｢教師が生徒のパスワードを取りまとめる｣そんな異常事態がまかり通る日本の"IT教育"のお粗末さ

※写真はイメージです - 写真＝iStock.com／Wako Megumi

情報通信技術を活用する「ICT教育」で、一部の小中学校では「タブレット端末のパスワードを担任に提出させる」という運用が行われていた。ライターの赤木智弘さんは「パスワードを他人に教えるのは論外。子供のITリテラシーを低下させる不適切な運用だ」という――。

■そもそも紙に書き出すこと自体が問題

今年2月初め、茅ヶ崎市で小学生の子を持つ親がTwitterで「学校からタブレット端末のパスワードを書いて担任に提出しろと求められた」という内容のツイートをしているのを見かけた。ツイートによると、学校からのプリントに、「アカウントの付与から1年たったので、情報セキュリティの観点からパスワードの変更を行います」という内容が書かれていたとのこと。さらに、「パスワードを変更して『パスワード変更届け書』に記入の上、提出せよ」という旨が書かれていたそうだ。

投稿者は「意味わからん」と不満を漏らしていた。

この段階で学校側は3つの間違いを犯している。

まずはパスワードを紙に書くこと。次に一度決めたパスワードを1年たったからと変更すること。そしてなによりパスワードを担任という他人に教えることだ。

パスワードを紙に書くという事はソーシャルエンジニアリング、すなわち「パスワードの盗み見」の危険を招くことになる。

総務省は、パスワードの管理方法として、「他人に知られないよう、かつ自分でも忘れてしまうことがないように管理をしましょう」と掲げている。その上で「自分で忘れてしまわぬようにメモを作成した場合は、それが他人に見られることのないよう、肌身離さず持ち歩くなど、厳重に保管をするよう心がけましょう」としており、自分自身の近くに置いての管理を推奨している。

職員室のような自分自身で管理できず、厳重であることも保証されない場所にパスワードが書かれた紙を置いてしまえば、盗み見の危険は増大してしまう。

■パスワードを他人に教えるのは論外

一度決めたパスワードを1年程度で変更するのも悪手である。

以前は「パスワードは定期的に変更しましょう」などと言われ、総務省も推奨していたが、2018年に「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」と方向転換した。パスワード変更を繰り返すことで徐々に覚えやすい簡単なパスワードに設定してしまったり、パスワードの使い回しが発生しやすいことが問題視されたからだ。

学校生活の6年や3年程度の期間であれば、不正ログインが発見されたり、明らかに侵入されたような形跡がなければ、一度しっかりとしたパスワードを作ってそれを使い続けるほうが安全である。

そしてなにより「パスワードを他人に教える」というのは論外である。

パスワードというものは他人には教えずに自分でしっかりと管理するのが基本だ。

まだそうした管理のできない年齢の子供が親にパスワードを教える形で管理するということはあり得るにしても、学校にまで教えるのが適切な管理であるとは僕は思わない。

■「他人」という概念を考える

学校での不適切なIDパスワード管理は時折問題になっている。

昨年12月には練馬区の中学校で「SNSの利用ルールを保護者と話し合いの上で決めて、学校に提出する」旨のリーフレットにSNSのパスワードを書く欄があったことが問題になった。

また一昨年の11月、町田市の小学校では、タブレット端末のチャット欄を利用した悪口の書き込みなどのイジメがあり、6年生の女児が自殺してしまった。

写真＝iStock.com／metamorworks

※写真はイメージです - 写真＝iStock.com／metamorworks

この学校で使われていたタブレット端末では、パスワードはすべての児童が「123456789」に統一されており、IDも児童の所属学級と出席番号を組み合わせたものになっていた。

