教育情報セキュリティポリシーに関するガイドライン11

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

先回までで、本章を読んできました。今回からは、参考資料を読んでいきます。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.1. 対象範囲及び用語説明

ポリシーを実行するには、対象範囲と用語についての正確な理解が必要です。同じ言葉を使っていても、お互いに想像している内容が違うと困りますね。（行政職の皆様に特にご注意いただきたいのは例えば「校内LAN」が何を指しているか、ということが様々あるということです。私が知っている限りでも、以下の意味で使われていました。「校務支援システム」「職員室内LAN」「学習系インターネット接続口」「有線LAN」「ハブ」「L2スイッチ」「SSID」……）

そのため、例文として挙げられている内容をよく参考にするといいですね。

まず例文で最初に定義されているのは「行政機関等の範囲」です。どこまでなのか明確にする必要があるということですね。

続いて「情報資産の範囲」です。例文の3つの範囲を引用しておきます。

• 教育ネットワーク、教育情報システム、これらに関する設備、電磁的記録媒体
• 教育ネットワーク及び教育情報システムで取り扱う情報（これらを印刷した文書
  を含む。）
• 教育情報システムの仕様書及びネットワーク図等のシステム関連文書

資産の範囲を明確にしておかないと、「資産だと思っていなかったのでポリシーを守らず破棄しました」等の事故や、「資産だと思っていたのでものすごく場所をとって保管していましたがそうではなかったです」等のコストの無駄が発生する可能性がありますね。

なお、解説では、文書（紙で存在するもの等）に関しての注意喚起があります。少し長いですが、大事なことなので引用します。

「文書で対象としているのは、教育ネットワーク、教育情報システムで取り扱うデータを印刷した文書及びシステム関連文書である。
これら以外の文書は、情報資産に含めていないが、文書管理規程等により適切に管理しなければならない。
文書一般を情報資産に含めなかったのは、従来電子データ等の管理と文書の管理が、一般に異なる部署、制度によって行われてきた経緯、実態を踏まえたものである。しかしながら、情報資産の重要性自体は、電子データ等と文書の場合で異なるものでないことから、情報セキュリティ対策が進んだ段階では、全ての文書を情報セキュリティポリシーの対象範囲に含めることが望ましい。」

紙は自治体の文書管理規定に基づいてきちんと保管、廃棄等されていると思いますが、セキュリティにおいて「紙だから」「電子だから」と分けるのは今後セキュリティ的にも労力的にも大変になることを踏まえた注意喚起ですね。

その次が「用語説明」です。これは上記校内LANの例にあるように、「本対策基準における用語は、以下の通りとする。」と宣言しておく必要があります。

例文では13個あげられています。少ないな、と思いますがあまり多くあっても読まないので各自治体に一番必要な（人によって解釈の違いが起こりそうな）ものについて定義をすることが必要です。ちなみに例文であげられているのは

校務系情報
校務外部接続系情報（公開系情報）
学習系情報
校務用端末
校務外部接続用端末
学習者用端末
指導者用端末
校務系システム
校務外部接続系システム
学習系システム
教育情報システム
校務系サーバ
校務外部接続系サーバ
学習系サーバ

です。これらの単語については行政職の皆様の間でお話しされる際にもおそらくきちんと定義しておかなければ行き違いが起こりやすい単語ですね。

例文は、この通りに実施しろというものではなく、あくまで参考として自治体の実態に合わせて活用する必要があります。例文がなければイメージがわきにくいのでついていますが、例文があると「この通り」という誤解が生まれやすいため、それについての留意はあちこちで見られますね。

来週は参考資料の続きについて読んでいきます。