えいしてしまう点で問題が大きくなる場合もあるため、予防のための対策を検討するよう求めている。
同会では、学校現場で漏えい等事案が多く発生する理由として下記を挙げている。
・取り扱う個人情報が多いこと
・業務スペースが広いこと
・データの共有範囲の問題
・紙媒体の取扱いが多いこと
同会では学校現場で生じやすい漏えい等事案の再発防止策の例として下記を挙げている。
・紛失(紙媒体)
個人情報が記載された書類を保管するキャビネットの鍵の管理の一元化。
家庭状況調査ファイルの使用記録簿を作成し、管理職は退勤前に記録簿を確認。
校外に個人情報を持ち出す際のルールの確認・徹底。
事案を共有し、校内研修を実施。
修学旅行しおり等、校外に持ち出すことが前提となっている資料に掲載する情報の見直し。
・紛失(電子媒体)
情報セキュリティポリシー等の規程の再周知、校内研修の実施。
業務の見直し等により校外に個人情報を持ち出す機会の削減を図る。
USBメモリの保管・管理は校長及び教頭が厳重に行い、貸出及び返却の際は書面による管理者の承認・確認手続を行う。
USBメモリを原則使用禁止とする。
個人情報を含む資料を保存したUSBメモリについてはパスワード設定を徹底
・誤交付
個人情報を含む書類を封入する際には、確認を徹底する。
机上の整理整頓、文書等の管理を徹底させる。
封筒の宛先と文書の宛名が突合しやすいよう外折りにする。
個人情報を含んだ文書を教室に安易に持ち込まない。
個人情報を含む書類の保管は、施錠可能な職員室の保管棚に入れる。
・誤送信・誤配信
メール送信に関するルールの策定。
一斉メールを送信する際の確認の徹底。
職員に対する事案の共有、研修や注意喚起を定期的に実施。
考査や成績処理について余裕を持って業務を行えるよう、日程や方法の見直しを図る。
・情報共有ツールのアクセス制限ミス・データの保存ミス
オンラインフォーム等のツール利用時の校内マニュアルを作成し、教職員に研修を実施。
教育委員会から全学校に対して、個人情報の取扱いや ICT 活用の留意事項について指導の徹底を図る。
学習用クラウドサービスの操作について、教育委員会と学校それぞれの権限を再整理。
コラボレーションツールの公開範囲の設定を定期的に点検。
オンライン学習管理システムに掲載する文書を限定。
・PC使用時のサポート詐欺
インターネット閲覧用と業務用でPC端末を分ける。
職員への注意喚起・事案共有。
資産管理ソフトの導入(遠隔操作ソフトダウンロードURLをアクセス禁止リストに入れる等)。
一般ユーザーはソフトウェアをインストールできないようにする措置を導入
・置き忘れ
家庭環境調査簿は職員室外に持ち出さない。
職員打合せ等で、個人情報が含まれている書類の取扱いについて再度確認する。
生徒情報が記載された文書を執務室外に持ち出す際には、封筒等に格納して厳封する。
・誤廃棄
所定の場所への保管を徹底する。
研修において、全職員に事案や個人情報の適切な取扱いについて周知する。
書類使用後は速やかに保管場所に返却することを徹底する
・サイバー攻撃等による不正アクセス事案
多要素認証の導入。
特に配慮を要すべき個人情報の保管場所と運用方法を再確認。
重要な個人情報の保管場所について監査を実施。
より高度なセキュリティレベルで運用可能なシステムへの移行。
セキュリティ設定を再チェックする。
セキュリティ意識向上のための研修の実施。
・不正の目的による漏えい等事案(サイバー攻撃によるもの以外)
授業関係資料と生徒の個人情報の保存領域の分離と運用の徹底。
ログイン ID・パスワードの厳正な取扱いの徹底。
アカウント管理体制の見直しとルールの明文化。
パスワード等のデータの印刷やコピーの禁止。
教員に対する情報リテラシー教育等の実施。
生徒に対する情報モラル教育の推進。
同会では、学校における個人情報の漏えい等事案について、2023年4月から2027年4月までの約2年度分の漏えい等報告の発生原因等を分析した上で、教育委員会等の学校設置者や教職員に向けて、留意点や事案例、発生原因、再発防止策例等をとりまとめている。
