教育情報セキュリティポリシーに関するガイドライン10

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

ガイドライン、と聞くと私は「やったー！　いろんな専門家のいろんな知見が集まって解説してくれているこんなラッキーなことはない、私一人で調べるよりよっぽど早い。本当にありがとうございます！！」と思って見に行きます。自分で一から調べるのも糧になりますが、既に知見が集まっているのならそれをもとに、批判的に読み、自分にあてはめて落とし込んでいくことができるとよりいいなと思っています。

ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

第４章 教育情報セキュリティポリシーの構成と学校を対象とした「対策基準」の必要性

第４章は、先回からさほど改訂は行われていません。

最初に述べられているのは「情報セキュリティ対策を徹底するには、対策を組織的に統一して推進することが必要であり、そのためには組織として意思統一し、明文化された文書として、情報セキュリティポリシーを定めなければならない」です。

これは、大事なことなので何度も繰り返して述べられています。「セキュリティを守れ」というだけで守られるなら、こんな楽なことはありません。

セキュリティ、という言葉に対するスタンスも意識も定義も様々なものがあると思いますが、対策を組織的に統一して推進しないと、それぞれの解釈で良いと思ったことが反対方向だったりする可能性もありますね。

ですので、体系としておなじみの以下の図が掲載されています。

情報セキュリティ対策における基本的な考え方を定めるものが、「基本方針」、全ての情報システムに共通の情報セキュリティ対策の基準を定めるのが「対策基準」、具体的なシステムや手順、手続に展開して個別の実施事項を定めるものが「実施手順」というものだと述べられています。

では、「学校を対象とした」対策基準と書かれる理由は、「（学校とは）「服務」に服さない児童生徒が過ごす場所であり、かつ、当該児童生徒が、学習活動において日常的に学校にある情報システムにアクセスする」からですね。

大人のみを対象としていては、子どもたちの学習がやりづらい状況が発生するかもしれません。一人1台のタブレットを文房具として日常的に使うために、しっかりとしたルールは必要ですね。すぐ道路の話をしますが、信号機もなく歩行者も自動車も自転車も混沌として走っている道路はとても危険ですし混乱しますしスムーズではありませんね。

自治体でしっかりと「セキュリティに関してはこうです」と表明し、そのルールに従うことで交通整理ができてスムーズな運用につながる、というようなイメージですね。ですから、交通整理が厳しすぎるとスムーズにならないというのもイメージしやすいです。自治体に合ったいい塩梅を考える必要があります。

その「学校を対象とした」対策基準を、学校に関わる大人（保護者ももちろん）が子どもたちに情報セキュリティポリシーを伝えて守るように育成することが大事だと述べられています。

そして、これも重要なので繰り返して何度も述べられていますが「GIGAスクール構想及び各施策の実現を促進する情報セキュリティポリシーを定めるため、各地方公共団体においては常に最新のガイドラインを参照されたい。」ということです。

情報セキュリティは日々状況が変わります。教育情報セキュリティポリシーに関するガイドラインは約1年毎に改訂されています。そのため、「最新版」を意識する必要があるということですね。

文部科学省のサイトも、古いものが間違ってヒットしないように工夫されています。文部科学省のサイトで最新版は常に確認できますから、行政職の皆様も参考にされる場合は必ず最新版を参考にしていただければと思います。

また、この章最後には、このガイドラインが対象とする範囲が述べられています。

教育情報システムにおける、

• 情報資産
• 校務系及び学習系等の端末
• クラウド利用もしくはオンプレミス利用による校務系・学習系システム
• 端末と校務系・学習系システムと外部情報資産を接続するネットワークとそのインターフェース

ということです。ご確認ください。

来週は第５章 教育現場におけるクラウドの活用について　を読んでいきます。