2024年12月、PowerSchoolは大規模なデータ侵害を受け、北米全土で約6,240万人の生徒と950万人の教育者の個人情報が流出しました(BleepingComputer, 2025)。この侵害は、単一の従業員認証情報の漏洩と、重要なサポートポータルでの多要素認証の欠如が原因で発生しました(TechTarget, 2025)。プライバシー規制当局はその後、学校がベンダーのセキュリティ慣行を審査する責任を負うことを強調しています。
これにより、学校がEdTechプロバイダーを評価する方法がすべて変わります。バーチャル理科実験室、学習管理システム、または生徒データに触れるあらゆるソフトウェアを検討している場合、より厳しい質問をする必要があります。以下は、すべての学校が契約締結前に尋ねるべき10の質問です。
1. データはどこに保存されていますか?
これは国を知るだけではありません。具体的な情報が必要です:
- どのクラウドプロバイダー?(AWS、Google Cloud、Azure、または自社ホスティング?)
- どの地域?(EUの学校はGDPRのためにEUベースのサーバーを必要とする場合があります)
- データは国際的に転送されることがありますか?
- バックアップは別の場所に保存されていますか?
これらの質問に正確に答えられないベンダーは、おそらくデータアーキテクチャについて慎重に考えていません。英国情報コミッショナー事務局は、組織が個人データがどこで処理されるかを把握することを明確に要求しています(ICO, 2024)。
2. SOC 2またはISO 27001認証を取得していますか?
SOC 2(System and Organization Controls)は、独立した会計士によって実施されるセキュリティ監査であり、ベンダーのセキュリティコントロールが紙の上だけでなく実際に機能することを証明します(AICPA, 2024)。2つのタイプがあります:
- タイプI:ある時点でコントロールが存在することを確認
- タイプII:6〜12ヶ月にわたってコントロールが一貫して機能したことを確認(より厳格)
ISO 27001は160カ国以上で認められている国際的な同等規格です(ISO, 2022)。ベンダーがどちらも持っていない場合、どのような第三者検証を受けているか尋ねてください。「セキュリティを真剣に考えています」は認証ではありません。
3. 誰が生徒データにアクセスできますか?
PowerSchoolの侵害は、適切なアクセス制御がなかったカスタマーサポートポータルを通じて発生しました。ベンダーに尋ねてください:
- 何人の従業員が生徒データにアクセスできますか?
- アクセスは記録され、監査可能ですか?
- サポートスタッフがデータにアクセスする前に許可が必要ですか?
- 請負業者や第三者もアクセス制御に含まれていますか?
最小権限の原則は、NISTサイバーセキュリティフレームワーク(NIST, 2024)などのフレームワークの核心要件であり、従業員は業務に必要な最小限のデータにのみアクセスすべきことを意味します。「サポート全員」が生徒記録を見ることができる場合、それは危険信号です。
4. 多要素認証を使用していますか?
PowerSchoolの侵害はMFAで防ぐことができました。Microsoftによると、MFAは自動化された攻撃の99.9%をブロックします(Microsoft, 2019)。具体的に尋ねてください:
- すべての従業員アカウントにMFAは必須ですか?
- 管理ポータルにMFAは必須ですか?
- 学校管理者アカウントでMFAは利用可能ですか?
- どのMFA方法がサポートされていますか?(アプリベースはSMSより強力です)
ベンダーが内部でMFAを強制していない場合、2026年において基本的なセキュリティ衛生を守っていません。
5. どのサードパーティサービスがデータに触れますか?
多くのEdTechプラットフォームは、分析、エラートラッキング、AI機能、またはホスティングに外部サービスを使用しています。それぞれが潜在的な漏洩ポイントです。GDPRの下では、ベンダーは個人データを扱うすべてのサブプロセッサーを開示する必要があります(EDPB, 2024)。完全なリストと各サービスが受け取るデータを要求してください。
注意すべき点:
- 分析プラットフォーム(Google Analytics、Mixpanel)は生徒の行動を追跡する可能性があります
- AIサービスは採点やフィードバックのために生徒の作品を処理します
- カスタマーサポートツールは会話ログを保存する可能性があります
- エラートラッキングはクラッシュレポートで機密データを取り込む可能性があります
「生徒向けアプリケーションにサードパーティ分析なし」というベンダーは、意味のある約束をしています。
6. AIデータポリシーは何ですか?
AI搭載のEdTechが一般的になる中、ベンダーがAIと生徒データをどのように扱うかを理解することが重要です。Future of Privacy ForumのAIガバナンスに関する研究は、これらのポリシーを評価するための有用なフレームワークを提供しています(FPF, 2024)。以下について尋ねてください:
- AIモデルのトレーニングに生徒データを使用していますか?使用している場合、オプトインですか、オプトアウトですか?
- 学校は参加するかどうかを選択できますか?
- AI処理は自社インフラで行われますか、それとも第三者に送られますか?
- 処理後、生徒の作品はどうなりますか?
