定義
毎年、何百万人もの米国居住者が大学に出願し、授業を受けているため、教育システムはデータ侵害の絶好の標的となっています。ユーザー情報を保護するために、米国議会は1974年にFERPA(家族の教育の権利とプライバシーに関する法律 )を制定しました。教育機関は、社会保障番号や銀行口座など、重要な機密データを保管しています。データ侵害が発生した場合、FERPAはサイバーセキュリティを導入し、学生情報を保護するために必要な措置を講じなかったことに対する責任を追及します。FERPA規則に従わない場合は、連邦政府の資金援助が受けられなくなる可能性があります。
サイバーセキュリティ教育とトレーニングを始めましょう
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
FERPAの目的
コンプライアンス規制は、ユーザーデータの安全性を保つことを目的としており、FERPAは、学生データの保護に重点を置いています。学校のシステムには、個人を特定できる情報(PII)が保存されており、個人情報の盗難に使用される可能性があるため、FERPAは、この情報を保護しない教育機関に厳しい罰則を課しています。学校は堅牢なサイバーセキュリティを採用しなければ、政府からの重要な財政支援を失うリスクがあります。FERPAは、データプライバシーのベストプラクティスを組織に提供し、違反した場合は多額の罰金を科すことでその責任を追求します。
FERPAの規則
学生データの保護に加え、FERPAは、データ保護法に基づく学生の権利を明らかにすることを組織に求めています。学生は、自分の情報に対する透明性を確保し、PIIを他の機関や第三者に公開するなどの特定の慣行に同意する必要があります。
同意
学生はいつでも自分の教育記録を求めることができ、毎年その権利について説明される必要があります。適切な指導を受ければ、学生は自分の記録を見る権利を放棄することもできます。個人情報を公開する場合、管理者や学校関係者が情報提供する前に、学生は書面で同意しなければなりません。
トレーニング
FERPAは、教師、管理者、その他の学校関係者に対し、学生情報の開示に関するトレーニングを義務付けています。彼らは、FERPA規則と、許可されていない個人からデータを保護するために何ができるかを知っている必要があります。学生情報にアクセスできるサードパーティベンダーには、FERPAのコンプライアンスについて通知しなければなりません。
サイバーセキュリティ
学生のデジタルデータは、攻撃者の主要な標的です。教育機関は、サイバー犯罪者からデータを保護するためのベストプラクティスに従わなければなりません。データ侵害は、罰金や訴訟費用など、大きな損害となる可能性があります。ITにおけるFERPAを遵守するためのいくつかの要素をご紹介します。
- データの暗号化: すべてのデータは、保存時および転送時に暗号化される必要があります。つまり、物理的なデバイスに保存されているデータは、デバイスが盗まれたとしても開示されることはなく、インターネット経由で送信されるデータも保護されています。
- 脆弱性の検査と是正: 脆弱性スキャンは、データベースやクラウドストレージなど、データを保存するインフラの問題を見つけます。セキュリティコントロールとポリシーを定期的に見直しましょう。
- 監視と監査証跡: 外部からのデータ侵害や内部脅威を示唆する不審な動きがないか、すべてのシステムを監視しましょう。アプリケーションによっては、インフラがコンプライアンスに準拠しているかどうかを監視するものもあります。
- 継続的な更新とレビュー: コンプライアンスの基準は変化し、規制機関はシステムをアップデートするための期間を限定して提供します。FERPAの更新を認識し、変更を導入するための十分な時間を確保するため、毎年規則を見直しましょう。
FERPAの罰則
社会保障番号、連絡先、財務データなどの学生データを保存する組織は、FERPA規則に従わなければなりません。内部および一般にアクセス可能なシステムには、データ侵害を避けるために、適切なアクセス制御とサイバーセキュリティを導入する必要があります。大学、高校、小学校、専門学校は、FERPAのコンプライアンスに該当します。
