Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > 規制コンプライアンス > FERPAコンプライアンスとは?
Blog Banner - What Is FERPA Compliance

FERPAコンプライアンスとは?

by Danielle Barbour updated 1月 30, 2025 規制コンプライアンス
Reading Time: < 1 minutes

FERPAコンプライアンスとは何ですか? FERPAコンプライアンスとは、教育機関が教育情報や個人識別情報(PII)を含む機密学生データを取り扱う際に遵守しなければならない要件を指します。これらの要件には、サイバーセキュリティ、管理上のプライバシー対策、親や学生への権利の開示が含まれます。

家族教育権とプライバシー法(FERPA)とは何ですか?

1974年、ジェームズ・バックリー上院議員は、学生記録が全国で不正に使用されているという証拠に基づく事件に対処するための修正案を提案しました。ウォーターゲート事件後の政府への一般的な不信感が高まる中、FERPAは他者による学術情報や機関情報の悪用に対する防壁と見なされました。

この考え方は、特定の教育記録が個人識別情報(PII)を含むというものでした。そのため、FERPAは特定の権利と保護を法律に組み込み、すべてが包括的な規制コンプライアンス要件に関連しています:

  • 同意: 学生またはその親/法定後見人は、いつでも教育文書を要求することができます。機関はこれらの要求を45日以内に満たさなければなりません。これらの当事者は特定の記録の修正を要求することもできます。

    利害関係者はこの権利を放棄することができますが、学生は指導とカウンセリングを受けた上でのみこれを行うことができます。学生は、機関が他者に文書を配布する前に書面で許可を与える必要があります。

  • トレーニング: 教師、管理者、第三者ベンダーは、記録が無許可で開示されないように訓練を受けなければなりません。さらに、親/後見人と学生は、毎年書面でFERPAに基づく権利を認識している必要があります。

  • セキュリティ: FERPAの下で規制されるすべての個人データは、機密性、整合性、可用性を維持するために保護されなければなりません。

FERPAで保護される記録とは何ですか?

FERPA 34 § 99.3は、法律が管轄する教育記録を次のように定義しています:

  • 教育情報: 成績、コースの成績証明書、財務またはローン記録、学生評価、課題、出席に関連する記録。

  • ディレクトリ情報: 管理目的で学生を識別するために使用されるPIIを指し、住所、電話番号、出席または入学に関連する日付などが含まれます。FERPAによれば、これらの記録は学生の要求に応じてのみ非公開にされます。

いずれの場合も、規制された情報は、ユニークな識別子、学生ID番号、または社会保障番号などを通じて学生に追跡可能でなければなりません。

FERPAで保護されない記録とは何ですか?

学生が学校や大学で過ごす間に作成される情報のいくつかは教育に関連しません。これらの記録はFERPAの規制から除外され、以下が含まれます:

  • 教育機関からの法執行に関連する記録
  • 機関によって雇用された学生の雇用記録
  • 機関のためにそのような役割を果たす専門家に関連する医療記録(カウンセリングサービス、健康クリニックサービスなど)で、18歳以上の学生に対するもの
  • 学生が機関に通った後に機関が作成した記録
  • 学生または管理者による収集前のピアレビュー中に行われた評価

学生が18歳に達するか、K-12を超えて学校に通うと、親または後見人は学生の許可なしにFERPAコンプライアンスの下で保護された文書を見る権利を失うことに注意が必要です。

FERPAの管轄から除外されるのは誰ですか?

FERPAの規制は一般に、教育機関に関連する教師、管理者、および第三者ベンダーがデータプライバシー法を遵守する必要があるとしています。しかし、特定の基準を満たす人員には追加の免除があります。

これらの免除には以下が含まれます:

  • 学生の記録に正当な教育的関心を持つと判断された教師および職員
  • 教育サービスのために機関によってアウトソーシングされた請負業者
  • 学生が入学を希望する他の機関(例:成績証明書の転送による成績確認目的)
  • 財政援助に関連する当事者
  • 機関全体の評価、学生援助プログラム、または教育開発を作成、実施、または維持する組織
  • 認定機関
  • 召喚状または司法命令に基づいて情報を開示することを強制される部門または機関
  • 健康または安全緊急サービスに関連する利害関係者
  • 少年司法システムに関連する州および地方当局

FERPAコンプライアンスを確保するためのベストプラクティスとは何ですか?

