佐賀県立学校の教育情報システムが不正にアクセスされた事件を検証していた第三者委員会「県学校教育ネットワークセキュリティ対策検討委員会」は27日、県教育委員会に対し「セキュリティーの基礎知識や実践的な対応が不十分だった」として、意識改革や情報共有を求める提言書を古谷宏教育長に提出した。県教委は年内にも対策をまとめた実施計画書を策定する。

 提言書では県教委などの組織体制に対し、セキュリティーの情報を共有したり人為的ミスを報告するルールを確立したりする「セキュリティー文化」の醸成が必要不可欠と指摘した。

 運用面では、昨年6月に不正アクセスを受けたにもかかわらず、限られた関係者だけで対応したことを特に問題視した。「セキュリティー侵害に対する知見不足が事案を矮小(わいしょう)化させ、情報共有がなされなかった」と縦割り行政を批判した。管理者権限のIDやパスワードが生徒もアクセスできる領域に保存されていた状況も「重要情報に関するリスクへの知見不足」とした。

 対応策として、短期的にはIDやパスワード管理の徹底、システム監査の実施を提言した。中長期的には、セキュリティーを統括する組織体制づくりや、小さな事案も含めた情報公開の実施などを挙げた。

 提言の実効性を担保するため、県議会やICT利活用に関する既存の検証委員会などで普段から議論することも強く求めた。

 第三者委の委員長の内田勝也情報セキュリティ大学院大学名誉教授は会見で「これまでは(セキュリティーについて)誰も教えてくれなかったからできなかった」と指摘し、県教委に提言の着実な実行を求めた。古谷教育長は「体制づくりを含めて取り組み、不安解消と信頼回復に努めたい」と述べた。

=解説= 認識の甘さ浮き彫り

 県民に不安と不信感を抱かせたとして「セキュリティー文化」の醸成や組織の意識改革を求めた第三者委員会の提言書。「あまりにも基礎的な部分が欠けていた」。内田勝也委員長の指摘が、情報セキュリティーへの県教委の認識の甘さを浮き彫りにした。

 県教委は教職員に対し、ICTの利活用に関する研修には熱心だったものの、セキュリティーに特化した研修は一切実施してこなかったことが検証の過程で判明した。「ICT教育先進県」として全国から注目されながら、要をおろそかにしてきたことになる。

 今後は、システム導入を主導してきた県教委が率先して提言を履行できるかどうかが焦点になるが、最大の課題は意識改革だろう。学校現場任せにするのではなく、ともに悩まなければ、希望あるICT教育の将来像は見えてこない。

 提言書は、情報流出の被害者の多さを問題視するだけでなく、教育現場で複数の生徒が加害者になる事態を招いたことを「最大の罪」と踏み込んだ。県教委は意識や組織が変わったことを目に見える形で示す重い責任がある。それが県民に対する「贖罪(しょくざい)」でもあり、信頼回復の第一歩になる。

このエントリーをはてなブックマークに追加