FERPAを遵守しない場合、厳しい罰則が課され、組織の資金を失い、運営に壊滅的な打撃を与える可能性があります。
コンプライアンス違反に対する罰則には以下のようなものがあります。
- 連邦政府からの補助金の取り消し
- 州および連邦の関連法に基づく起訴
- 責任者や過失を特定するための、従業員の不正行為や業務慣行の調査
- データ侵害に責任のある従業員の解雇
- コンプライアンスを監督する管理職の一時的な活動停止
FERPAに準拠する方法
コンプライアンスの第一歩は、専門家が実施する完全なリスクアセスメントです。このリスクアセスメントでは、コンプライアンスに対応したインフラや、攻撃者の標的となりうるデータを分析します。その他、コンプライアンスに対応するための方法を以下にご紹介します。
- データが暗号化されていることを確認する: データには、保存データと転送中データがあります。保存データは、データベースに保存されている情報、またはドライブに保存されているファイルを指します。ウェブページからデータベースへ送信されているデータは、転送中データです。学生データは、転送中およびストレージデバイスに保存されているときに暗号化される必要があります。
- ファイアウォールを設置する: ファイアウォールは、外部のトラフィックがデータベースのような機密データ記憶装置に到達するのをブロックします。ファイアウォールは、FERPAに準拠するために必要なものであり、ネットワーク上のトラフィックを制御するための貴重なツールです。
- アクセス・コントロール・ポリシーを使用する: ネットワーク上のIT管理者は、データへのアクセスを許可されたユーザーだけに制限するために、構造化されたアクセス・コントロール・ポリシーを設定する必要があります。その他のデータについては、低特権ユーザーが読み取れないように検閲します。例えば、登録担当の管理者は、学生の社会保障番号をアプリケーションで表示する際に、番号全体を公開するのではなく、下4桁の番号のみを表示するようにします。
FERPAのトレーニング要件
FERPAのトレーニング要件は、学生記録を取り扱う全員が自身の責任と学生のプライバシーに関連する法的義務を理解することを保証します。その目的は明確で、学生の教育記録を不正な開示や悪用から保護することです。これらの要件は、教師、管理者、カウンセラー、サポートスタッフを含む学校関係者がFERPAの規則に関する徹底的な指導を受けることを義務付けています。主要な要素には以下が含まれます。
- 教育記録の理解:FERPAの下で教育記録として何が該当するかを特定する
- アクセス権:同意なしにこのデータにアクセスできるのは誰か、またその状況を知る
- 同意プロトコル:学生の個人情報を公開する前に書面による同意を得る必要がある場合を学ぶ
- ディレクトリ情報:事前の同意なしに開示できるディレクトリ情報と、より機密性の高いその他のデータとを区別する
トレーニングでは、FERPAのすべての側面に準拠しながら、第三者からの情報要求を適切に処理する方法についてもカバーする必要があります。開示が許可される場合(肯定的に応答する)と、拒否しなければならない場合(否定的に応答する)の両方に対する手順を明確にするべきです。
さらに、機関は、健康や安全の問題が特定の詳細の共有を必要とするかもしれない緊急時のための手順を設定しておく必要があります。この側面はしばしばトレーニングセッションでカバーされます。
頻度に関しては、採用時の初期トレーニングが重要ですが、定期的なアップデートも不可欠です。これらの継続的な更新により、学校の職員は学生記録の管理方法に影響を与える法律やポリシーの変更に常に対応できます。
サービス契約を通じて教育記録にアクセスする第三者ベンダーは、FERPA基準によって設定された境界内での彼らの役割を強調するカスタマイズされたトレーニングが必要です。このトレーニングは、伝統的な学校環境の外での無知や見落としから生じる違反を防ぐのに役立ちます。
保護された文書の認識から複雑な意思決定シナリオまで、FERPAの範囲に含まれる人は、学生の個人情報に関する信頼性を維持するために、これらの規制のすべての側面について詳細な知識を持つべきです。