同会では、教育・研修等による個々の教職員の意識向上も大切だが人間の注意力には限界はあるとし、個人の意識向上に偏った対策ではなく、組織的な側面や技術的な側面から、漏えい等を防止できないかについて、同会が挙げる漏えい等事案の典型例を参照し、実施内容を検討するよう求めている。
また、ICTの活用が進んだ結果、情報共有ツール等のデジタルツールの使用による個人情報の漏えい等事案が多くあるが、一度の事象で多くの生徒の個人情報が漏えいしてしまう点で問題が大きくなる場合もあるため、予防のための対策を検討するよう求めている。
同会では、学校現場で漏えい等事案が多く発生する理由として下記を挙げている。
・取り扱う個人情報が多いこと
・業務スペースが広いこと
・データの共有範囲の問題
・紙媒体の取扱いが多いこと
同会では学校現場で生じやすい漏えい等事案の再発防止策の例として下記を挙げている。
・紛失(紙媒体)
個人情報が記載された書類を保管するキャビネットの鍵の管理の一元化。
家庭状況調査ファイルの使用記録簿を作成し、管理職は退勤前に記録簿を確認。
校外に個人情報を持ち出す際のルールの確認・徹底。
事案を共有し、校内研修を実施。
修学旅行しおり等、校外に持ち出すことが前提となっている資料に掲載する情報の見直し。
・紛失(電子媒体)
情報セキュリティポリシー等の規程の再周知、校内研修の実施。
業務の見直し等により校外に個人情報を持ち出す機会の削減を図る。
USBメモリの保管・管理は校長及び教頭が厳重に行い、貸出及び返却の際は書面による管理者の承認・確認手続を行う。
USBメモリを原則使用禁止とする。
個人情報を含む資料を保存したUSBメモリについてはパスワード設定を徹底
・誤交付
個人情報を含む書類を封入する際には、確認を徹底する。
机上の整理整頓、文書等の管理を徹底させる。
封筒の宛先と文書の宛名が突合しやすいよう外折りにする。
個人情報を含んだ文書を教室に安易に持ち込まない。
個人情報を含む書類の保管は、施錠可能な職員室の保管棚に入れる。
・誤送信・誤配信
メール送信に関するルールの策定。
一斉メールを送信する際の確認の徹底。
職員に対する事案の共有、研修や注意喚起を定期的に実施。
考査や成績処理について余裕を持って業務を行えるよう、日程や方法の見直しを図る。
・情報共有ツールのアクセス制限ミス・データの保存ミス
オンラインフォーム等のツール利用時の校内マニュアルを作成し、教職員に研修を実施。
教育委員会から全学校に対して、個人情報の取扱いや ICT 活用の留意事項について指導の徹底を図る。
学習用クラウドサービスの操作について、教育委員会と学校それぞれの権限を再整理。
コラボレーションツールの公開範囲の設定を定期的に点検。
オンライン学習管理システムに掲載する文書を限定。
・PC使用時のサポート詐欺
インターネット閲覧用と業務用でPC端末を分ける。
職員への注意喚起・事案共有。
資産管理ソフトの導入(遠隔操作ソフトダウンロードURLをアクセス禁止リストに入れる等)。
一般ユーザーはソフトウェアをインストールできないようにする措置を導入
・置き忘れ
家庭環境調査簿は職員室外に持ち出さない。
職員打合せ等で、個人情報が含まれている書類の取扱いについて再度確認する。
生徒情報が記載された文書を執務室外に持ち出す際には、封筒等に格納して厳封する。
・誤廃棄
所定の場所への保管を徹底する。
研修において、全職員に事案や個人情報の適切な取扱いについて周知する。
書類使用後は速やかに保管場所に返却することを徹底する
・サイバー攻撃等による不正アクセス事案
多要素認証の導入。
特に配慮を要すべき個人情報の保管場所と運用方法を再確認。
重要な個人情報の保管場所について監査を実施。
より高度なセキュリティレベルで運用可能なシステムへの移行。
セキュリティ設定を再チェックする。
セキュリティ意識向上のための研修の実施。
・不正の目的による漏えい等事案(サイバー攻撃によるもの以外)
授業関係資料と生徒の個人情報の保存領域の分離と運用の徹底。
ログイン ID・パスワードの厳正な取扱いの徹底。
アカウント管理体制の見直しとルールの明文化。
パスワード等のデータの印刷やコピーの禁止。
教員に対する情報リテラシー教育等の実施。
生徒に対する情報モラル教育の推進。
編集部おすすめ