つまり誰もが簡単に特定の他人になりすましてログインできる状況にあり、実際にさまざまな被害の報告も出ていたにもかかわらず、残念な結果となってしまった。

その小学校は町田市のICT教育推進モデル校だったという。

こうした学校にまつわる「お粗末」なパスワード管理や、生徒に対する不適切な指示はどうして発生するのだろうか。

その原因の1つとして「パスワードを他人に教えない」というときの「他人」という概念が、正確に伝わっていない可能性が考えられる。

パスワード管理上の「他人」とは「自分以外のすべての人」のことを指す。

知らないおじさんが他人なのはもちろんとして、知り合いや学校の担任、そして親兄弟であっても「他人」である。

先ほども述べたように、パスワードは自分ひとりが責任を持って管理しなければならない。このことを指して「パスワードを他人に教えない」と言っているのである。

しかし社会通念上の「他人」という言葉からは「家族」や「学校の担任」は抜け落ちてしまうらしい。

「他人じゃないぞ！　家族だ！」とか「担任は他人じゃない！」とか。いや「他人」ってそういう意味じゃないんだけどね……。

親や教師側にこうした認識があるので「他人には教えてはいけないと言っているので、他人ではない親や担任に教えるのは大丈夫」であるかのように考えてしまうのである。

■子供時代にITリテラシーを学ぶ重要性

例えば、子供の防犯において「知らない人について行っちゃダメ」は、昨今では問題のある言い方であると考えられている。

なぜなら、近所でよく見かけたり、見守り隊などに参加していて毎日あいさつをする大人を「知っている人だから大丈夫」と認識し、付いていって犯罪に巻き込まれてしまう可能性があるからだ。

これは「知らない人とは誰か」という認識が親と子供でズレていることが原因のエラーなのだが、「パスワードを他人に教えない」と言うときにも、同じく「他人とは誰か」という部分でズレが発生してしまっており、親や学校がそれを自覚しないまま「他人ではない私たちが、子供のパスワードを適切に管理してあげよう」と考えてしまうのである。

そしてもう1つ。ICT教育の中で、パスワードに関して子供に何を教えるのかという感覚が学校側に希薄であるという事が考えられる。

ICT教育において行われているのは、スマホやタブレット、PCなどの有効的な活用方法や、プログラミングなどのロジックを学ぶことなどだ。それによって子供たちの想像力を育み、形にする方法を教えている。

確かにこれらはとても大事なことだし、子供の頃に学校教育で十分に学んでおく価値のある事柄である。

しかし僕が重要であると考えるのは、もっと基礎的な部分だ。それこそ「パスワードをどうやって管理するか」などのITリテラシーの部分である。

■ITリテラシーがないまま大人になるとどうなるか

ところが、先にも述べたように学校が生徒にパスワードを書かせて提出させたり、同じパスワードで管理したりと、学校側にリテラシーがない。

もちろん、「パスワードを書かせるのはおかしいのではないか」と思う親もいれば「学校が言っているのだから任せておけばいい」と思う親までピンキリである。

全体としてはまだまだITリテラシーに対する認識が甘いと考えている。

しかしそうした甘い考えでは、いつか子供たちが成長したときに問題を引き起こすことになる。

例えば、大人になってから恋人が「お互い隠し事のない生活をしたいから、スマホにロックをかけない。もしくはお互いにスマホの暗証番号を教えあおう」というような提案をしてきたとしたらどうだろうか。

相手が「ロックをかけるということは、やましいことがあるという事だ！　浮気をしていないならロックを外せ！」と責めてきたときにも、ロックをかけることの重要性や、暗証番号を教えないことの正当性をまっとうに主張することができるだろうか。

スマホに入っているものは決して利用者の個人的な情報だけではない。メールやSNSには他人のプライベートな情報や、仕事上の情報なども入っている。

■学校ではパスワードを忘れることも「学び」になる

スマホにロックをかけなかったり、暗証番号を他人（もちろん恋人も「他人」である）と共有してしまえば、重要な情報の漏洩を招き、社会的信用を失う可能性を増やしてしまうことになる。

だからこそ、子供たちには幼い頃から「自分のパスワードは自分で管理し、絶対に他人に管理を委ねない」ことを教えなければならないのである。

もちろん実務的に考えれば、タブレット端末を使った授業を行う際に子供が「先生！　パスワード忘れました」と言いだし、教師がパスワードを管理していないためにログインできずに授業が進まないという事態は避けたい。そのためにパスワードを提出させるというのは分からないでもない。

しかし、子供がパスワードを忘れたことで不利益を被るのもまた教育の一環である。

現実社会ではパスワードを忘れれば手間をかけてパスワードの再登録をする必要があるし、ましてや流出させるなんて論外である。

だが教育の場であれば、あらかじめ生徒がパスワードの管理を失敗しても、それを知識として学ばせることができるのだ。

教育の場という練習段階のうちに子供に失敗の余地を残しておくのは重要だろう。

■パスワードの使い回しをやめるために使ったもの

実は僕自身もかつてはいくつかのパスワードを複数のサービスで使い回していた。そして、使っていたサービスのいくつかで不正アクセスが起きた。具体的な時期はセキュリティ上伏せておく。

