教員のみが使用する研究ツールにも FERPA は適用されますか？

状況によります。FERPA は学生の教育記録を保護するため、ツールが教員自身の研究のためだけに使われ、学生データを含まない場合、通常は FERPA は適用されません。ただし、学生が授業の一環としてそのプラットフォームを使用する場合や、学生の氏名、成績、識別子がシステムに保存される場合は、FERPA が適用されます。多くの大学では、厳密な適用可否が不明な場合でも、リスク管理の観点からすべての SaaS に広く FERPA 要件を適用しています。

HECVAT とは何ですか？また、なぜベンダーはそれを完了する必要があるのですか？

HECVAT (Higher Education Community Vendor Assessment Toolkit) は、EDUCAUSE と Internet2 によって開発された標準化されたセキュリティ質問票です。これにより、各大学が独自の質問票を作成する必要がなくなり、ベンダーと教育機関の双方の時間を節約できます。HECVAT には 2 つのバージョンがあります。HECVAT Lite（低リスクのツール向け）と HECVAT Full（機微データを扱うツール向け）です。多くの大学の調達部門では、HECVAT の記入完了なしには手続きを進めません。

SOC 2 認証がないベンダーでも承認される可能性はありますか？

技術的には可能ですが、かなり大きな摩擦が生じます。SOC 2 がない場合、大学のセキュリティチームは通常、より広範なレビューを求めます。これには、詳細なアーキテクチャ文書、ペネトレーションテスト結果、場合によっては現地監査も含まれます。多くの大学では、機関データを扱うあらゆるツールに対して SOC 2 Type II を要求する方針を持っています。小規模ベンダーは代替証拠（ISO 27001、記入済みの CAIQ、または独立したセキュリティ監査報告書）を使用できる場合もありますが、調達プロセスが長引くことは想定しておくべきです。

研究記事

SSO、FERPA、コンプライアンス：大学が研究 SaaS に求めるもの

研究 SaaS プラットフォームを評価するための IT 部門および調達部門向けチェックリストです。SSO/SAML、FERPA、SOC 2、データレジデンシー、HECVAT、アクセシビリティ、およびセキュリティレビューの進め方を扱います。

大学の IT チームには、SSO、FERPA、SOC 2、アクセシビリティ要件を満たす研究 SaaS が必要です。このガイドでは、実践的な評価チェックリストを提供し、高等教育機関特有のコンプライアンス上の考慮事項を説明します。

大学のIT、情報セキュリティ、または調達部門で働いている方であれば、新しいソフトウェアの導入は、研究者に好まれるツールを見つけるだけでは決して済まないことをご存じでしょう。機関データを扱うあらゆるSaaSプラットフォームは、セキュリティ審査、コンプライアンス確認、契約交渉という難関を通過しなければなりません。特に研究向けツールは、学生の成果物、未公開データ、連邦資金によるプロジェクトの成果物を扱う可能性があるため、要件はとりわけ厳格です。

このガイドでは、高等教育機関に特有の要件に焦点を当てながら、研究向けSaaSプラットフォームを評価するための実践的なチェックリストを提供します。

機関向けソフトウェアにおいて、シングルサインオンは任意ではありません。大学は集中管理されたIDシステムを運用しており、別個のユーザー名とパスワードを必要とするツールは、セキュリティリスク、ヘルプデスクの負担、ユーザーの摩擦を生みます。

必須要件 SAML 2.0対応 — 高等教育におけるエンタープライズSSOの標準プロトコル Shibboleth互換性 — 多くの大学、特にInCommonフェデレーションに属する大学では、SAML IDプロバイダーとしてShibbolethを使用しています Azure AD / Entra ID連携 — 大学がMicrosoft 365へ移行するにつれて、ますます一般的になっています Okta対応 — 特に米国で、採用する機関が増えています SCIMプロビジョニング — ディレクトリの変更に基づくユーザー作成と無効化の自動化（学生の卒業や職員の退職時のアカウント管理に不可欠です） MFAの適用 — プラットフォームは機関のMFAポリシーを尊重し、回避してはなりません

次を読む

ssoをもっと見る
ferpaをもっと見る
complianceをもっと見る
universityをもっと見る
procurementをもっと見る
securityをもっと見る

無料で始める Doxaを見る

AI研究ツールのための図書館コンソーシアム・ライセンス：実践ガイド 図書館コンソーシアムがAI研究ツールのライセンスをどのように交渉できるかを解説します。コンソーシアムモデル、ICOLCの原則、費用分担の計算式、パイロットからライセンス契約への移行プロセス、そしてOverleafとZoteroの事例を取り上げます。 大学の学生・教職員向け PapersFlow 30%オフ PapersFlow では、80か国・1,100以上の大学に所属する学生および教職員向けに30%の学術割引を提供しています。大学のメールアドレスを確認するだけで利用でき、プロモコードは不要です。対象者と仕組みをご紹介します。

PapersFlowを見る

研究ツール PapersFlowがサポートするAIワークフローをご覧ください。 PapersFlowを比較 Elicit、Zotero、Overleafなどからの乗り換えガイドです。 分野別ユースケース 分野ごとの研究ワークフローを見つけましょう。

Frequently Asked Questions

教員のみが使用する研究ツールにも FERPA は適用されますか？: 状況によります。FERPA は学生の教育記録を保護するため、ツールが教員自身の研究のためだけに使われ、学生データを含まない場合、通常は FERPA は適用されません。ただし、学生が授業の一環としてそのプラットフォームを使用する場合や、学生の氏名、成績、識別子がシステムに保存される場合は、FERPA が適用されます。多くの大学では、厳密な適用可否が不明な場合でも、リスク管理の観点からすべての SaaS に広く FERPA 要件を適用しています。
HECVAT とは何ですか？また、なぜベンダーはそれを完了する必要があるのですか？: HECVAT (Higher Education Community Vendor Assessment Toolkit) は、EDUCAUSE と Internet2 によって開発された標準化されたセキュリティ質問票です。これにより、各大学が独自の質問票を作成する必要がなくなり、ベンダーと教育機関の双方の時間を節約できます。HECVAT には 2 つのバージョンがあります。HECVAT Lite（低リスクのツール向け）と HECVAT Full（機微データを扱うツール向け）です。多くの大学の調達部門では、HECVAT の記入完了なしには手続きを進めません。
SOC 2 認証がないベンダーでも承認される可能性はありますか？: 技術的には可能ですが、かなり大きな摩擦が生じます。SOC 2 がない場合、大学のセキュリティチームは通常、より広範なレビューを求めます。これには、詳細なアーキテクチャ文書、ペネトレーションテスト結果、場合によっては現地監査も含まれます。多くの大学では、機関データを扱うあらゆるツールに対して SOC 2 Type II を要求する方針を持っています。小規模ベンダーは代替証拠（ISO 27001、記入済みの CAIQ、または独立したセキュリティ監査報告書）を使用できる場合もありますが、調達プロセスが長引くことは想定しておくべきです。

SSO、FERPA、コンプライアンス：大学が研究 SaaS に求めるもの

次を読む

関連記事

PapersFlowを見る

Frequently Asked Questions

関連記事