大学における情報セキュリティ

大学には様々な情報が存在します

私立大学や国立大学法人を含む教育機関は、膨大な情報を保持しています。

・一般事業会社のバックオフィスで持つ情報（財務関係情報・勤怠情報・教職員情報等）
・教職員・学生・保護者の個人情報
・学生の入学試験情報・成績情報
・学生の健康管理情報
・学生の学生活動・生徒指導関連情報
・教育研究情報　等

これらの情報は、電子情報、紙媒体など様々な形で、情報システム、大学共有サーバや各研究室（職員室）等に様々な形で保持されています。そのため、情報の網羅性を含め、大学の情報の全体像を把握できている組織はほとんどないのが現状です。これは、組織として情報セキュリティ上のリスクを把握できていないことに他なりません。 

情報セキュリティに「聖域」はない

情報セキュリティの基本は、「聖域を設けないこと」です。組織に聖域を設けることは、情報セキュリティ上のホールを作り出すことになり、そのホールが情報漏えいなどの情報セキュリティ事故の起点となります。大学においては、下記のような理由から、「聖域」が発生しがちです。

・大学の自治：大学は様々な統制等から、独立して教育・研究に関する権限を持つことから、「情報管理」に関しても、統制から独立しているという誤解をしてしまう

・教育の独自性:教育に、組織としての独自性を持たせる意味から、「情報管理」に関しても、独自性を与え、社会とは異なった独自の考え（自組織では、「情報管理」は不要という考え）をもってしまう

このような、大学ならではの理由から、「情報管理」の手の届かない「聖域」が発生してしまいます。 

全学的情報セキュリティ体制の構築

情報セキュリティ体制は、全学的に構築する必要があります。それは、情報セキュリティポリシー等、情報セキュリティルールの体系にすべての組織を組み込むことを意味します。その中には、教育組織、図書館等教育支援組織、医科大学における大学病院、事務組織等、全ての組織が対象となります。これらの組織は、同一のポリシーの中に組み込まれ、情報セキュリティ委員会がそのルールの作成や運用を行います。また、第三者による情報セキュリティルールの準拠性監査等によるモニタリングを導入し、日々変化する情報セキュリティ環境に対応していくことが不可欠です。