パスワードを使い回していると、1つのサービスでパスワードが流出したときに、使い回している別のサービスのパスワードも同時にバレることになる。そのリスクは決して低くはない。

その時に「すべてのサイトでユニークなパスワードにしなければならない」と思い立ち、一念発起でパスワード管理ソフトを導入して、すべてのサービスでパスワードの更新を行った。

僕がネットサービスを使い始めた1990年代の中頃には、まだパスワードは6桁から8桁程度が当たり前という時代であり、サイトによっては「最長12桁」なんていう制限をしているところもあった。当時の僕の感覚としては「銀行の暗証番号の延長」という認識だった。

今でこそブラウザやOSにパスワードの管理機能が付いているが、当時はそうした機能もない中で、徐々に増えていくネットサービスを利用するためにパスワードを使い回す人も多かったと記憶している。

IPA（情報処理推進機構）が2008年に出した資料には、大文字小文字の区別のないアルファベットのみの8桁のパスワードは約17日で解読されてしまうと書いてある。ましてや、現在ではさらにコンピュータの性能が高くなっている。セキュリティソフトを販売しているカスペルスキーのサイトに「パスワードチェッカー」というものがある。パスワード候補を入力すると、パスワードの強度などを示してくれるのだが、僕がパスワード流出した当時使っていた8桁のパスワードを入れてみると「『おっと』と言い終わる前に解読されます」と判断される。つまり、僕は今なら数秒で解析されてしまうパスワードを使い回していたのである。

そんな古い時代のパスワードを、管理ソフトを用いてパスワードをランダム生成しながら、できるだけ長い文字数に更新していった。

どうせパスワードは管理ソフトが保存、入力も自動的にしてくれるので、8桁のパスワードも30桁のパスワードも労力は同じである。ならば当然長い方が安全である。

そして、パスワード更新が完了した。もはや使っていたことすら忘れた古いサービスにしか、当時使い回していたパスワードは残っていないだろう。

とにかく時間はかかったが、思い切って古いパスワードを更新したことで、個人情報漏洩のリスクは減らすことができたのである。

現在のパスワード管理の基本は人力に頼らず、ソフトウエアに任せる。それが誰もが安全にかつ気軽にパスワードを管理できる方法だ。

もちろん、管理ソフトのマスターパスワードが破られれば、すべてのパスワードが流出することになるので、これだけは僕自身が人力でしっかりと管理しなければならないことは言うまでもない。

■パスワード管理能力は必須の時代

これからインターネットのサービスを最大限活用し始める子供たちには、最初から管理ソフトを用いて、十分な強度でユニークなパスワードを設定してほしいと考えている。

かつてまだ私たちの大半が携帯を持たず、手帳に友人知人や取引先の電話番号を書いて持ち歩いていた頃、生活の中でパスワードや暗証番号を使うのは、せいぜいキャッシュカードの暗証番号程度のものだった。

だが今や日本人の大半がスマホや携帯を持つ時代であり、あらゆる場面でパスワードを設定することを要求される。

そうした時代において、パスワード管理は生きていくために必要最低限の基礎的な知識であるといえる。

だからこそ、これからの日本で生きていく子供たちには、義務教育の段階でしっかりとパスワード管理の方法を教えてほしいと考えている。

だが残念ながら、パスワードを学校に提出させるようなリテラシー能力しかない学校では、そのような教育ができるとはとても思えないのである。

----------

赤木 智弘（あかぎ・ともひろ）
フリーライター
1975年栃木県生まれ。2007年にフリーターとして働きながら『論座』に「『丸山眞男』をひっぱたきたい――31歳、フリーター。希望は、戦争。」を執筆し、話題を呼ぶ。以後、貧困問題などをテーマに執筆。主な著書に『若者を見殺しにする国 私を戦争に向かわせるものは何か』『「当たり前」をひっぱたく 過ちを見過ごさないために』などがある。

----------

（フリーライター 赤木 智弘）