鍵は透明性です。ベンダーは自社のアプローチを明確に説明し、生徒データがAI目的でどのように使用されるかについて学校に意味のある制御を与えるべきです。
7. データ保持ポリシーは何ですか?
存在しないデータは侵害されることができません。GDPRのデータ最小化原則は、組織が個人データを必要な期間のみ保持することを要求しています(ICO, 2024)。尋ねてください:
- 生徒がプラットフォームを離れた後、データはどのくらい保持されますか?
- 学校は早期削除を要求できますか?
- サブスクリプションをキャンセルした場合、データはどうなりますか?
- バックアップも削除されますか、それとも残りますか?
「念のため」生徒データを無期限に保持するベンダーはリスクです。
8. 侵害が発生した場合はどうなりますか?
すべてのベンダーはインシデント対応計画を持つべきです。GDPRは72時間以内の通知を要求しています(ICO, 2024)。尋ねてください:
- 侵害についてどのくらい早く通知しますか?
- 通知にはどのような情報が含まれますか?
- サイバーセキュリティ保険に加入していますか?
- 影響を受けた生徒に信用監視を提供しますか?
PowerSchoolは侵害の全容を開示するのに数週間かかり、一部の学校は公式通知ではなくメディア報道で知ったと報告しています。通知タイムラインに関する明確な契約上の約束が重要です。
9. データ処理契約を取得できますか?
データ処理契約(DPA)は、GDPR第28条で要求される法的契約であり、ベンダーがデータをどのように扱うかを定義します(GDPR.eu, 2024)。以下を明記する必要があります:
- どのデータが収集され、なぜ
- データがどのように保護されるか
- サブプロセッサーリスト
- 侵害通知手順
- 終了時のデータ削除
ベンダーがDPAを提供できない場合、コンプライアンスを真剣に考える学校と協力する準備ができていない可能性があります。
10. 学校のデータをどのように保護していますか?
同じプラットフォーム上の他の学校からデータがどのように保護されているかを理解することは重要です。NISTサイバーセキュリティフレームワークは多層防御アプローチを推奨しています。以下について尋ねてください:
- 暗号化:学校のデータは組織固有のキーで暗号化されていますか?
- アクセス制御:ある学校のユーザーが別の学校のデータにアクセスすることを何が防いでいますか?
- 監査ログ:すべてのデータアクセス試行は記録され、監視されていますか?
- ペネトレーションテスト:独立したセキュリティ会社がプラットフォームをテストしましたか?
暗号化、アクセス制御、またはアーキテクチャ設計を通じて、データをどのように分離し保護するかを具体的に説明できるベンダーを探してください。
学校の新しい現実
PowerSchoolの侵害は規制環境を変えました。プライバシーコミッショナーは、学校が単にベンダーを信頼することはできず、検証しなければならないことを明確にしています。これは、これら10の質問が単なるベストプラクティスではないことを意味します。法的要件になりつつあります。
受け取った回答を文書化してください。契約にセキュリティ要件を含めてください。そして、明確な回答を提供できないベンダーから離れることを恐れないでください。
WhimsyLabsでは、透明性が信頼を築くと信じています。私たちのバーチャル理科実験室を検討しているすべての学校に、これら10の質問すべてに喜んでお答えします。お問い合わせください。完全なセキュリティ文書をお送りします。
参考文献
- AICPA. (2024). SOC 2 - SOC for Service Organizations: Trust Services Criteria. American Institute of Certified Public Accountants. https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
- BleepingComputer. (2025, January 22). PowerSchool hacker claims they stole data of 62 million students. BleepingComputer. https://www.bleepingcomputer.com/news/security/powerschool-hacker-claims-they-stole-data-of-62-million-students/
- European Data Protection Board. (2024). Guidelines on the concepts of controller and processor. EDPB. https://www.edpb.europa.eu/
- Future of Privacy Forum. (2024). Center for Artificial Intelligence. FPF. https://fpf.org/issue/ai-ml/
- GDPR.eu. (2024). What is a Data Processing Agreement? GDPR.eu. https://gdpr.eu/what-is-data-processing-agreement/
- Information Commissioner's Office. (2024). International transfers of personal data. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/
- Information Commissioner's Office. (2024). Personal data breaches. ICO. https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/
- Information Commissioner's Office. (2024). Guide to the UK GDPR. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/
- ISO. (2022). ISO/IEC 27001:2022 Information Security Management. International Organization for Standardization. https://www.iso.org/standard/27001
- Microsoft. (2019). One simple action you can take to prevent 99.9% of attacks on your accounts. Microsoft Security Blog. https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/
- NIST. (2024). Cybersecurity Framework 2.0. National Institute of Standards and Technology. https://www.nist.gov/cyberframework
- TechTarget. (2025). PowerSchool data breach: Explaining how it happened. TechTarget. https://www.techtarget.com/whatis/feature/PowerSchool-data-breach-Explaining-how-it-happened
- US Department of Education. (2024). Student Privacy Policy Office. Protecting Student Privacy. https://studentprivacy.ed.gov/
- Information Commissioner's Office. (2024). Children and the UK GDPR. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/children-and-the-uk-gdpr/