FERPAに準拠したデータコンプライアンスを保証するための実践を維持するには、従業員と学生が保護された記録にいつどこで関与するかを明確に理解する必要があります。基本的に、ベストプラクティスはITサイバーセキュリティコントロールへの注意と監視およびトレーニング対策の実施を組み合わせることになります。

いくつかのベストプラクティスには以下が含まれます:

  • 暗号化: 使用中または送信中の無許可の開示を防ぐために、すべての保護された記録は保存中または転送中に暗号化されなければなりません。

  • 境界セキュリティと内部コントロール: 保護された記録を保持するITシステムを持つ機関は、データへの無許可のアクセスを防ぐためにファイアウォールセキュリティとアンチマルウェアソフトウェアを実装しなければなりません。

  • アクセス制御ポリシー管理: 管理者は、情報の開示を許可された当事者に制限するために明確なアクセス制御を実施しなければなりません。これらのアクセス権限は役割に基づくものであり、従業員の昇進や解雇などのイベントに基づいてアクセスを付与および取り消すための明確な手順が必要です。

  • 監視とログ記録: 無許可のアクセスを防ぐために、機密データを含むITシステムは、セキュリティと整合性を確保するために記録およびユーザーレベルのイベントを監視およびログ記録しなければなりません。

  • 利害関係者の開示: 親/後見人と学生は、毎年FERPAに基づく権利についての更新を受け取らなければなりません。さらに、利害関係者は、データに関連するオプション機能(ソフトウェアやプラットフォームのパーソナライズを含む)からオプトアウトすることが許可されなければなりません。

  • 継続的なトレーニング: 管理職員、教師、および請負業者は、FERPAに関連する義務についての教育を受けなければなりません。

FERPAに違反した場合の罰則は何ですか?

他の多くの規制と同様に、FERPAに違反した場合には罰則があります。さらに、従業員が義務について適切に訓練されていない場合、機関が無許可の当事者に情報を誤って開示することは一般的です。

教育機関がFERPA規制に違反する方法のいくつかには以下が含まれます:

  • 非教育機関(民間企業など)に推薦状を共有する
  • 機密情報を含むシステムを保護するベンダーの失敗
  • 学術情報を含むメールを無許可の当事者に誤って送信する
  • 公の掲示板に成績を掲示し、その成績を識別可能な学生データに関連付ける
  • 無許可の当事者に電話で学術情報またはディレクトリ情報を提供する

しかし、FERPAの下では、情報を露出された学生または親は、機関を訴えることはできません。これらの機関に対して訴訟を起こすことができるのは、米国教育省のみです。これらの執行措置には(これまでのところ、含まれていませんが)財政的罰則が含まれる可能性があります。

FERPAを違反した個人は、次のような状況に直面する可能性があります:

  • 禁止 され、教育プラットフォームや学生記録へのアクセスを含む職務に関連する機関のリソースへのアクセスが制限される

  • 起訴 され、窃盗や詐欺に関連する刑法の下で個別に起訴される

  • 解雇 され、機関での職位を失う

さらに、FERPAコンプライアンスを遵守せず、そのための措置を講じない機関は、連邦資金の完全な喪失に直面する可能性があります。

KiteworksプライベートコンテンツネットワークでFERPAコンプライアンス義務をサポート

FERPAは他の業界標準と同様に、機関がプライベートユーザーデータを保護する義務を果たすことを完全に期待しています。これは、安全なプラットフォーム、プライベート通信システム、および定期的な監視とメンテナンスの実践を実施することを意味します。

FERPAの影響を受ける教育セクターにとって、プライベートデータを機密に保つことは重要です。しかし、サイバー犯罪者や悪意のある国家はこれを容易にはしません。今年初め、SentinelOneは、教育機関がサイバー攻撃の最も標的にされる業界であり、年々その数が44%増加していることを発見しました。これにより、教育機関はサイバー攻撃やFERPAのような非コンプライアンスのリスクにさらされています。

これらの課題に対処するために、Kiteworksプライベートコンテンツネットワークは、学生のPIIや保護された健康情報(PHI)などの機密コンテンツの送信と共有を統合、追跡、制御、保護します。Kiteworksプラットフォームは、コンテンツにアクセスできる人、閲覧および編集できる人、送信できる人を追跡および制御するために、コンテンツポリシーのゼロトラストアプローチを採用しています。Kiteworksのガバナンスとセキュリティ機能には、強力な暗号化、不変の監査ログ、および安全なハードウェアが含まれています。

特定の機関が特に役立つと感じる可能性がある側面の1つは、組織のInfrastructure-as-a-Service(IaaS)リソース上でのシングルテナントクラウドホスティング、またはKiteworksクラウドサーバーによるクラウドでのプライベートシングルテナントインスタンスとしてのホスティングです。

これにより、共有ランタイム、共有データベースまたはリポジトリ、共有リソース、またはクロスクラウドの侵害や攻撃の可能性がなくなります。

プライベートデータの保護とFERPAのような規制へのコンプライアンスを確保するために支援が必要な教育機関は、カスタムデモをスケジュールすることができます。

Tags: セキュリティブルバードのサイバーセキュリティ |

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks